"Sicherheitsdienste in der Verwaltungsdatenverarbeitung
der Hochschulen"

Dr. Ederleh
HIS GmbH

Inhalt

1. Einleitung: HIS-Leistungen und HIS-Systeme im Zusammenhang mit dem Thema Sicherheit

2. Sicherheitsfunktionen und HIS-Leistungen

3.Neue Generation der Verwaltungsdatenverarbeitung
- Neue Herausforderungen an die Sicherheit

4.Übertragungssicherheit und HIS-Leistungen

5.DFN-Verein und HIS - Eine Allianz für die Hochschulverwaltungen



1.Einleitung: HIS-Leistungen und HIS-Systeme im Zusammenhang mit dem Thema Sicherheit

Wir haben uns auf dieser Tagung mit vielfältigen Sichten auf das Thema Sicherheit befaßt. Ich möchte versuchen, auf der Grundlage dieser bisherigen Referate und Erörterungen aufzuzeigen, welche Folgerungen und Leistungen wir in diesem Zusammenhang für HIS als Softwarehaus und Systemhaus der Hochschulen sehen. HIS steht hier nicht allein den hohen und berechtigten Erwartungshaltungen der Hochschulverwaltungen gegenüber. Vielmehr haben wir uns der Unterstützung der Nutzergruppe Hochschulverwaltung im DFN-Verein und des DFN-Vereins selbst versichert, um im Interesse der Hochschulverwaltungen eine bestmögliche Implementierung von Sicherheitsfunktionen insbesondere für die Nutzung von Netzen durch die Hochschulverwaltung zu erreichen.
Meine sehr geehrten Damen und Herren, gestatten Sie mir, da ich meine Ausführungen beginne mit einer Bemerkung, die ich Sie bitte, als vor die Klammer gezogen zu verstehen: Wir haben HIS-seitig für die vielfältigen Datensicherheitsprobleme keine Patentlösung und sind wie viele von Ihnen auf der Suche nach den besten Lösungsmöglichkeiten. Wir sind HIS-seitig sehr darauf angewiesen, auch von Ihren Erfahrungen zu profitieren und sie in unsere Arbeit umzusetzen. Wir sind nicht die hochstkompetenten Sicherheitsexperten; viele von Ihnen verfügen über größere Erfahrungen und intensivere Befassungen mit dem Thema als wir. Ich darf Sie in diesem Sinne herzlich bitten, sich uns als Kooperationspartner zu öffnen. In sehr, sehr vielen Sachverhalten können wir von Ihnen lernen oder können uns gemeinsam auf den Weg begeben, um unter Abwägung vieler Aspekte geeignete Sicherheitskompositionen herauszufinden. In diesem Sinne erwarten Sie bitte von mir nicht ein geschlossenes, ausgereiftes Gesamtkonzept, sondern verstehen Sie bitte HIS als einen wichtigen Partner in dem Geflecht von Verant- wortlichen, die das Thema Sicherheit qua Profession ernst zu nehmen haben und dies auch sehr dezidiert wollen. Soweit meine Vorbemerkung.

2. Sicherheitsfunktionen und HIS-Leistungen

HIS beschäftigt sich nicht erst mit Sicherheit seit es Netze in den Hochschulen gibt. HIS- Systeme verwalten z.T. personenbezogene Daten, die besonders schutzwürdig sind und besonderer Sicherheitsmaßnahmen bedürfen. In diesem Zusammenhang haben wir uns nicht nur mit Sicherheitsmaßnahmen beschäftigt, sondern jeweils Implementierungen in unseren Systemen vorgenommen.

Worum geht es eigentlich, wenn wir von Sicherheitsmaßnahmen sprechen ?
Personenbezogene Daten unterliegen einem besonderen Schutzbedürfnis. Sie fallen unter die gesetzlichen Bestimmungen sowie technischen, organisatorischen und rechtlich notwendigen Vorkehrungen des Datenschutzes. Schutzbedürftig ist einerseits die unantastbare Privatsphäre des Betroffenen und andererseits ist unzulässiges Zusammentragen von Informationen über den Einzelnen zu verhindern.

