Datenschutzprüfkonzept für Fileserver mit dem

Transcription

Datenschutzprüfkonzept für Fileserver mit dem
DatenschutzprŸfkonzept fŸr Fileserver mit dem
Netzwerkbetriebssystem NOVELL NetWare 3.11 / 3.12
(Stand: 08.94)
INHALT
1.
2.
3.
4.
Einleitung
PrŸfungsunterlagen
Klassifizierung schutzwŸrdiger Belange
Systemverwaltung
4.1
4.2
4.3
4.4
5
Dateiverwaltung
5.1
5.3
5.4
6.
7.
8.
Rechte und Attribute
zur BeschrŠnkung des Zugriffs auf Dateien und Verzeichnisse
VerschlŸsselung
Protokollierung
7
8
14
16
22
22
27
28
Systemeinstellungen
31
6.1
6.2
31
33
Parametereinstellungen
Spezielle System-Kommandos (Konsolenbefehle)
Sicherheit der †bertragungsmedien
36
7.1
7.2
36
40
Lokale Netzwerke
DatenfernŸbertragung
Wartung/Fernwartung
8.1
8.2
9.
Benutzerklassen
Systemadministrator
Benutzerkontenverwalter
Anmeldung an den NOVELL-Fileserver
2
4
5
7
41
Fernverwaltung von Fileservern durch einen Fernkonsolbetreuer (eigenes Personal)41
Wartung/Fernwartung durch Fremdpersonal
44
ZusŠtzliche Ma§nahmen
46
9.1
9.2
9.3
46
47
48
GerŠtesicherung
DatentrŠger-Kontrolle
Speicherkontrolle
1. Einleitung
Das Netzwerkbetriebssystem NOVELL NetWare wird bei vielen Stellen der Privatwirtschaft
und der šffentlichen Verwaltung bei der Vernetzung von Personal Computern (PC) eingesetzt. Wesentlicher Bestandteil eines NOVELL-Netzes ist der Fileserver mit den zentralen
DatenbestŠnden. NOVELL NetWare bietet eine Reihe von Funktionen, die fŸr den Datenschutz und die Datensicherheit der Daten auf dem Fileserver genutzt werden kšnnen. Es ist
sowohl eine Zugriffs- als auch eine Benutzerkontrolle fŸr die auf dem Fileserver gespeicherten Informationen bis zur Dateiebene mšglich. Eine Kontrolle der AktivitŠten des Benutzers und der DatenbestŠnde vor Ort auf dem einzelnen PC ist jedoch mit NOVELL NetWare nicht mšglich. Hierzu ist der Einsatz entsprechender Sicherheitssoftware, wie z.ÊB.
Safeguard, notwendig.
FŸr die Sicherheit des gesamten NOVELL-Netzes ist ein Gesamtkonzept erforderlich, da§
1. die Sicherheit auf dem Fileserver und
2. die Sicherheit des lokalen DOS-Systems
berŸcksichtigt. Das folgende PrŸfkonzept soll dabei eine Hilfe sein. Sofern die Datensicherheit nicht in dem fŸr sensible Daten erforderlichen Umfang gewŠhrleistet werden kann, ist
von deren Verarbeitung in einem NOVELL-Netz abzusehen.
Zum systematischen Abarbeiten dieses PrŸfkonzeptes sollten Sie zunŠchst die in KapitelÊ2
beschriebenen Unterlagen zusammentragen bzw. erstellen. Weiter sollten Sie die bei Ihnen
gespeicherten personenbezogenen Daten nach dem Grad mšglicher BeeintrŠchtigung
schutzwŸrdiger Belange der Betroffenen entsprechend dem Schutzstufenkonzept des Kapitels 3 klassifizieren. Die Kapitel 1 bis 4 des nachfolgenden PrŸfkonzeptes dienen in erster
Linie der †berprŸfung der Sicherheit auf dem Fileserver. Die Fragen in Kapitel 7 bis 9 sind
zur Kontrolle der Sicherheit des Gesamtsystems gedacht. NOVELL- und MS-DOSGrundkenntnisse werden fŸr die Abarbeitung des PrŸfkonzeptes vorausgesetzt. Durch Ankreuzen von:
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
erhalten Sie die Mšglichkeit, alle erforderlichen Datensicherungsma§nahmen zu erkennen
und - soweit sie noch fehlen - zu initiieren. Auf diese Weise liegt nach Durcharbeiten des
PrŸfkonzeptes eine Ÿbersichtliche Aufstellung der noch zu treffenden Ma§nahmen vor. Zum
Teil werden die einzelnen Fragen in dem PrŸfkonzept durch einen in Klammern gesetzten
NOVELL-Befehl ergŠnzt, mit dem sich feststellen lŠ§t, ob die in der Frage geforderte Datensicherungsma§nahme erfŸllt oder noch zu beheben ist.
