IT-Grundschutztag des BSI fand am 13. Juni wieder in Bremen statt

Am 13. Juni fand in Bremen an der Universität Bremen zum zweiten Mal der IT-Grundschutztag des BSI statt. Die Veranstaltung wurde ausgerichtet von IS-Bremen, Fraunhofer SIT, TZI und BSI. Das IS-Bremen übernahm dabei größtenteils die Organisation. Die DECOIT GmbH beteiligte sich als Teilnehmer und Sponsor an der Veranstaltung. Die Veranstaltung war mit über 350 Teilnehmern sehr gut besucht. Sie können hier nachlesen, welche interessanten Fachbeiträge zum Thema Datenschutz und IT-Sicherheit präsentiert wurden.

In der Key Note der Veranstaltung wurde die Frage aufgeworfen, wie der IT-Grundschutz der digitalen Welt helfen könnte. Der Datenschutzbeauftragte des Landes Schleswig-Holstein mahnte an, dass der Datenschutz ein digitaler Grundrechtsschutz (gesetzlich, organisatorisch, technisch und sozial) ist. Schutzziel ist nicht die Technik, sondern der einzelne Mensch. In der Informatik wird als Schutzobjekt eher die Technik angesehen, während als Risiko der Mensch und nicht die Technik eingestuft wird. Weiterhin schafft die Intransparenz, die durch das Internet entstanden ist, neue Gefahren. Das man nun endlich ein Datenschutzkapitel im BSI IT-Grundschutzhandbuch eingefügt hat ist ein guter Ansatz, aber leider unverbindlich, unvollständig und unsystematisch. Auch sollte das Datenschutzmanagement als Teil eines umfassenden IT-Managements verstanden werden.

Anschließend informierte das BSI über den IT-Grundschutz im Allgemeinen. Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft. Die IT-Sicherheit wird dabei von der Bundesregierung als wichtiger Wirtschaftsfaktor gesehen, wie auch Forschungsprojekte der DECOIT GmbH zeigen. Im Vortrag wurden mehrere Beispiele gezeigt, wie man durch sog. Technikspielzeug den Datenschutz umgeht (z.B. durch Trojaner über USB-Sticks) bzw. Wirtschaftsspionage ermöglicht wird. Es sind klare Spielregeln notwendig, da durch technische Mittel alleine sich Sicherheitsprobleme nicht in den Griff bekommen lassen. Ein Konzept über den Umgang mit Technikspielzeug wäre wünschenswert sowie passende Sicherheitsrichtlinien. Letztendlich ist IT-Sicherheit kein Produkt, sondern man muss IT-Sicherheit leben. Der IT-Grundschutz verfolgt einen ganzheitlichen Ansatz, um eine erste Basis für die IT-Sicherheit zu schaffen.

Anschließend stellte das Fraunhofer-Institut die Absicherung und den Schutz von digitalen Prozessen dar. Wichtig ist dabei, dass Risiken im IT-Sicherheitsumfeld beachtet werden müssen. Es sollte daher eine Fokussierung auf die Bedrohung der IT-Infrastruktur geschehen. Das BSI besitzt eine Vorreiterrolle und wird heute weltweit als Sicherheitsreferenz genommen. Aus der Beschreibung und Spezifizierung von Prozessen müssen die Sicherheitsanforderungen abgeleitet werden. Beispiel der digitalen Absicherung durch Trusted-Computing-Technologie mittels TPM-Chip und IF-MAP-Protokoll wurden während der Präsentation gegeben. Problematisch wird es letztendlich immer, wenn man analoge Technik in die digitale Welt überführt. Ein Beispiel war ein medizinischer Call Center, der mit VoIP arbeitet. VoIP Streams müssten innerhalb dieses Prozesses digital signiert werden, um eine Verfälschung der Informationen ausschließen zu können. Außerdem braucht man ein sicheres Archiv, um eine unverfälschte Dokumentation sicherstellen zu können. Der fließende Übergang, den die digitale Welt heute bietet, ermöglicht neue Angriffspotenziale denen neu begegnet werden muss. Verschiedene Forschungsprojekte (u.a. ESUKOM und VISA) beschäftigen sich mit der Thematik, an denen neben Fraunhofer SIT auch die DECOIT GmbH dran beteiligt ist.