Übergreifend geht es um Maßnahmen der Datensicherheit, die dazu dienen, Sicherheit zu schaffen vor

Die Sicherstellung von Integrität und Verfügbarkeit der von einem DV-System verwalteten Daten gehört zu den selbstversätndlichen Leistungen eines Anwendungssystems oder dem Betriebssystem und Datenbanksystem, auf denen das Anwendungssystem aufsetzt. Hier sind insbesondere die Maßnahmen Datensicherung, Wiederanlauf und Wiederherstellungsverfahren, transaktionsorientierte Verarbeitung, Sperren, Verwaltung von konkurrierendem Update und Plausibilitätskontrollen zu erwähnen.
Ganz wesentlich erscheint es hierbei, das Augenmerk auf die Gefahr des Verlustes der Vertraulichkeit zu richten: Im Grunde geht es darum, den unberechtigten Zugang auf schutzwürdige Daten zu verhindern.
Die Vorträge dieser Tagung haben nochmals deutlich gemacht, da es im wesentlichen 6 Gefah- renquellen sind, die bei der Konzeptionierung einer Datensicherheitslsung für Verwaltungs- aufgaben näher zu betrachten sind. Anhand unseres HIS-Personal- und Stellenverwaltungs- systems möchte ich diese Gefahrenquellen stichwortartig skizzieren:
  1. Es wird versucht, sich unberechtigterweise Zugriff zu dem Rechner zu verschaffen, auf dem das datenverwaltende Anwendungssystem von HIS implementiert ist. Das kann sowohl über ein Netz als auch direkt (d.h. über ein Terminal) erfolgen: Es wird der physische Zugang zum Anwendungssystem unberechtigterweise versucht.
  2. Ein Unberechtigter, der sich bereits im Anwenderbereich befindet, also Zugriff zum Rechner hat, versucht, das HIS-Anwendungssystem aufzurufen.
  3. Ein Benutzer des HIS-Anwendungssystems versucht, auf Daten zuzugreifen, für die er oder sie keine Berechtigung hat.
  4. Ein unberechtigter Benutzer versucht, auf die Betriebssystemebene zu gelangen (um von dort aus auf die Daten zuzugreifen, die vor ihm geschützt werden sollen).
  5. Eine Person mit Betriebssystemberechtigung, jedoch ohne Berechtigung zum Zugriff auf die Datenbank des Anwendungssystems, versucht, auf die Datenbank zuzugreifen (z.B. mit Hilfe von SQL oder mit Hilfe eines Editors).
  6. Eine Person mit Betriebssystemberechtigung, aber ohne Berechtigung zum Zugriff auf das HIS-Anwendungssystem, versucht, das HIS-Anwendungssystem aufzurufen.


Die Abbildung macht deutlich, auf welchen Ebenen Maßnahmen notwendig sind, um die betreffenden Gefahren eines unberechtigten Zugangs zu den schutzwürdigen Daten zu verhindern:
Ich möchte hier nicht im einzelnen auf die möglichen Maßnahmen eingehen, sondern vielmehr zusammenfassend darauf hinweisen, welche Leistungen HIS in dem betreffenden Zusam- menhang erbringen kann.