Das PrŸfkonzept erhebt keinen Anspruch auf VollstŠndigkeit. €nderungs- und ErweiterungsvorschlŠge werden gern entgegengenommen. Frauen bitte ich, sich auch von scheinbar mŠnnlichen, in Wahrheit aber nur generellen Bezeichnungen (z. B. Systemadministrator, Arbeitsgruppenverwalter, Benutzer) gemeint zu wissen:
Hinweis:
Ein beantwortetes PrŸfkonzept deckt mšglicherweise vorhandene SicherheitslŸcken des
Systems auf. Daher ist das ausgefŸllte PrŸfkonzept bis zur vollstŠndigen Beseitigung dieser
MŠngel entsprechend vertraulich zu behandeln!
2. PrŸfungsunterlagen
Zur DurchfŸhrung einer zŸgigen PrŸfung sollten folgende Informationen oder Unterlagen
zur VerfŸgung stehen :
1. Dienstanweisung fŸr den NOVELL-NetWare-Systemadministrator, alle weiteren Benutzer
und ggf. zur Wartung/Fernwartung des Netzes.
O VorhandenO Nicht vorhanden
2. †bersicht Ÿber alle Benutzer/Gruppen mit den Angaben:
- Name, Aufgabe und organisatorische Einordnung der Benutzer
(z. B: Datenerfassung, Datenbankadministration)
- im Arbeitsbereich eingesetzte Anwendung, Software
- Zugriff auf Verzeichnisse
- ArbeitszeitbeschrŠnkungen
- StationsbeschrŠnkungen
- Betreuer/Verwalter usw.
O VorhandenO Nicht vorhanden
3. †bersicht Ÿber die eingesetzten GerŠte und die Vernetzung des Rechnersystems mit folgenden Angaben:
- Art, Anzahl, Funktion und Standort der eingesetzten GerŠte (Rechner, Laufwerke,
BrŸcken, Repeater usw.), ggfs. Skizze
- Zuordnung der GerŠte zu den Benutzern
- eingesetzte NOVELL-NetWare-Versionen und Betriebssystemversionen der
angeschlossenen Rechner
- Kurzbeschreibung der Netzstruktur (z.B. "behšrdeneigenes Ethernet-LAN mit
10 PC im Hause, Server in Raum 213")
O VorhandenO Nicht vorhanden
4. †bersicht Ÿber alle Dateien bzw. Dateiengruppen/Dateiverzeichnisse mit folgenden Angaben:
- Kurzbeschreibung der datenschutzrelevanten Merkmale der Dateien (z.B.
Dateierrichtungsanordnung gemŠ§ Anlage 2, Ziffer 13 der IuK-TechnikGrundsŠtze, Nds. MBl. Nr.29/1990, S.994, †bersicht nach ¤ 37 Abs. 2 BDSG))
- Einstufung der SensitivitŠt der gespeicherten Daten entsprechend Kapitel 3.
- bei Programmen Kennzeichnung und kurze Funktionsbeschreibung
(z.B. "Datenbankprogramm")
- Trustee-Rechte fŸr die einzelnen Verzeichnisse
O VorhandenO Nicht vorhanden
5. Ausdruck des Bindery (nur bei kleineren Netzen mit weniger als 50 Benutzern);
Das NOVELL NetWare 3.11-Bindery besteht aus folgenden drei Dateien, die sich im Verzeichnis SYS:SYSTEM befinden:
NET$OBJ.SYS (fŸr Objekte, z.B. Benutzer, Gruppen, Fileserver)
NET$PROP.SYS (fŸr Eigenschaften = Merkmale der Objekte, z.B. Pa§wšrter)
NET$VAL.SYS (fŸr EigenschaftsdatensŠtze)
O VorhandenO Nicht vorhanden
6. Aufstellung Ÿber alle gravierende VerŠnderungen an dem NOVELL-Betriebssystem, z.B.
Einbindung oder Lšschung (evtl. zusŠtzlicher) NLM (NetwareLodableModul), EinfŸgung von
Treibern, usw.
