Einführung in die Problematik

GREPPER und DÖBELI von der ETH Zürich fordern in ihren EMPFEHLUNGEN FÜR DIE WARTUNG VON INFORMATIKMITTELN AN ALLGEMEINBILDENDEN SCHULEN eingangs dezidiert:

,,Empfehlung Nr. 1: Trennen Sie das administrative Netz vom Schulnetz! Der Verwaltungsbereich einer Schule hat nichts mit dem Unterricht zu tun. Auf dem Netz der Schulverwaltung wird produktiv mit sensitiven Personendaten ... gearbeitet. ... Auf dem Schulnetz dagegen wird Ausbildung betrieben.``⁷

Auch wenn die Gründe nicht ausführlich dargelegt werden, ist die Intention klar: Durch strikte physikalische Trennung der Netze wird die Zugangsproblematik entschärft; Zugangsberechtigungen können weitgehend auf physikalische Zugangssperren wie Türen, Schlösser u.Ä. zurückgeführt werden. Administrative Zuständigkeitsbereiche können scharf gefasst werden; die physikalische Netzstruktur spiegelt scheinbar das logische Tätigkeitsfeld der Benutzer wider.

Den meisten der weiteren Aussagen von GREPPER und DÖBELI kann bedenkenlos zugestimmt werden; sicherlich kann beispielsweise die Feststellung: ,,Personendaten haben nichts im Schülernetz verloren¡`⁸ bejaht werden.

Der nachfolgend zitierte Passus erscheint aber einer kritischen Betrachtung wert:

,,Sobald LehrerInnen und SchülerInnen für die Wartung des Systems eingesetzt werden, benötigen sie erweiterte Zugriffsrechte. Diese Rechte ermöglichen es ihnen, auf Daten zuzugreifen, die sie nichts angehen. Dies ist in allen Netzwerken der Fall und bleibt nicht auf Schulen beschränkt.``⁹

Tatsächlich werden die meisten Rechner und Rechnernetze in Schulen von Lehrern und Schülern verwaltet.¹⁰ Dazu sind selbstverständlich teilweise erweiterte Zugriffsrechte nötig, die jedoch bei einer ordentlich durchgeführten Rechtevergabe noch lange nicht den vollständigen Zugriff auf sämtliche Daten erlauben. Die Rechte müssen nach dem Prinzip des kleinsten Privilegs vergeben werden. Ein Rechnerbetreuer erhält genau die Berechtigungen, die er zur Durchführung seiner Aufgabe braucht. Selbst wenn ein Lehrer oder Schüler Nutzer eines ,,Super``-Accounts¹¹ auf dem Server des pädagogischen Rechnernetzes ist, dort also alle Berechtigungen besitzt, muss er noch keinen Zugriff auf die Verwaltungsdaten haben, die auf den Datenträgern eines anderen Servers abgelegt sind. Gerade deswegen muss in besonderem Maße darauf geachtet werden, dass Schüler und Lehrer eben nicht zur Wartung von Bereichen eingesetzt werden, in denen ihnen ein Zugriff auf Verwaltungsdaten möglich wird, der ihnen nicht zusteht. Die Wartungsbereiche, in denen Zugriff auf Verwaltungsdaten erforderlich oder unumgänglich ist, müssen dann von einer anderen Person betreut werden. Dies wird im Idealfall derjenige übernehmen, der auch sonst Zugriff auf sämtliche Verwaltungsdaten hat, etwa ein Mitglied der Schulleitung. Bei einer sorgfältig durchgeführten Konzeption der Rechnernetze und einer ebenso sorgfältigen Planung der Berechtigungsstruktur lässt sich eine sinnvolle Aufteilung der Wartungs- und Administrationsaufgaben erreichen.

