Strukturierung der
Verwaltungsanwendungen nach Schutzklassen

Ein Vorschlag der AG2 der Nutzergruppe Hochschulverwaltung
im Deutschen Forschnungsnetz

Gebhard Vössing TU Braunschweig

Zentrale EDV-Gruppe für die Hochschulen des Landes Niedersachsen

TU Braunschweig email: voessing@vw.tu-clausthal.de I. Vorbemerkungen

Inhalt

I. Einleitung

II. Sicherheitskonzept

III. Zuordnung von Verwaltungsanwendungen zu den Schutzstufen

VI. Schlußbemerkung


I. Einleitung

Umfang und Inhalt der in heutigen automatisierten Verfahren gespeicherten und verarbeiteten Daten erfordern es, daß dem Aspekt der Sicherheit bei der Verfahrenseinführung und im laufenden Betrieb große Aufmerksamkeit gewidmet wird. Neben den Datenschutzgesetzen, die in ihren aktuellen Fassungen vielfach bereits eine Technikfolgenabschätzung verlangen, schreiben auch eine Reihe weiterer Rechts- und Verwaltungsvorschriften die Erarbeitung und Realisierung eines Sicherheitskonzeptes vor. Als Beispiel sei hier auf die sehr weitgehenden Vorschriften im Bereich des Haushalts- und Kassenwesens verwiesen.

Für die Konzeption von Sicherheitsmaßnahmen bieten sich zwei grundsätzliche Alternativen an:

a) Es werden einheitliche, den Gesamtbereich der Verwaltungsverfahren einbeziehende Sicherheitsmechanismen implementiert. Da deren Effizienz sich orientieren muß an der Anwendung mit dem höchsten Schutzbedarf, werden folglich auch alle übrigen Bereiche dem gleichen hohen Sicherheitsstandard unterworfen.

b) Nach gründlicher Untersuchung der Anwendungen und Bewertung der jeweiligen Sicherheitsanforderungen werden gezielte, auf die einzelnen IuK-Systeme abgestimmte Maßnahmen ausgewählt und realisiert.

In aller Regel wird man sich für die zweite Alternative entscheiden, da bei ihr die Grundsätze der Verhältnismäßigkeit und der Angemessenheit beachtet werden.

Denn auch bei der Planung und Realisierung von Sicherheitsmaßnaßnahmen ist darauf zu achten, daß Nutzen und (monetärer und nichtmonetärer) Aufwand in einem angemessenen Verhältnis zum Schutzzweck stehen.

Ebenso stellt nur die Angemessenheit der Maßnahmen sicher, daß weder durch lückenhaften Schutz die Schutzziele gefährdet werden, noch ein überdimensionierter Schutz die Wirtschaftlichkeit in Frage stellt und bei den betroffenen Anwendern zu Akzeptanzproblemen führt. Bei fehlender Differenzierung der Sicherheitsmaßnahmen ist zu befürchten, daß tendenziell höherwertige und damit oftmals zu aufwendige Maßnahmen getroffen werden.

Der Leitgedanke, der bei der Planung und Implementierung von Sicherheitsmaßnahmen zugrundegelegt werden sollte, ist in nachfolgender Definition prägnant wiedergegeben:

Sicherheit

ist der Zustand eines IuK-Systems,

in dem die Risiken,

die beim Einsatz dieses Systems
aufgrund von Bedrohungen vorhanden sind,

durch angemessene Maßnahmen

auf ein tragbares Maß
beschränkt sind.

II. Sicherheitskonzept (Phasen, Umfang, Vorgehensweise)

Der Planung, Realisierung und Kontrolle von sicherheitsrelevanten Maßnahmen muß ein schlüssiges Konzept zugrundeliegen.

Bei der Erarbeitung eines solchen Sicherheitskonzeptes lassen sich 4 wesentliche Phasen unterscheiden:

1. Ermittlung der Schutzbedürftigkeit

2. Ermittlung der Bedrohungen

3. Risikoanalyse

4. Festlegung und Implementierung der Sicherheitsmaßnahmen.

Im ersten Schritt ist abzuklären,

- welche Anwendungen vorhanden und einer potentiellen Bedrohung ausgesetzt sind sowie

- welche Schadensfolgen gegebenfalls eintreten können.