Die Behandlung von Sicherheitsvorfällen und Beweisverwertung von gesicherten Daten wurden von der KPMG thematisiert. Die KPMG befasst sich grundsätzlich mit Internet-Kriminalität und Sicherheitsvorfällen (unbewusste Offenlegung vertraulicher Daten, Sicherheitslücken durch Hard-/Software, Schadsoftware, Angriffe von außen/intern) sowie den abzuleitenden Maßnahmen (Festlegung der Soll-Vorgaben der IT-Infrastruktur, Definition der Sicherheitsvorfälle, die abzuwenden/zu minimieren sind, Definition der Gegenmaßnahmen und Zuständigkeiten, Bekanntmachung, Schulungen, Updates etc.). Grundsätzlich zu beachten ist, dass die gesetzlichen Rahmenbedingungen bei der Datenerhebung bzw. Beweislast immer eingehalten werden müssen. Das bedeutet, dass so wenig wie möglich personenbezogene Daten gesammelt werden dürfen. Hinzu kommt, dass alles was zur Ausspähung von Personendaten genutzt werden kann, Mitbestimmungspflichtig ist.

Neben den Vorträgen gab es auch Live-Vorführungen. So wurde anhand der WLAN-Lokalisierung bei iOS von Apple gezeigt, dass die Nutzung öffentlicher Hotspots auch Sicherheitsprobleme beinhalten kann, da iOS sich die WLAN-Netze merkt. Dadurch können "Bewegungsprofile" erstellt werden. Bei einem Angriff könnte man so ein Netz vorgaukeln, damit sich ein Benutzer dann automatisch bei einem Angreifer anmeldet. Ein Abschalten der Netze ist bislang nicht möglich (Sicherheitsfehler von Apple). Android besitzt dieses Verhalten nicht.

Eine weitere Live-Demo wurde von Fraunhofer SIT gezeigt, indem ein Mobile Ad-hoc Network (MANET) aufgebaut wurde.  MANETs können im Grunde leicht angegriffen werden. Durch eine Live-Demo der irongui der FH Hannover konnten die Beziehungen zwischen den MANET-Knoten visualisiert werden. Ein neuer Knoten, der nicht optimal in das vorhandene Kommunikationsschema passt, wird als externer Knoten dargestellt und nicht mehr innerhalb des Rings der Kommunikationsbeziehungen. Dadurch lässt sich visuell eine schnellere Überprüfung umsetzen.

T-Systems International stellte Fälle sicherer Nachweise – Fallen sicherer Nachweise vor. Als elektronischer Nachweis wurde die Zusammenfassung verschiedener Loginformationen vorgesehen. Allerdings beinhalten heterogene Infrastrukturen einen hohen Aufwand, um einen Nachweis ohne durchgängige Kette hinzubekommen. Auch sind mandantenfähige Logdateien schwierig durchzuführen, da z.B. syslog-Dateien auf das System fokussieren und nicht auf den Benutzer. Auch sind die Inhalte von Logdateien auf unterschiedlichen Systemen nicht standardisiert. Das  Protokollieren von Protokollen muss ebenfalls geregelt werden. Erschwerend kommt hinzu, dass es unterschiedliche rechtliche nationale/internationale Vorgaben gibt; d.h. die Daten müssen anonymisiert werden können. Es gibt letztendlich unterschiedliche Architekturen, um eine Protokollierung aufzubauen. Diese entscheidet dann über den Erfolg der Nachweiskette. Metadateninformationen müssen abgestimmt und archiviert werden können. Hier besteht noch Entwicklungsbedarf.

Am Ende der Veranstaltung stellte das BSI die aktuell Entwicklung im IT-Grundschutz dar und gab einen Ausblick. Nach dem Motto „Stillstand ist Rückstand“ wird kontinuierlich der Grundschutz aktualisiert. Allerdings kann nicht jedes Thema behandelt werden. Nachfragen auf Messen und Veranstaltungen werden kontinuierlich vorgenommen, um aktuelle Themen herauszufinden. Die IT-Grundschutzkataloge werden in Ergänzungslieferungen zur Verfügung gestellt. Neue Bausteine sind u.a.: Virtualisierung, Terminal-Server, Bluetooth, Internet-Nutzung, Groupware und DNS-Server. Überarbeitete Bausteine sind u.a. Tk-Anlage und Webserver. Cloud Computing ist ebenfalls ein großes Thema; eine Zertifizierung wird hier angestrebt. Nachteilig ist, dass die Komplexität des IT-Grundschutzes weiter zunimmt – es gibt zu viele Bausteine. Das BSI versucht daher den Grundschutz schlanker zu halten. Sogenannte "Goldene Regeln" sind die wichtigsten Aussagen eines Bausteins und sollen den Überblick zukünftig verbessern.