Zusätzliche Probleme gibt es, wenn die Schulverwaltung Zugang zum Internet erhalten soll, denn ,,Verwaltungsnetze dürfen an das Internet nur angeschlossen werden, wenn und soweit dies erforderlich ist. Die Kommunikationsmöglichkeiten haben sich am Kommunikationsbedarf zu orientieren.``<sup>12</sup> Da in Rheinland-Pfalz durch EPoS der Anschluss mindestens eines Rechners an das Internet stattfinden soll, ergibt sich die Überlegung ,,zu prüfen, inwieweit das Behördennetz in anschließbare, nicht anschließbare und bedingt anschließbare Teile segmentiert werden muß und ob die Aufgabe mit einem nicht in das Verwaltungsnetz eingebundenen Rechner erfüllt werden kann.``¹³

Der auf den ersten Blick einsichtigen Forderung, den Internetbetrieb ausschließlich auf einen sonst für keine Verwaltungsaufgaben genutzten Rechner zu verlagern, begegnet man öfter.¹⁴ Ich halte diese Forderung für anachronistisch und inpraktikabel, und zwar aus den folgenden Gründen:

1. Der Datenaustausch wird unnötig erschwert, mobile Datenträger müssen eingesetzt werden.
2. Verwaltung bedarf mehr und mehr des Internets.¹⁵
3. Es entstehen Kosten für ein zusätzliches Gerät und einen zusätzlichen Arbeitsplatz.
4. Aus organisatorischer und ergonomischer Sicht ist es nicht zeitgemäß den Rechner -- und damit den Arbeitsplatz¹⁶ -- je nach Aufgabe zu wechseln.

Die Struktur eines so aufgebauten Netzes ist in Abbildung 2 dargestellt. Der Datenaustausch findet zwingend per Diskette oder anderem transportablem Datenträger statt.

  

Abbildung 2: Verwaltungsnetz mit einem an das Internet angeschlossenen Einzel-Rechner.

Sämtliche Maßnahmen, die die physikalische Trennung von Netzen fordern, zugleich aber einen Internetanschluss beider Teilnetze vorsehen, versuchen lediglich nicht vorhandenen Schutz in der Anonymität des Internets zu suchen. Im Internet existiert keine Sicherheit, also kann daraus auch keine bezogen werden. Meines Erachtens kann jede Sicherheitsfunktion besser und einfacher lokal bereitgestellt werden, als sie ins Internet zu projizieren. Dabei ist ,,besser`` zugleich im Sinne von ,,sicherer`` als auch im Sinne von ,,flexibler`` zu verstehen: Die Sicherheit, die selbst vor Ort bereitgestellt wird, ist gewiss, alles andere fußt auf blindem Vertrauen in externe, nicht ohne weiteres beeinflussbare Technik. Die selbst bereitgestellten Sicherheitsmaßnahmen können vor Ort eigenständig in ihrer Stärke abgeschätzt und individuell gemäß dem aktuellen Bedrohungs- und Sicherheitspotenzial bereitgestellt werden. Abbildung 3 soll diese Problematik an einem anderen schulischen Beispiel verdeutlichen.

  

Abbildung 3: Externer Zusammenschluss via Internet

Betrachtet man ein schulisches Verwaltungsnetz als ein System mit einheitlichem Schutzbedarf¹⁷, so ist ein zentraler Internetzugang mehreren Einzelzugängen vorzuziehen.¹⁸ An diesem zentralen Zugang kann der Einsatz von Firewall-Komponenten die Sicherheitsrisiken für das gesamte Netz zentral reduzieren; und auch wenn es im IT-Bereich keine 100%ige Sicherheit gibt,¹⁹ ,,so läßt sich dennoch durch die konsequente Anwendung [...] [der] technischen und organisatorischen Maßnahmen ein nach gegenwärtigen Maßstäben akzeptables Sicherheitsniveau erreichen.``<sup>20</sup> Auf Grund ständiger Veränderungen muss das einmal erreichte Sicherheitsniveau aber aktiv gehalten, möglichst verbessert werden, denn im Bereich der IT-Sicherheit gilt die Regel: ,,Was heute viel ist, ist morgen wenig.``²¹