Nach

- Ermittlung der einzubeziehenden Verwaltungsanwendungen ,
- Feststellung der Verfahrensinhalte und der Verarbeitungsergebnisse,
- Ermittlung möglicher Verbindungen zu weiteren Anwendungen

können dann als Ergebnis der Phase 1 die Schutzanforderungen beschrieben und bewertet werden. Dieses Zwischenergebnis ist wesentliche Grundlage für die weiteren Aktivitäten und beinflußt Umfang und Aufwand der späteren Realisierung. Bei Anwendungen mit geringem bis mittlerem Schutzbedarf kann ggfs. auf eine individuelle Risikoanalyse verzichtet werden, da die ohnehin vorhandenen grundsätzlichen Sicherheitsmaßnahmen für diese Bereiche einen ausreichenden Schutz gewährleisten (Grundschutz).

Für die Bewertung der Schutzanforderungen können abhängig vom Untersuchungsobjekt verschiedene Kriterien herangezogen werden. Nachfolgend sind einige mögliche Alternativen aufgelistet:

* Kriterium: Schadenswirkung

unbedeutend -> gering ->.mittel -> groß ->. existenzgefährdend

* Kriterium: Schadenswert in DM

bis 1.000 -> über 1.000 -> über 10.000 -> 100.000 -> über 1 Mio. DM

* Kriterium: Grad der einzuhaltenden Vertraulichkeit


offen -> nur für den Dienstgebrauch -> vertraulich -> geheim -> streng geheim

* Kriterium: Zeit-/Mittelaufwand zur Schadensabklärung bzw. -behebung

geringfügig -> vertretbar -> erheblich -> sehr umfangreich und nicht kalkulierbar
-> nicht leistbar

Aus Gründen der Praktikabilität ist es nicht sinnvoll, eine zu weitgehende Differenzierung vorzunehmen. In der Praxis hat es sich bewährt, 4 oder 5 Schutzkategorien festzulegen und eine entsprechende Zuordnung der IuK-Anwendungen vorzunehmen.

Einen entsprechenden Vorschlag für den Bereich der Verwaltungsanwendungen der Hochschulen zuerarbeiten, war ein wesentlicher thematischer Schwerpunkt für die Arbeitsgruppe 2 der Nutzergruppe Hochschulverwaltung. In der Diskussion zeigte es sich, daß nicht nur die Anforderungen des Datenschutzes zu berücksichtigen waren, sondern gleichgewichtig auch die Belange der Daten- und Verfahrenssicherheit zu beachten sind. Um Abgrenzungsprobleme zu vermeiden, wurde in Kenntnis, daß i.d.R. der Datenschutz eine Untermenge der Datensicherheit darstellt, eine unabhängige Bewertung und Einstufung für beide Bereiche vorgenommen. Die jeweils höherwertige Einstufung bestimmt dann die Sicherheitsanforderungen einer Anwendung.

In der nachfolgenden Tabellen sind die hochschulbezogenen Definitionen getrennt nach den Gesichtspunkten des Datenschutzes und der Datensicherheit zusammengefaßt.


Stufe    Datenschutz  (DSchu)                Datensicherheit  (DSi)              
                                                                           
  A      Frei zugängliche Daten, in die      Daten, deren Modifizierung,         
         Einsicht gewährt wird, ohne daß     Verlust oder Mißbrauch keine        
         der Einsichtnehmende ein            besondere Beeinträchtigung          
         berechtigtes Interesse geltend      erwarten läßt.                      
         machen muß.                                                             
  B      Personenbezogene Daten, deren       Daten, deren Modifizierung,         
         Mißbrauch zwar keine besondere      Verlust oder Mißbrauch die          
         Beeinträchtigung erwarten läßt,     Handlungsfähigkeit der Hochschule   
         deren Kenntnisnahme jedoch an ein   beeinträchtigt.                     
         berechtigtes Interesse des                                              
         Einsichtnehmenden gebunden ist.                                         
  C      Personenbezogene Daten, deren       Daten, deren Modifizierung,         
         Mißbrauch den Betroffenen in        Verlust oder Mißbrauch die          
         seiner rechtlichen sowie            Handlungsfähigkeit der Hochschule   
         beruflichen Stellung innerhalb      erheblich beeinträchtigt.           
         und außerhalb der Hochschule                                            
         beeinträchtigen kann.                                                   
  D      Personenbezogene Daten, deren       Daten, deren Modifizierung,         
         Mißbrauch den Betroffenen in        Verlust oder Mißbrauch die          
         seiner rechtlichen sowie            Handlungsfähigkeit der Hochschule   
         beruflichen Stellung innerhalb      gefährdet.                          
         und außerhalb der Hochschule                                            
         erheblich beeinträchtigen kann.                                         
  E      Entfällt                            Entfällt                           

III. Zuordnung von Verwaltungsanwendungen zu den Schutzstufen

Die Anzahl der an den einzelnen Hochschulen eingesetzten Verwaltungsanwendungen sowie deren Funktions- und Datenumfang decken ein breites Spektrum ab, so daß keine allgemein gültige Auflistung festgelegt werden kann. Hinzu kommt noch der mögliche unterschiedliche Integrationsgrad zwischen einzelnen Verfahren. Die in der nachfolgenden Tabelle wiedergegebene Zuordnung von IuK-Anwendungen zu den zuvor definierten Schutzstufen erhebt deshalb keinen Anspruch auf Vollständigkeit und soll und kann keine verbindliche Vorgabe für die einzelne Hochschule sein. Die konkrete Festlegung für die jeweilige Hochschule kann immer nur unter Beachtung der spezifischen örtlichen Rahmenbedingungen vorgenommen werden.

