Die KryptoBoxen selbst bestehen aus einer intelligenten Kommunikationseinrichtung und aus einem Sicherheitsmodul

4. Tätigkeitsbericht des 2000/2001

Kontaktierung der Nutzer aus. Insofern kann der Nutzer auch nicht in seinem Ermessen die Verschlüsselung ein- bzw. ausschalten. Der Datenstrom wird zwangsweise immer verschlüsselt, soweit die Verschlüsselungsbox dem gemäß eingestellt ist.

Die Krypto-Boxen selbst bestehen aus einer intelligenten Kommunikationseinrichtung und aus einem Sicherheitsmodul. In dem Sicherheitsmodul werden alle sicherheitsrelevanten Aktionen geschützt ausgeführt und gespeichert. Dieser Sicherheitsmodul ist physikalisch gekapselt und mit einer Sensorik ausgerüstet, die Angriffe erkennt und ggf. alle sicherheitsrelevanten Informationen wie geheime Schlüssel, Art der erlaubten Kommunikationsverbindungen, Logbücher aktiv löscht. Insofern sind keine Unbefugten in der Lage die Endgeräte zu manipulieren. Durch den Einsatz der Krypto-Boxen wird weiterhin erreicht, dass nur Verbindungen aufgebaut werden, die erlaubt sind und sicherheitsrelevante Ereignisse protokolliert und ausgewertet werden können.

Zum Zeitpunkt der Kontrolle war das eingesetzte Sicherheitssystem von der Herstellerfirma zur Zertifizierung beim BSI eingereicht.

Kern des eingesetzten Systems ist ein zentrales Managementsystem, mit welchem die Krypto-Boxen über das Netz oder direkt administriert werden können. Das Managementsystem, welches auf einem separaten Rechner, der unter dem Betriebssystem UNIX arbeitet, installiert ist, dient insbesondere zur Administration der Sicherheitsfunktionen. Im Auftrag des TIM wird diese Tätigkeit ausschließlich durch befugte Administratoren des TLRZ ausgeübt. Deren Aufgaben umfassen u. a.:

- das Installieren der Boxen mit sicherheitsrelevanten Informationen und Konfigurationsdaten,

- das Generieren von Access-Listen, die vorgeben, wer mit wem kommunizieren darf,

- das Generieren und Verwalten der Schlüsselsysteme, wobei jede Box über den gleichen Pool von 64 Verbindungsschlüsseln verfügt, aus welchen den jeweils kommunizierenden Boxen nach dem Zufallsprinzip ein konkreter Schlüssel zugewiesen wird,

- das Auswerten von protokollierten Sicherheitsereignissen sowie die Durchführung von notwendigen Systemanalysen.

Die vor Ort bei den jeweiligen Nutzern vorgehaltenen Krypto-Boxen werden vom Administrator zumeist ferngesteuert. Die hierzu erforderliche Kommunikation wird aus Sicherheitsgründen ebenfalls ver4. Tätigkeitsbericht des 2000/2001 schlüsselt durchgeführt. Desweiteren sind alle sicherheitsrelevanten Daten sowohl auf der Management-Station als auch in den verschlüsselt abgelegt. Bevor eine Box eingesetzt wird, wird sie unmittelbar an der Systemmanagement-Station personalisiert, wobei sie u. a. eine eindeutige Identifizierungsadresse erhält sowie die geheimen Schlüssel geladen werden.

Im Ergebnis der Kontrolle ergaben sich datenschutzrechtliche Forderungen, die insbesondere das technisch organisatorische Umfeld zum Einsatz dieses Sicherheitssystemes betrafen. U. a. wurde gefordert, Regelungen zur Zutritts-, Zugangs- und Zugriffskontrolle der Komponenten sowie zum Schlüsselwechsel zu erlassen. Die Integrität des Systems und damit die Absicherung der Vertraulichkeit der verschlüsselten Datenströme hängt im erheblichen Maße von den Zugangskennungen, der sicheren Schlüsselverwaltung und des häufigeren Wechsels der für die Datenkryptierung eingesetzten Schlüssel.