O VorhandenO Nicht vorhanden
7. †bersicht Ÿber eingesetzte Zusatzsoftware, die Datenschutz und die Datensicherung unterstŸtzt (z.B. Software zur Benutzerverwaltung, VerschlŸsselung und Protokollierung)
O VorhandenO Nicht vorhanden
3. Klassifizierung schutzwŸrdiger Belange
Personenbezogene Daten werden nach dem Grad mšglicher BeeintrŠchtigung schutzwŸrdiger Belange bei Mi§brauch dieser Daten in 5 Schutzstufen untergliedert. Bei der Klassifizierung sind Datenfelder niemals einzeln zu bewerten. Die Betrachtung ist vielmehr auf die gesamte Datei, ggf. auch auf die unmittelbar verknŸpfbaren DatenbestŠnde auszudehnen.
Werden personenbezogene Daten unter einem Auswahlkriterium in eine Datei aufgenommen, das in der Datei nicht enthalten ist, so ist dieses Auswahlkriterium bei der Klassifizierung mit zu bewerten. Enthalten Dateien umfassende Angaben zu einer Person, so sind sie
in eine hšhere Schutzstufe einzuordnen, als dies nach den Einzeldaten erforderlich wŠre. Es
werden folgende Schutzstufen unterschieden:
Stufe A: Frei zugŠngliche Daten, in die Einsicht gewŠhrt wird, ohne da§ der Einsichtnehmende ein berechtigtes Interesse geltend machen mu§, z.B. Adre§bŸcher, Mitgliederverzeichnisse, Benutzerkataloge in Bibliotheken.
Stufe B: Personenbezogene Daten, deren Mi§brauch zwar keine besondere BeeintrŠchtigung erwarten lŠ§t, deren Kenntnisnahme jedoch an ein berechtigtes Interesse des Einsichtnehmenden gebunden ist, z.B. beschrŠnkt zugŠngliche šffentliche Dateien, Verteiler fŸr Unterlagen.
Stufe C: Personenbezogene Daten, deren Mi§brauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen VerhŠltnissen beeintrŠchtigen kann ("Ansehen"), z.B. Einkommen, Sozialleistungen, Grundsteuer, Ordnungswidrigkeiten.
Stufe D: Personenbezogene Daten, deren Mi§brauch die gesellschaftliche Stellung oder
die wirtschaftlichen VerhŠltnisse des Betroffenen erheblich beeintrŠchtigen kann
("Existenz"), z.B. Unterbringung in Anstalten, StraffŠlligkeit, Ordnungswidrigkeiten schwerwiegender Art, dienstliche Beurteilungen, psychologischmedizinische Untersuchungsergebnisse, Schulden, PfŠndungen, Konkurse.
Stufe E: Daten, deren Mi§brauch Gesundheit, Leben oder Freiheit des Betroffenen beeintrŠchtigen kann, z.B. Daten Ÿber Personen, die mšgliche Opfer einer strafbaren Handlung sein kšnnen.
Falls die SensitivitŠt nicht bekannt ist, ist von der hšchsten SensitivitŠtsstufe auszugehen.
Denkbar ist auch, da§ der Schutz empfindlicher Firmendaten ohne Personenbe zug die Einstufung bestimmt. Ebenso sollte mit einbezogen werden, inwieweit Au§enstehende oder eigene Mitarbeiter ein (kriminelles) Interesse an den zu schŸtzenden Daten haben kšnnten.
Die SensitivitŠtskriterien kommen sinngemŠ§ auch zur Anwendung, wenn es sich um Datensicherungsma§nahmen zu vollstŠndigen Dateiverzeichnissen, Rechnern oder Netzwerken handelt. So mu§ sich der Systempa§wortschutz oder die Systemprotokollierung nach
den sensitivsten Daten richten, die in dem System verarbeitet werden, das mit dem Pa§wort zugŠnglich ist.
Daten der SensitivitŠtsstufe E erfordern eine sehr restriktive Handhabung; Vernetzungen
sind nur in deutlich eingeschrŠnktem Ma§e akzeptabel. Eine Verarbeitung dieser Daten
unter NOVELL ist daher nur in sorgfŠltig begrŸndeten AusnahmefŠllen zulŠssig.
