Re: [Ag-waffenrecht] Datensicherheit

["volker t." <"volker+t."@news.piratenpartei.de>]

charly.strolchi schrieb:
> Dass Bayern nun reagiert und den bis zu 40000 (!!!!) täglichen Angriffen 
> auf die Daten der staatlichen Rechenzentren (Artikel der Frankenpost vom 
> 05.11.13, Aussage Finanzminister Söder, jetzt zuständig für 
> Datensicherheit)einen Riegel vorschieben will

Bei den 40000 täglichen Angriffen wird es sich in der Regel um von 
harmlosen Skript Kiddies verursachte Einträge in den Logdateien der 
Firewalls handeln. Die allerwenigsten Angriff von Aussen sind als 
tatsächlich gefährlich zu bewerten. Sollte es Hackern tatsächlich 
gelingen nur durch ausprobieren in einen IT-Verbund einzudringen muss das 
auf völlige Unfähigkeit der RZ-Betreiber zurückgeführt werden.
Ausserdem werden sensible Daten durch ein gestaffeltes Firewall-Konzept 
mit (Demilitarisierte Zonen) geschützt. Vorzugsweise sollten die 
einzelnen DMZen durch unterschiedliche Firewalls geschützt werden (Multi 
Vendor Strategy). Dann ist es natürlich auch von imenser Wichtigkeit die 
korrekten Regelsätze für die Firewalls zu definieren.

charly.strolchi schrieb:
> "..Bisher sind 6 (in Worten: Sechs!!!) Fachleute in den beiden 
> Rechenzentren für die Sicherheit zuständig. Künftig sollen es 20 
> sein..." Wir reden hier lt. Artikel von 135000 Arbeitsplätzen in 1600 
> Behördenstandorten und zwei Zentralrechnern.

IT-Sicherheit wird in jedem Unternehmen und auch in Behörden in der Regel 
durch wenige Mitarbeiter verantwortet, die in der Regel als Stabsstelle 
direkt unter der Geschäftsführung bzw. Ministerien aufgehängt sind. 
Aufgabe dieser Fachleute ist es die Regeln und Prozesse zur Sicherstellung 
der IT-Sicherheit zu definieren und _alle _Mitarbeiter entsprechend zu 
schulen bzw. zu unterweisen. Dabei können bestimmte Aufgaben auch 
deligiert oder sogar outgesourct werden. Wichtig ist hierbei nur, dass 
alle Mitarbeiter die Umgang mit sensiblen Daten und Systemen haben 
regelmäßig unterwiesen werden (Awareness schaffen) und die Fachleute in 
den RZen z.B. die Firewall-Admins und Netzwerker möglichst immer über 
einen aktuellen Wissensstand bezüglich Techniken und Technologien 
verfügen.
Insofern sind die 20 Fachleute für die Behörden nach meiner Erfahrung 
tatsächlich ausreichend. Wie gesagt hierbei handelt es sich um 
Stabsstellen die nur die Richtlinien und Prozesse vorgeben. Umgesetzt und 
gelebt werden muss IT-Sicherheit von allen Mitarbeitern.
Ausserdem ist es zwingend erforderlich, dass regelmäßig die 
IT-Sicherheit durch externe Gutachter auditiert wird. Dieser Punkt, weil 
sehr arbeitsintensiv und teuer, wird aber häufig vernachlässigt,
Ich will hoffen, dass die Behörden hier nicht den falschen Sparzwängen 
unterworfen werden, denn dann ist es nur noch eine Frage der Zeit bis es 
zum Daten-GAU kommt.
Das größte Sicherheitsrisiko stellen übrigens immer noch die eigenen 
Mitarbeiter dar. Entweder weil sie unmotiviert sind (Schlamperei, 
Fahrlässigkeit) oder weil sie Zorn auf den Arbeitgeber haben (Sabotage, 
Spionage).
Übrigens werden bei Penetrationstests nicht nur versucht die Technik 
auszutricksen, auch die möglichen Schwachstellen der Mitarbeiter werden 
hierbei ausgetestet.

charly.strolchi schrieb:
> Bei all dem frage ich mich a) ob wir wirklich so naiv sind anzunehmen 
> dass 6 Fachleute - oder dann 20 -für Bayern genug sind

Wie gesagt hier handelt es sich mit Sicherheit um Stabsstellen.

charly.strolchi schrieb:
> mit unserem High Tech kann es ja nicht so weit her sein wenn wir nicht 
> mal ein abhörsicheres Handy bauen können.

Abhörsichere Handys gibt es schon. Die sind aber exorbitant teuer. TopSec 
GSM z.B. verschlüsselt die Gesprächsdaten der Benutzer vor der 
eigentlichen Übertragung. Damit das funktioniert muss auch die 
Gegenstelle TopSec GSM verwenden. Sollte also Jemand mit dem Krypto-Handy 
auch mit anderen nicht abhörsicheren Handys kommunizieren wollen muss die 
Verschlüsselung abgeschaltet werden. Und hier ist gleich die 
entscheidende Sicherheitslücke; der Benutzer vergisst beim nächsten 
vertraulichen Gespräch die Kryptofunktion zu aktivieren.
Ausserdem lassen sich auch Krypto-Handys nicht maskieren. Damit besteht 
also immer noch die Möglichkeit Bewegungsprofile zu erstellen und 
Metadaten (Rufnummern, Anrufzeiten und Dauer der Anrufe) ausspähen.

charly.strolchi schrieb:
> Für das Nationale Waffenregister mache ich mir da schon meine Sorgen.

Und diese Sorge teile ich uneingeschränkt mit dir. Bei den vielen 
Mitarbeitern die Zugriff auf das NWR haben werden ist menschliches 
Fehlverhalten - Unachtsamkeit oder krimineller Vorsatz - unvermeidlich. 
Vielleicht werden bald neben CDs mit Schweizer Bankdaten auch CDs mit 
Daten aus dem NWR gehandelt?