Das Vorhandensein eines schlüssigen Sicherheitskonzeptes stellt ebenso wie die konsequente Umsetzung eine unmittelbare Voraussetzung für die Anbindung eines Schulnetzes an das Internet dar. Risiken müssen wirksam durch technische und organisatorische Maßnahmen beherrscht werden. Als wichtigste Schutzmaßnahme darf bereits jetzt die umfassende Information über Gefahren und Risiken erkannt werden.²²

In der letzten Zeit sind Erwartungswert an Technikanwendungen und Rechnernetze nicht nur gewaltig gestiegen, vielmehr ist ,,[f]ür die effektive und wirtschaftliche Aufgabenerfüllung [...] in vielen Bereichen der öffentlichen Verwaltung der Einsatz der Informations- und Kommunikationstechnik unverzichtbar geworden. Die Fülle der Aufgaben ... ist oftmals nur durch den Einsatz moderner Technik zu bewältigen.``<sup>23</sup> Der Stellenwert von ,,neuen`` Aspekten wie Verfügbarkeit, Stabilität und Zuverlässigkeit der angebotenen Dienste ist folglich nicht zu unterschätzen. Information über Gefährdungen und Aufnahme von Sicherheitsmaßnahmen müssen daher als gleichrangige Ziele neben Funktionalität und Leistungsfähigkeit angesehen werden.²⁴

Dabei darf nicht vernachlässigt werden, dass die Realisierung informationstechnischer Sicherheit

1. finanzieller Mittel bedarf,
2. zusätzlichen Aufwand verursacht,
3. die Nutzung der Anwendungen behindern kann.

Folglich handelt es sich bei der Umsetzung von Sicherheitskonzepten um ein Optimierungsproblem zwischen zu erzielender Sicherheit und den dazu erforderlichen Aufwendungen.²⁵

EMRICH gibt zu den erforderlichen Aufwendungen und dem damit erreichbaren Sicherheitsniveau an:

,,Bereits mit relativ wenig Aufwand läßt sich schon ein relativ hohes Niveau an Sicherheit erzielen``²⁶,

und konkretisiert dies dahingehend, dass bereits mit 20% der Aufwendungen 80% der möglichen Sicherheit erreicht werden könne.²⁷ Mit weiterem Aufwand sei jeweils nur wenig mehr an Sicherheitsgewinn möglich.

Die sich aus der oben geschilderten Situation für Schulen ergebenden Problemfelder existieren in ähnlicher Form auch in anderen, außerschulischen Bereichen. Hinsichtlich möglicher Lösungsansatze scheint es lohnenswert, diese einer genaueren Betrachtung zu unterziehen. Eine vielversprechende Übereinstimmung mit der schulischen Problematik ergibt sich an Hochschulen.

An Universitäten findet sich eine ähnliche Grob-Struktur wie an Schulen: neben den Rechnern in der Verwaltung in der Schule ein pädagogisches Rechnernetz, in der Universität die (mehr oder weniger) öffentlichen Dialogstationen. Selbstverständlich müssen in der Universität ebenso wie in der Schule die Verwaltungsrechner vor unbefugten Zugriffen geschützt werden. Es liegt also nahe, die Situation an den Universitäten genauer zu untersuchen und die dabei erzielten Ergebnisse im direkten Vergleich zur schulischen Situation zu betrachten.

Noch strengeren Sicherheitsbestimmungen unterworfen müssen Kliniknetze sein, dort werden Daten aufbewahrt und verarbeitet, deren (Un-)-Sicherheit im schlimmsten Fall Leben gefährdet. Neben den Hochschulnetzen wird also immer auch die Situation in Klinik-Netzen zur vergleichenden Betrachtung herangezogen werden.

Diese Vorgehensweise findet sich in der gesamten Arbeit wieder.

Vorweg kann schon festgestellt werden, dass Universitätsverwaltungen praktisch selbstverständlich vernetzt und an das Internet angeschlossen sind. Es scheint keine größeren Sicherheitsprobleme zu geben. Dies mag aber auch daran liegen, dass Hochschulen i.d.R. über Rechenzentren mit kompetenten Ansprechpartnern verfügen.