Die im NOVELL-Netz vorhandenen Dateien sind nach ihrer SensivitŠt der
O Stufe A
O Stufe B
O Stufe C
O Stufe D
O Stufe E
zuzuordnen (Zutreffendes bitte ankreuzen).
4. Systemverwaltung
4.1 Benutzerklassen
FŸr den Systemadministrator eines NOVELL-Netzes existiert zur AusfŸhrung seiner TŠtigkeiten zur Verwaltung des Netzwerkes die Kennung "Supervisor". In kleineren Netzen mit
nur einem Systemadministrator arbeitet dieser unter der Kennung "Supervisor". Bei gro§en
Netzen mit mšglicherweise mehreren Systemadministratoren bietet es sich an fŸr jeden Systemadministrator eine Benutzerkennung, fŸr die eine Sicherheitsgleichsetzung mit der Supervisor-Kennung erfolgte, einzurichten und die Supervisor-Kennung nur in NotfŠllen zu
gebrauchen.
Der Systemadministrator, der unter der Supervisor-Kennung oder einer sicherheitsgleichgesetzten Kennung arbeitet, verfŸgt in allen Verzeichnissen Ÿber alle Rechte; diese Rechte
kšnnen nicht widerrufen werden. Er kann z. B. alle Programme und Dateien lesen und verŠndern, in die Zugriffsmechanismen und Ein- und Ausgabeprozesse des Betriebssystems
eingreifen sowie ohne jegliche Protokollierung arbeiten. Ihm obliegt au§erdem die Erstellung von Benutzern, die Zugriff auf den NOVELL-Netware-Fileserver haben, und die Vergabe von Berechtigungen fŸr die einzelnen Benutzer. Der Systemadministrator ist somit fast
unkontrollierbar. Daraus ergeben sich folgende Risiken:
1. Der Systemadministrator oder jede andere Person mit entsprechenden Rechten kann die
umfassenden Berechtigungen fŸr unlautere bzw. datenschutzrechtlich bedenkliche Zugriffe und Manipulationen der Programme oder Daten nutzen.
2. Fehler des Systemadministrators kšnnen weitreichende unerwŸnschte Konsequenzen
haben.
Der Systemadministrator kann nach Bedarf ZustŠndigkeiten im Bereich der Systemverwaltung an Benutzer, sog. Verwalter, delegieren:
-
Arbeitsgruppenverwalter = Workgroup Manager, ein eingeschrŠnkter NetzwerkSupervisor mit Rechten zum Erstellen und Lšschen von Benutzern und Gruppen und
zum Verwalten der Benutzerkonten in dem vom Supervisor zugewiesenen Rahmen. Arbeitsgruppenverwalter kšnnen keine anderen Arbeitsgruppenverwalter erstellen oder einen Benutzer erstellen und ihm eine Sicherheitsgleichsetzung mit dem Supervisor geben.
(SYSCON / Supervisor Options / Workgroup Managers)
-
Benutzerkontenverwalter = User Account Manager, ein Benutzer oder Gruppenmitglied mit Rechten zum Verwalten bestimmter Benutzerkonten. Erfahrene Benutzer kšnnen als Benutzerkontenverwalter besonders in gro§en Systemen Routineaufgaben
Ÿbernehmen, wie z. B. das Zuordnen von Benutzern zu neuen Gruppen, die BeschrŠnkung der Anmeldung fŸr Benutzer oder die Vorgabe von KontostŠnden bei eingerichteter KontofŸhrungsfunktion. Arbeitsgruppenverwalter werden automatisch auch Benutzerkontenverwalter fŸr Benutzer, die sie erstellen.
(SYSCON / User oder Group Information / Managed Users and Groups;
SYSCON / User oder Group Information / Managers)
Die Verwalter mŸssen vom Systemadministrator Dateirechte erhalten um Verzeichnis- und
Dateirechte zu vergeben (z. B. das Recht SUPERVISORY fŸr das Verzeichnis der vom Arbeitsgruppenverwalter verwalteten Gruppe) Die Weitergabe von Rechten an einen Arbeits-
gruppen- oder Benutzerkontenverwalter mu§ sorgfŠltig geprŸft werden und sollte nur in
grš§eren Systemen mit mindestens 20 Benutzern erfolgen. Sie ist zu dokumentieren und
so zu handhaben, da§ nicht die Kontrolle Ÿber das System verloren geht.