Der Schwerpunkt der Maßnahmen, für die HIS unmittelbar sorgen kann und muß, liegt naturgemäß beim Anwendungssystem. Dies schließt Maßnahmen ein, die auf Funktionalitäten des Betriebssystems und des Datenbanksystems zugreifen, jedoch vom Anwendungssystem aufgerufen werden. Die Nutzerverwaltung mit der Ausstattung von Nutzern mit Berechtigungen für den Zugang zu Daten oder Programmfunktionen ist ein typisches Beispiel, das zu den Selbstverständlichkeiten der HIS-Systeme gehört. Auch die entsprechenden Überprüfungen der Paßwörter, mit denen der Nutzer ausgestattet ist und mit denen er sich identifizieren und authetifizieren muß, gehören zu diesen Maßnahmen der Zugangskontrolle.
Was die Maßnahmen der Personalführung, der Organisation und des physischen Zugangs zu den DV-Geräten anbetrifft, so hat hierbei HIS keinerlei Einfluß- und Gestaltungsmöglich- keiten. Hier kann HIS allenfalls beraten, d.h. die Erfahrungen von den Anwenderhochschulen sammeln, die "best cases" dokumentieren und zur Verfügung stellen. In diesem Feld gibt es jedoch viele Institutionen, die sich mit dem Thema beschäftigen und viel kompetenter als HIS Ratschläge erteilen können. Z. B. ist diesbezüglich auf die Arbeiten des DFN-Vereins im Zusammenhang mit der Verwendung von geeigneten Pawrtern zu verweisen.
Wenngleich die Beschäftigung mit den Zugangsproblemen, wie ich sie beschrieben habe, nicht neu ist und Lösungen bereits implementiert, erprobt und Weiterentwicklungen in Arbeit sind, so war gleichwohl dringend geboten, da der DFN-Verein und HIS mit der Veranstaltung dieser Tagung erneut und explizit zur Beschäftigung mit den Sicherheitsproblemen der Verwaltungsdatenverarbeitung aufgerufen haben.
Denn: Die Verwaltungsdatenverarbeitung der Hochschulen findet zunehmend in einer ver- netzten Umgebung statt. Es geht um die Sicherheit der Verwaltungsdatenverarbeitung in prinzi- piell offenen Netzen. Die Verwaltungsdatenverarbeitung muß sich "elektronischen" Kommuni- kationsprozessen öffnen, die sie aus ihrer "trusted" Umgebung herausholt und einer prinzi- piell "untrusted" Netzwelt aussetzt. Versuche, die "trusted" Welt als solche zu erhalten, indem eigene Verwaltungsnetze aufgebaut werden, sind langfristig weder wirtschaftlich tragbar, noch lösen sie das generelle Problem, da die Kommunikation, in die die zentrale oder dezentrale Verwaltung involviert ist, auch über "untrusted" Netze transportiert werden muß.
Die zusätzlichen Sicherheitsbelange für die Verwaltungsdatenverarbeitung im offenen Netz liegen auf der Hand:
  1. Der Zugangsproblematik ist noch größere Aufmerksamkeit zu widmen, denn schließlich kann nun nicht mehr nur von einer begrenzten Anzahl von Terminals ein unberechtigter Zugriff gestartet werden, sondern von beliebigen Knoten im prinzipiell offenen Netz.
  2. Als zusätzliches Problem kommt die Übertragungssicherung hinzu, sobald Daten, Texte und Nachrichten im Zusammenhang mit den Verwaltungsvorgängen über das Netz kommuniziert werden.

Und im Hinblick auf die Übertragungssicherheit für die Kommunikation gelten dieselben Sicherheitsbedürfnisse wie für die zu sichernden und zu schützenden "statischen" Daten, die sich in einem Datenbestand (Datei) befinden:

Zur Sicherstellung der Vertraulichkeit gehört nicht nur, daß während der Übertragung der unberechtigte Zugang zu den übertragenen Daten verwehrt wird, sondern auch die Identifikation und Authentisierung beider beteiligten Partner, des Senders und des Empfängers, ebenso wie die Anerkennung der Daten durch den Nachweis des Ursprungs bzw. des Empfangs von über- tragenen Daten.
Bevor ich nun weiter ausführe, welche Maßnahmen wir gemeinsam, d.h. die Anwenderhochschulen, der DFN-Verein und HIS ergreifen können, um die notwendige Sicherheit der Verwaltungsdatenverarbeitung in den offenen Netzen des Hochschulbereiches zu erreichen, möchte ich einige Ausfhrungen dazu machen, wie und warum sich die Hochschulverwaltung der vorhandenen Netzinfrastruktur bedienen muß.