Zuordnung von DV-Verfahren der Hochschulverwaltungen
zu den Schutzstufen


Stufe  Zugeordnete Verfahren       nach Daten-   nach Daten-   Erläuterung       
                                   schutz        sicherheit                     
                                                        
 A    Standard-, Büro- und              A            A       Sofern nicht       
      Kommunikations-Software,                               vertraulichen und    
      insbesondere Textverarbeit-                            /oder aufbewahrungs-
      ung                                                    würdigen Inhalts;
      Bibliotheks-OPAC                  A            A       dann Stufe B-D
                                                                  
 B    Adressenverwaltung               A/B           B                      
      Betriebssteuerung und dergl.      A            B                        
      Gebäude-/Raumverwaltung           A            B                          
      Inventarisierung                  A            B           
      Kapazitätsberechnung             A/B           B                        
      Lagerverwaltung                   A            B          
      Lehrveranstaltungsplanung        A/B           B                  
      Telefonverzeichnis                A            B       

 C    Planungsverfahren                A/B           C                      
      Praxissemesterverwaltung,        B/C           C                          
      Projekt/Forschungsdatenbank,     B/C           C                              
      Seminarplatzvergabe               B            C                          
      Stellenverwalt./-bewirtschaft.    C            C                              
      Studentenverwaltung               C            C
      Wahlen  (Hochschul- oder          B            C
      Personalratswahlen)    
                                                
 D    Haushalts-/Kassenverfahren        B            D                       
      Personalverwaltung                D            D                                   
      Prüfungsverwaltung                D            D                                               
      Sicherheitsverwaltung            A/B           D                                         
      Zulassungswesen                   D            D                                               

Die konkreten örtlichen Rahmenbedingungen können im Einzelfall eine abweichende Zuordnung zu einer niedrigeren oder höheren Schutzstufe erfordern. Auffällig ist jedoch, daß nach Meinung der Arbeitsgruppe 2 der Aspekt der Datensicherheit zumeist die Einstufung begründet.

Es ist hier nicht möglich, für alle betrachteten Verwaltungsanwendungen die einzelnen Schritte aufzuzeigen, die im Ergebnis zu der vorliegenden Einstufung geführt haben. Zur Erläuterung der Vorgehensweise sind deshalb als Anlage 1 Beispiele für die Bereiche
- Lehrveranstaltungsplanung
- Studentenverwaltung
- Prüfungsverwaltung
beigefügt.

IV. Schlußbemerkung

Wie bereits erwähnt, stellte die Definition eines hochschulspezifischen Schutzstufenschemas und die beispielhafte Zuordnung gängiger Hochschulanwendungen einen wesentlichen Arbeitsschwerpunkt der Arbeitsgruppe 2 der Nutzergruppe Hochschulverwaltung dar. Die Ergebnisse sind in dem nunmehr vorliegenden Arbeitsbericht-Teil 1 detailliert und umfassend erläutert. Zusätzlich enthält der Bericht grundlegende Informationen zu den gängigen Sicherheitsfunktionen und deren Realisierung. (siehe Anlage 2: Inhaltsverzeichnis des Arbeitsberichtes).

In der Folgezeit sollen nun diese grundsätzlichen Überlegungen in die Praxis umgesetzt werden. Dies soll durch die beispielhafte Erarbeitung von Sicherheitskonzepten für gängige Verwaltungsanwendungen und deren Erprobung unter den konreten Rahmenbedingungen einzelner Hochschulen geschehen. Dabei ist auch zu prüfen , ob es möglich ist, für Anwendungen mit geringem bis mittlerem Schutzbedarf einen sogenannten Grundschutz zu definieren. Dies könnte eine schnelle Erarbeitung und Umsetzung von Sicherheitskonzepten (z.B. Für die Schutzstufen A, B) mit begrenztem Aufwand ermöglichen.

Bestandteile/Elemente eines solchen Grundschutzes könnten sein:

- strukturierte Subnetze

- Paßwortverfahren

- klare organisatorische Regelungen (Dienstanweisungen)

- Mitarbeiterschulung

- Verschlüsselungsverfahren.