Zur Vereinfachung und Ÿbersichtlicheren Gestaltung der Netzwerkverwaltung sollten vom
Systemadministrator Gruppen = Groups fŸr zusammengehšrige Netzwerkbenutzer, die
Anwendungsprogramme gemeinsam benutzen, Šhnliche Aufgaben ausfŸhren oder Šhnliche
Informationen benštigen, eingerichtet werden. Die Rechte fŸr die einzelnen Benutzer, die
Mitglied in der Gruppe sind, mŸssen dann nur einmal pro Gruppe vergeben und gepflegt
werden. Es empfiehlt sich den einzelnen Gruppen ein separates Volume oder Verzeichnis
zuzuweisen.
(SYSCON / Group Information / Member List - Anzeige eine Liste der vorhandenen Gruppen und ihrer Mitglieder)
4.2 Systemadministrator
(Dieses Kapitel sollte nicht von dem Systemadministrator allein sondern zusammen mit dem Datenschutzbeauftragten
oder einem Vorgesetzten ausgefŸllt werden)
Arbeitsgruppenverwalter fungieren als Hilfs-Systemadministratoren und mŸssen dementsprechend dieselben Anforderungen wie ein Systemadministrator erfŸllen. Eine Gruppe
ist nicht mit den Rechten eines Arbeitsgruppenverwalters auszustatten.
Anzahl der Teilnehmer im Netz: _________
Anzahl der Systemadministratoren: ________
Anzahl der Arbeitsgruppenverwalter: ________
(Arbeitsgebiete s. Dokumentation)
4.2.1. Bei kleineren Systemen mit weniger als 20 Teilnehmern und Daten der Stufen A
bis D gibt es einen Systemadministrator und mindestens eine Vertretung. Im Vertretungsfall wird das Pa§wort fŸr die Supervisor-Kennung vom Systemadministrator an den
Vertreter weitergegeben. Nach Beendigung der Vertretung wird das Pa§wort fŸr die Supervisor-Kennung geŠndert.
Bei grš§eren Systemen mit mindestens 20 Teilnehmern und Daten der Stufen A bis D ist
auch die Einrichtung von weiteren Systemadministratoren oder Arbeitsgruppenverwaltern
denkbar, wobei deren Anzahl der Systemgrš§e angepa§t ist, d. h. maximal ein weiterer
Systemadministrator bzw. ein Arbeitsgruppenverwalter fŸr 20 Teilnehmer vorhanden ist.
Arbeitsgruppenverwalter werden vom Systemadministrator vertreten. Sind mehrere Systemadministratoren vorhanden, so vertreten diese sich untereinander.
Bei Systemen mit Daten der Stufe E sind grundsŠtzlich mindestens zwei Systemadministratoren zur DurchfŸhrung des 4-Augen-Prinzips (s. 4.2.17) zu benennen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.2. Die Zuweisung der Systemadministrator-Funktion erfolgte schriftlich (z. B. im GeschŠftsverteilungsplan).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.3. Der Systemadministrator und die Vertretung sind nicht der interne Datenschutzbeauftragte.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.4. Die Auswahl des Systemadministrators und der Vertretung erfolgte sorgfŠltig nach
Fachkunde (EDV-Wissen, betriebsspezifische Kenntnisse) und ZuverlŠssigkeit (persšnliche
IntegritŠt).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.5. Der Systemadministrator und die Vertretung sind auf das Datengeheimnis verpflichtet
worden (¤ 5 BDSG) bzw. darŸber belehrt worden (¤ 5 NDSG).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.6. Der Systemadministrator hat einen NOVELL-Lehrgang oder eine gleichwertige Ausbildung absolviert.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.7. Der Systemadministrator und die Vertretung haben eine mehrjŠhrige berufliche Praxis im Umgang mit Betriebssystemen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.8. Der Systemadministrator arbeitet regelmŠ§ig im NOVELL-Bereich (bei grš§eren Netzen tŠglich). Gleiches gilt fŸr die Vertretung (z. B. in der Programmierung).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.9 Dem Systemadministrator steht genŸgend Zeit zur VerfŸgung, um Ma§nahmen zur
Datensicherung und zur Datenschutzkontrolle in ausreichendem Ma§ und mit ausreichender Sorgfalt in Zusammenarbeit mit dem Fachbereich zu planen und durchzufŸhren.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.10. Es gibt eine strikte Funktionstrennung zwischen der Systemadministration und der
Verarbeitung personenbezogener Daten in den jeweiligen Anwendungen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.11. Der Systemadministrator und die Vertretung haben neben der Supervisor-Kennung
jeweils eine "gewšhnliche" persšnliche Benutzer-Kennung, unter der Standardaufgaben
durchgefŸhrt werden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:......................................................................................................................................