3.Neue Generation der Verwaltungsdatenverarbeitung
- Neue Herausforderungen an die Sicherheit


Wir stehen am Beginn einer neuen Generation der Verwaltungsdatenverarbeitung. So ist auch HIS dabei, die Verwaltungssysteme für die Hochschulen neu zu konzipieren und zu programmieren, um den Herausforderungen an diese neue Generation gerecht zu werden. Die neue Genration der Verwaltungsdatenverarbeitung setzt auf zwei Bedingungsumfeldern auf:
Was heißt Vorgangs- oder Geschäftsprozeorientierung der Hochschulverwaltung?
Die Hochschulverwaltung wird zunehmend als interner Dienstleister betrachtet, der für die hochschulinternen Kunden bestimmte Aufgaben erfüllt. Die Aufgabenerfüllung findet im Rahmen von arbeitsteiligen Prozessen statt mit der konsekutiven, parallelen oder alternativen Abarbeitung von Teilprozessen und mit dem klaren Ziel, letztendlich ein bestimmtes Dienst- leistungsergebnis zu erreichen bzw. beim "Kunden" abzuliefern. Die Prozesse können opti- miert werden im Hinblick auf die Erfüllung ihrer Ziele. Dies kann geschehen durch eine Re- organisation der Prozesse oder allein schon dadurch, da bei der notwendigen Weitergabe der Informationen im Laufe des Prozesses Medienbrüche und damit redundante Dateneingabe vermieden werden und die Daten "ein für allemal" in die elektronische Verarbeitung eingegeben werden, sobald sie das erste Mal explizit bearbeitet werden (z. B. durch den Kunden, wie uns dies die Bankenwelt ja vorexerziert). Wir sehen hier durchaus Parallelen zu den Tendenzen im Industrie-, Handel und Dienstleistungssektor unserer Wirtschaft. Dort spricht man von Business Process Reingineering, bei dem die Informations- und Kommunikationstechnologie eine wesentliche Rolle spielt, bei dem die Netzinfrastruktur entscheidende Reorganisationsbasis für die Geschäftsprozesse ist.
Für die Hochschulverwaltung lassen sich aus dieser Konzeptualisierung ihrer Aufgaben als Vorgänge (Geschäftsprozesse) einige Thesen ableiten, deren gemeinsamer "Gehalt" in dem hier vorliegenden Zusammenhang eine ganz simple Aussage ist: Die Hochschulverwaltung muß sich des prinzipiell offenen Hochschulnetzes bedienen!
Es sei noch einmal wiederholt, die vorgestellten Thesen zu den Verwaltungsvorgängen und der sie unterstützenden Verwaltungsdatenverarbeitung machen deutlich: die Verwaltungsdatenverarbeitung der Hochschulen muß sich der offenen Netzinfrastruktur der Hochschulen bedienen. Damit sind aber auch Vorkehrungen notwendig, die auf die Sicherheit des Transports von Daten (im o.g. Sinne) in offenen Netzen fokussieren. Was unter Transport zu verstehen ist, kann im technologischen Sinne bekanntlich in die Dienste:
untergliedert werden.