Hierzu fehlten diesbezügliche Regelungen für die Administration des Systems. Es wurde empfohlen, eine Information zur Leitungsverschlüsselung zu erstellen und den Nutzern zur Verfügung zu stellen.

Diese Information soll gezielt die Funktionsweise und die sicherheitstechnischen Zusammenhänge des Systems darlegen sowie auch eine Orientierungs- und Entscheidungshilfe für einen angedachten Einsatz des Systems zur Verschlüsselung schutzwürdiger Daten sein.

Weiter wurden auch eindeutige Regelungen an die Administratoren gefordert, die Nutzer im Vorfeld über eine Abschaltung der Verschlüsselung bzw. über die ordnungsgemäße Funktionsfähigkeit der Wiederherstellung der Leitungsverschlüsselung zu informieren.

Grundsätzlich müssen die Nutzer vor der Abschaltung des Verschlüsselungsmechanismus informiert werden. Eine solche Abschaltung ist beispielsweise erforderlich bei notwendigen Wartungsarbeiten, Fehleranalysen oder in der Einrichtungsphase. Eine weitere Forderung bezog sich darauf, die Datensicherungskopien in einem einbruchs- und brandschutzhemmenden Behältnis gesichert und lokal getrennt von der Managementstation aufzubewahren sowie Festlegungen zur Auswertung der Protokolldateien zu erlassen und Löschfristen für diese festzusetzen.

Die Hinweise und Empfehlungen des wurden umgesetzt.

Virenschutz

4. Tätigkeitsbericht des 2000/2001

Der Begriff Virus wird häufig als Pseudonym für schadensstiftende Software (Viren, Trojanische Pferde und Würmer) verwendet. In meinem 2. TB (15.11) stellte ich bereits die Gefahren für die Integrität und die Vertraulichkeit von personenbezogenen Daten die durch Viren ausgehen dar und machte deren Funktionsweise deutlich.

Als Trojanische Pferde bezeichnet man Schadsoftware, die unter falschem Namen in das System gelangen, oft eine nützliche Tätigkeit suggerieren, aber in Wirklichkeit Schäden anrichten können. Sie sind insofern keine Viren, da sie sich weder vermehren noch andere Programme infizieren. Würmer sind eigenständige Programme, die sich selbständig in einem Netzwerk ausbreiten indem sie sich reproduzieren und sich vorhandener Netzwerkfunktionen bedienen. Dabei ist es eine beliebte Strategie bei den mitgesandten Anlagen doppelte Dateinamen-Suffixe wie oder Loveletter.txt.vbs einzusetzen. Da bspw. der Windows Explorer bei der Standardeinstellung die Erweiterungen registrierter Dateitypen nicht anzeigt (wie .exe oder.vbs), wird so dem Nutzer eine harmlose Bild- oder Textdatei vorgetäuscht. Bei einem Doppelklick ruft das System nicht die Bild- oder die Textdatei auf, sondern ganz korrekt das Visual Basic Script und führt es dementsprechend aus. So war es auch beim Wurm mit dem Namen. Im Fall des Wurms Nimda, der sich ebenfalls u. a. mittels Anhang von E-Mails verbreitete, ist die Datei im Anhang eine nicht immer sichtbare admin.dll oder readme.exe. Dieser weit aus gefährlichere Wurm gibt u. a. auf befallenen Computern Laufwerke zum externen Zugriff frei und richtet sich einen Gast-Account mit den Rechten eines Administrators ein.

Im Berichtszeitraum war feststellbar, dass sich neben den Viren auch Trojanische Pferde und insbesondere Würmer stark verbreiten. Einer Statistik des BSI ist zu entnehmen, dass im Jahr 2000 von den gemeldeten Viren 41 % Würmer waren und bereits im Jahr 2001 das Auftreten von Würmern auf 71 % gestiegen ist. Durch geeignete Anti-Virenprogramme können in der Regel die o. g. Varianten an schadensstiftender Software erkannt werden.

Auch das CN der Thüringer Landesverwaltung wurde erstmalig durch einen von außen übertragenen Wurm infiziert. Es handelte sich um den bereits erwähnten Wurm der sich weltweit im Februar 2001 per E-Mail verbreitete und als Anlage ein Bild der Tennisspielerin Anna Kournikova versprach.