4.2.12. Der Systemadministrator und die Vertretung arbeiten nur dann unter der SupervisorKennung, wenn die Supervisor-Rechte benštigt werden.
SpŠtestens ab Vorhandensein von Daten der Stufe D bedeutet dies, da§ nur in AusnahmefŠllen mit Supervisor-Rechten gearbeitet wird.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.13. Die Befugnisse und Verpflichtungen des Systemadministrators und der Vertretung
sind in einer Dienstanweisung schriftlich festgehalten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:......................................................................................................................................
4.2.14. Die Supervisor-Kennung ist in AbhŠngigkeit von der Grš§e und der rŠumlichen
Ausdehnung des Netzes auf die notwendige Anzahl von Arbeitsstationen
(Netzwerkadressen) beschrŠnkt.
(SYSCON / User Information / Supervisor / Station Restrictions / Allowed Login Adresses =
Netzadressen der Arbeitsplatzrechner; keine Angabe = Anmeldung Ÿberall mšglich)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm.:......................................................................................................................................
4.2.15. Keinem "normalen" Benutzer sind im Wege einer Sicherheitsgleichsetzung Supervisor-Befugnisse eingerŠumt worden. (Ausnahme fŸr NotfŠlle s. 4.2.17).
(SYSCON / User Information / Security Equivalences oder Befehl: "SECURITY | MORE")
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.16. Der Systemadministrator hat eine Zugangsmšglichkeit zum System fŸr den Notfall,
wenn die Supervisor-Kennung von einem Eindringling gesperrt wird (s. 4.4.1.). Er hat hierzu
eine fiktive Benutzerkennung mit einem nicht zu erratenden aber einprŠgsamen Namen
eingerichtet und diesem fiktiven Benutzer eine Sicherheitsgleichsetzung mit der SupervisorKennung gegeben.
Dies ist nicht erforderlich, wenn in grš§eren Systemen mehrere Systemadministratoren
vorhanden sind, die jeweils unter einer Kennung arbeiten, fŸr die eine Sicherheitsgleichsetzung mit der Supervisor-Kennung erfolgte (s. 4.2.1).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.17 Pa§wort fŸr die Kennung des Systemadministrators / Arbeitsgruppenverwalters
An die Handhabung des Pa§wortes fŸr die Supervisor-Kennung, sicherheitsgleichgesetzter
Kennungen und die Kennung eines Arbeitsgruppenverwalters sind aufgrund der umfangreichen Befugnisse, die mit der Kenntnis dieses Pa§wortes verbunden sind, sehr hohe Anforderungen zu stellen. Es sind deshalb neben den in Kapitel 4.4 genannten grundsŠtzlichen
Anforderungen an die Vergabe eines Pa§wortes folgende weitere Punkte zu beachten:
4.2.17.1.