Diese Komponenten stehen heute schon zur Verfügung und gestatten einen effizienten Schutz für wesentliche Bereiche der Hochschulverwaltung.

Anlage 1

Verfahren: Lehrveranstaltungsplanung

Daten/Inhalte:

- Thema der Lehrveranstaltung und ggfs. weitere inhaltliche Angaben

- beteiligtes Lehrpersonal

- Zielgruppe(Studiengang/Studienplansemester)

- Orts- und Zeitangaben

Funktionen:

- Erfassung, Abstimmung und Publizierung des Lehrangebotes

- Bereitstellung einer Planungs- und Entscheidungsgrundlage für die Studierenden für die Festlegung der individuellen Studienpläne

Output:

- Vorlesungsverzeichnis

- Semester- und Studiengangspläne

- diverse Listen/Aushänge/Druckvorlagen

Einstufung Datenschutz: A(B)

i.d.R. frei zugängliche Daten; kein besonderer Schutzbedarf

Einstufung Datensicherheit: B

zeitaufwendige, personalintensive Arbeitsabläufe mit verbindlichen Abschlußterminen;

Lehrpersonen und Studierende sind auf die Ergebnisse angewiesen;

--> Störungen der Verfahrensabläufe sind zu vermeiden, um eine Beeinträchtigung der Handlungsfähigkeit der Hochschule in diesem Aufgabenbereich auszuschließen

Verfahren: Studentenverwaltung

Daten/Inhalte:

- Identmerkmale der Studierenden

- Adreßdaten

- Studienverlaufsdaten

- immatrikulationsrechtlicher Status

- Angaben zu früheren Studiengängen

Funktionen:

-Einschreibung

- Rückmeldung/Beurlaubung/Studiengangswechsel

- Exmatrikulation

- Bescheinigungsdienst

- Datenlieferung gemäß Hochschulstatistikgesetz

- Bereitsstellung der studentischen Grunddaten für die Prüfungsverwaltung

Output:

- Bescheinigungen für Studierende (Leporello)

- diverse interne Verwaltungslisten

- Listen für Prüfungsämter, Lehrpersonen, Fachbereiche/Institute/Lehreinheiten

- umfängliche Statistiken/Kennzahlen/Planungsunterlagen

Einstufung Datenschutz: C;

die gespeicherten Daten lassen die Ableitung von "Profilen" für einzelne Studierende oder Gruppen zu;

--> die mißbräuchliche Nutzung oder die Verfälschung der Daten muß ausgeschlossen werden, um eine Beeinträchtigung der rechtlichen und beruflichen Stellung des Betroffenen zu verhindern

Einstufung Datensicherheit: C

die Verfahren sind integraler Bestandteil der Verwaltungsabläufe;

--> die Nichtverfügbarkeit führt zwangsweise zu einer erheblichen Beeinträchtigung der Handlungsfähigkeit der Hochschule, insbesondere zu den Spitzenzeiten (Einschreibung, Rückmeldung)

Verfahren: Prüfungsverwaltung

Daten/Inhalte:

- Abbildung der Prüfungs-/Studienordnungen, PA-Beschlüsse

- detaillierte umfängliche Leistungsdaten der Studierenden

Funktionen:

- Meldeverfahren

- Zulassungsverfahren

- Unterstützung der Prüfungsdurchführung

- Fristenüberwachung

- Notenverbuchung/-berechnung

- Bescheinigunsgdienst/Zeugniserstellung

Output:

- Meldelisten/Zulassungslisten

- Kandidatenlisten(Papier/Diskette)

- Ergebnis-/Notenlisten

- Notenspiegel

- Bescheinigungen/Leistungsnachweise/Zeugnisse/Urkunden

Einstufung Datenschutz: D;

Umfang und Sensibilität der pro Studierenden gespeicherten Daten sind deutlich höher im Vergleich zur Studentenverwaltung;

eine mißbräuchliche Nutzung, Verfälschung oder Löschung der Daten kann für den Betroffenen schwerwiegende Konsequenzen für das Studium oder gar den Studienabschluß haben.

--> eine derartige erhebliche Beeinträchtigung der Rechte des Betroffenen ist zu verhindern.

Einstufung Datensicherheit: D

Der Aufwand für die Wiederherstellung "beschädigter" Programm- und Datenbestände ist für diesen Bereich sehr hoch anzusetzen und teilweise nicht kalkulierbar.

--> Deshalb sind wirksame vorbeugende Sicherheitsmaßnahmen zu treffen, die eine Gefährdung der Handlungsfähigkeit der Hochschule ausschließen.