4.Übertragungssicherheit und HIS-Leistungen

Ich möchte nun darauf eingehen, welches Leistungsspektrum HIS in diesem Zusammenhang auf sich zukommen sieht und wie die betreffenden Dienstleistungen zusammen mit dem DFN- Verein optimal für die Hochschulverwaltungen erbracht werden können.
Wir können die anstehenden Aufgaben wieder unterteilen in die Absicherung gegen unberechtigten Zugang und die sichere Übertragung.
Was die Absicherung der Verwaltungsdatenverarbeitung gegen unberechtigten Zugang aus dem offenen Netz anbetrifft, so sind hier insbesondere die Maßnahmen zur Strukturierung des Hochschulnetzes zu erwähnen. Dazu gehört auch die Einsetzung von sogenannten Firewallrechnern an geeigneter und notwendiger Stelle, um bestimmte Netzsegmente (und damit die Rechner und sowohl die "statischen" als auch transportierten Daten in diesem Netzsegment) besonders zu schützen vor unberechtigtem Zugang. HIS kann hier aus dem Stand relativ wenig Unterstützung bieten und unsere Erfahrungen in diesem Bereich wachsen in gleichem Maße, wie die Erfahrungen, die die Hochschulen in diesem Zusammenhang machen. Allerdings kann HIS in Zusammenarbeit mit dem DFN-Verein, der das Thema ja auch über die spezielle Problematik der Verwaltungsdatenverarbeitung hinaus angeht, die Erfahrungen zusammentragen und sie wiederum den Hochschulverwaltungen verfügbar machen. Es könnten Empfehlungen erar- beitet werden auf der Basis von konkreten Erfahrungen in Pilotprojekten an den Hochschulen. Auf das "Expos" von Pilotprojekten werde ich noch zurückkommen.
Was die Sicherheit des Transportes der Daten über das offene Netz anbetrifft, so gibt es Ansätze und Verfahren, die unter dem Begriff der Verschlüsselung bekannt sind. Es gibt Definitionen des Problems, die Standardcharakter haben und es gibt entsprechende Softwareimplementationen, auf die zurckgegriffen werden kann, wenngleich es hier noch gilt, diese Software im Umfeld der Verwaltung zu testen, um abschlieende Empfehlungen aussprechen zu können.
Mit den Verschlüsselungstechniken werden Lösungen angeboten für Schutz vor unberechtigtem Zugang zu den Übertragungswegen (die verschlüsselten Informationen können von Unberechtigten nicht gelesen werden). Es werden zudem Lösungen angeboten für die Identifikation und Authentisierung von Sender und Empfänger (Elektronische Unterschrift und Beschränkung des Zugangs zu den übertragenen Informationen auf die Berechtigten, Nachweis des Ursprungs der Daten usw.).
Es sind grundsätzlich zwei Realsierungs- oder Einsatzmöglichkeiten der Verschlüsselungsmechanismen denkbar und implementierbar (und durch vorhandene Softwareprodukte verfügbar):
Was kann nun HIS im Zusammenhang mit diesen alternativen Sicherheitsfunktionen tun (die im Prinzip dieselben Dienste leisten)? HIS kann diese Sicherheitsdienste in seine Anwen- dungen für die Hochschulverwaltung "einbauen": Immer dann, wenn sicherheitsrelevanter Datentransport ber das Netz stattfinden soll, sei dies im Zusammenhang mit Dialogen, Filetransfer oder dem Austausch von Messages im Zusammenhang mit Verwaltungsvor- gängen, könnte von den HIS-Programmen heraus die Sicherheitsfunktionalität der beschriebenen Implementationen aufgerufen werden. Außerdem müssen die HIS-Systeme Schnittstellen für den Endanwender des Verwaltungssystems (d. h. des Kommunikationsprozesses) bereitstellen, die ihm gestatten, die Sicherheitsfunktion aufzurufen und die notwendigen identifizierenden und authentifizierenden Angaben (Schlssel) einzugeben, soweit erforderlich.