Bei Daten der Stufen A - D:
Das Pa§wort ist nur dem Systemadministrator bekannt. Er teilt seiner Vertretung das Supervisor-Pa§wort nur im Ausnahmefall mit.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
Bei Daten der Stufe E:
Der Systemadministrator und die Vertretung haben eine gemeinsame Supervisor-Kennung
mit einem zweigeteilten Pa§wort, von dem jedem nur eine HŠlfte bekannt ist. SupervisorFunktionen kšnnen nur gemeinsam ausgefŸhrt werden, so da§ eine gegenseitige Kontrolle
erfolgt (4-Augen-Prinzip).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.17.2. Wurde das Pa§wort anlŠ§lich eines Ausnahmefalles weitergegeben, so wird es
nach Beendigung des Ausnahmefalles sofort geŠndert.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.2.17.3. Das komplette Pa§wort ist fŸr den Ausnahmefall versiegelt an einem sicheren Ort
(z.B. Tresor) hinterlegt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
4.3 Benutzerkontenverwalter
(Dieses Kapitel sollte vom Benutzerkontenverwalter zusammen mit dem Datenschutzbeauftragten und/oder dem Systemadministrator ausgefŸllt werden)
Anzahl der Benutzerkontenverwalter: __________
(Arbeitsgebiete s. Dokumentation)
4.3.1. Bei grš§eren Systemen mit mindestens 20 Teilnehmern und Daten der Stufen A bis
D ist auch die Einrichtung von Benutzerkontenverwaltern denkbar. Die Anzahl ist der Systemgrš§e angepa§t, d. h. maximal ein Benutzerkontenverwalter fŸr 20 Teilnehmer, wenn
es keine Arbeitsgruppenverwalter gibt. Die Benutzerkontenverwalter werden vom Systemadministrator vertreten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.2. Die Zuweisung der Benutzerkontenverwalter-Funktion erfolgte schriftlich (z. B. im
GeschŠftsverteilungsplan).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.3. Die Auswahl des Benutzerkontenverwalters erfolgte sorgfŠltig nach Fachkunde
(EDV-Wissen, betriebsspezifische Kenntnisse) und ZuverlŠssigkeit (persšnliche IntegritŠt).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.4. Der Benutzerkontenverwalter ist auf das Datengeheimnis verpflichtet (¤Ê5ÊBDSG)
bzw. darŸber belehrt worden (¤ 5 NDSG).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.5. Alle Benutzerkontenverwalter sind ausfŸhrlich in das Verfahren der Rechtevergabe
eingewiesen und Ÿber die Bedeutung ihrer Aufgabe fŸr die Sicherheit des Systems unterrichtet worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.6. Allen Benutzerkontenverwaltern sind nur die fŸr die ErfŸllung ihrer Aufgaben unbedingt erforderlichen Rechte vom Systemverwalter Ÿbertragen worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.7. Alle Benutzerkontenverwalter haben lediglich die Befugnis, Datei-/Verzeichnisrechte
sowie Benutzerrechte fŸr Ihren Bereich zu vergeben. Sie haben jedoch keine SupervisorRechte an den Ihnen zur Verwaltung Ÿbertragenen Verzeichnissen erhalten (vgl. KapitelÊ5).
(Verzeichnisrechte nur (A)ccess Control, nicht (S)upervisory)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.8. Kein Benutzerkontenverwalter hat die Berechtigung zur €nderung der Datei/Verzeichnisrechte und Benutzerrechte an einen von ihm verwalteten Benutzer weitergegeben.
( (A)ccess Control nicht fŸr normale Benutzer)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.9. Der Benutzerkontenverwalter hat jeweils eine "gewšhnliche" persšnliche BenutzerKennung, unter der die normalen Arbeiten durchgefŸhrt werden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.10. Die Benutzerkontenverwalter-Kennung ist auf maximal zwei Arbeitsstationen
(Netzwerkadressen) beschrŠnkt.
(SYSCON / User Information / Station Restrictions)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm.:......................................................................................................................................
4.3.11. Das Pa§wort fŸr die Benutzerkontenverwalter-Kennung ist nur dem Benutzerkontenverwalter bekannt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.3.12. Keinem "normalen" Benutzer sind im Wege einer Sicherheitsgleichsetzung Benutzerkontenverwalter-Befugnisse eingerŠumt worden.
(SYSCON / User Information / Security Equivalences oder Befehl: "SECURITY | MORE")
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.4 Anmeldung an den NOVELL-Fileserver
Alle Benutzer - auch der Systemadministrator, die Arbeitsgruppen- und die Benutzerkontenverwalter - mŸssen bestimmte Regeln bei der Anmeldung an den NOVELL-NetWareFileserver einhalten. Dadurch wird sichergestellt, da§ nur berechtigte Benutzer Zugriff auf
die personenbezogenen Daten haben. Die Regeln zur Anmeldung kšnnen auf organisatorischem und ggf. auf technischem Wege festgelegt werden. Die Erzwingung der Einhaltung
dieser Regeln durch technische Vorgaben ist grundsŠtzlich der sicherere Weg. Sobald die
Erzwingung durch Vorgaben unter dem NOVELL-NetWare-Basissystem mšglich ist, sollte
deshalb von dieser Mšglichkeit Gebrauch gemacht werden. Dies gilt insbesondere fŸr die
Verarbeitung von personenbezogenen Daten ab der Schutzstufe C. Wenn die technische
†berwachung nicht durch entsprechende Parameterangabe fŸr das NOVELL-NetWareBasissystem mšglich ist, aus Datensicherungsaspekten jedoch erforderlich ist, befindet sich
bei der Frage ein Hinweis auf eine erforderliche Erweiterung durch NLM«s oder andere zusŠtzlich zu beschaffende Sicherheitssoftware.