Was für HIS ansteht ist mithin:
HIS kann diese Aufgabe nicht allein wahrnehmen. Nicht nur ist die einzusetzende Software für die Sicherheitsfunktionen in der einen oder anderen Alternative (oder in beiden) möglichst standardisiert und DFN-weit festzulegen, nicht nur ist die von HIS zu bedienende Schnittstelle zu den Sicherheitsprogrammen zu definieren und aufzubereiten, es sind auch Maßnahmen zum Aufbau der Schlüsselzertifizierungsinfrastruktur notwendig. HIS kann die betreffende Aufgabe sinnvollerweise nur im Verbund mit dem DFN-Verein wahrnehmen. Darüber besteht Konsens zwischen dem DFN-Verein und HIS und eine derartige Kooperation wird auch getragen von den Arbeitsgruppen der DFN-Nutzergruppe Hochschulverwaltung. Im übrigen können die Beteiligten ja schon auf eine erfolgreiche Kooperation in diesem Kontext bei dem Projekt PISA der Fachhochschule Rheinland-Pfalz zurückblicken. Das Projekt wurde ja auch auf dieser Tagung präsentiert. Was aus unserer Sicht jetzt ansteht ist die Weiterentwicklung der PISA- Erfahrungen um Module für die grafische Nutzeroberfläche unter MS-Windows und für die Client-Server-Architektur der neuen Anwendungsssystemgeneration.

5.DFN-Verein und HIS - Eine Allianz für die Hochschulverwaltungen

Der DFN-Verein und HIS haben sich darauf verständigt, mit interessierten Hochschulen Pilotprojekte durchzuführen, in denen als gemeinsame Anstrengung des DFN-Vereins (der dafür zusätzliche BMBF-Mittel einwerben wrde), der HIS GmbH und der betreffenden Hochschule. Ziel solcher Kooperationsprojekte muß u. a. sein, Empfehlungen zu erarbeiten, die anderen Hochschulen zur Verfügung gestellt werden (i. S. v. "Rezepten"), ggf. in Abhängigkeit vom Grad des "Sicherheitsbedürfnisses" jeweiliger alternativer Szenarien.
Lassen Sie mich zum Abschluß nochmals einige relativierende Anmerkungen zu unser aller Anstrengungen im Zusammenhang mit der Sicherheit in Netzen anbringen: Sie werden sicherlich mit mir in der Überzeugung bereinstimmen, da wir uns gegen kriminelle Aktivitäten nicht absolut schützen können. Die jüngsten Ereignisse in Japan und in Oklahoma City haben dies für uns alle erschreckend vor Augen geführt.
Wir können nun sicherlich nicht die Konsequenz daraus ziehen, öffentliche Gebäude und Plätze ebenso wie die öffentlichen Verkehrsmittel gänzlich zu meiden. Ebensowenig sollten wir die Konsequenz ziehen, die Verwaltungsdatenverarbeitung von den offenen Netzen fernzuhalten, denn dadurch wrden wir die Effizienz und das Dienstleistungspotential der Hochschulverwaltung erheblich einschränken.
Ein Verhaltenscodex und seine "Verinnerlichung" ist für das öffentliche Leben im allgemeinen ebenso wie für die Benutzung der Netzinfrastruktur im besonderen der beste Garant für Sicherheit. Trotzdem müssen wir doch soviel wie möglich gemeinsame Anstrengungen unternehmen, um angemessene Sicherheitsfunktionen zu implementieren, die insbesondere in einem angemessenen Verhältnis stehen zu dem Sicherheitsinteresse je nach Sicherheitsklassen der betreffenden Verwaltungsdaten, die über das Netz transportiert werden sollen (und die im übrigen für sich selbst auch die Meßlatte ihrer Wirtschaftlichkeit bzw. ihres Aufwands nicht vollends außer acht lassen).
Und ein Letztes: Alle Datensicherheitskonzepte müssen wissen, da sie zeitpunktdimensioniert sind, d. h. sie müssen fortgeschrieben und z. B. an neue technische Umgebungen angepaß werden. In diesem Sinne ist Datensicherheit in offenen Netzen ein Dauerthema, das uns noch oft zusammenführen wird. Für HIS erkläre ich gern, da wir die Wichtigkeit dieses Sachkomplexes in unserer Arbeit sehr hoch veranschlagen wollen.