4.4.1. Eindringlings-Erkennungs-/Sperrfunktion - standardmŠ§ig fŸr alle Benutzer (SYSCON / Supervisor Options / Intruder Detection/Lockout)
Sobald ein Eindringling erfolglose Anmeldeversuche unter einer Kennung mit einem ungŸltigen Pa§wort vornimmt, wird der Fileserver nach †berschreitung der vorgegebenen Anzahl
fehlerhafter Anmeldeversuche fŸr diese Kennung fŸr die angegebene Zeit gesperrt. Der Systemadministrator kann Ÿber "SYSCON / User Information / Intruder Lockout Status" erkennen, ob fŸr ein Benutzerkonto unberechtigte Anmeldeversuche vorgenommen wurden, und
eine vorhandene Sperre aufheben. Die Sperrung des Benutzerkontos wird im Fehlerprotokoll des Systems (System Error Log) festgehalten.
Parameter
Detect Intruders
(Eindringlings-Erkennungs-Funktion ja/nein)
Incorrect Login Attempts
(Anzahl der zulŠssigen fehlerhaften Anmeldeversuche ...)
Bad Login Count Retention Time
(... innerhalb der angegebenen Zeit ausgehend vom
letzten fehlerhaften Versuch)
Lock Account After Detection
(Sperre-Funktion ja/nein)
Length of Account Lockout
(Dauer der Sperre)
Ist
Soll
Yes
max. 5
mind. 1 Stunde
Yes
mind. 1 Stunde
4.4.2. ZugriffsbeschrŠnkungen - standardmŠ§ig fŸr alle neuen Benutzer (SYSCON / Supervisor Options / Default Account Balance/Restrictions)
Parameter
Account Has Expiration Date
(Der Benutzer soll sich nur fŸr eine begrenzte Zeit
anmelden kšnnen ja/nein, z.B. befristeter Arbeitsvertrag, Versetzung, Praktikum)
Date Account Expires
(nach dem angegebenen Datum ist keine Anmeldung mehr mšglich)
Limit Concurrent Connections
(Festlegung, ob ein Benutzer sich vor Anmeldung
an einem anderen Arbeitsplatzrechner abmelden
mu§ ja/nein)
Ist
Soll
No
Yes
Maximum Connections:
(Angabe der max. Anzahl gleichzeitiger Verbindungen bei Eingabe von "Yes")
Require Password
(Pa§wort fŸr den Benutzer ja/nein)
Minimum Password Length
(Minimale Pa§wortlŠnge)
Force Period Password Changes
(Periodische Pa§wort-€nderungen ja/nein)
1
Days Between Forced Changes / Date Password
Expires
(Eingabe der Anzahl der Tage, nach denen ein
Pa§wortwechsel erzwungen wird sowie automatische Anzeige des Ablaufdatums)
Limit Grace Logins
(Begrenzung der Anmeldungsversuche mit einem
abgelaufenen Pa§wort)
180 Tage
Grace Logins Allowed / Remaining Grace Logins
(Anzahl der zulŠssigen Anmeldeversuche mit einem
abgelaufenen Pa§wort sowie Anzeige der verbleibenden noch zulŠssigen Anmeldeversuche)
Require Unique Passwords
(Eindeutiges Pa§wort ja/nein; es werden die letzten
10 Pa§wšrter, die mind. 1 Tag benutzt wurden, gespeichert)
3
Yes
mind. 6
Yes
Yes
Yes
Die Standardeinstellungen des Systems in der oben aufgefŸhrten und der unter Punkt 4.4.3
dargestellten Eingabemaske zur ZugriffsbeschrŠnkungen sind aus datenschutzrechtlicher
Sicht unzureichend (z. B. Require Password = NO) und daher stets zu Šndern.
Sind in der oben aufgefŸhrten Eingabemaske Festlegungen zur ZugriffsbeschrŠnkung fŸr
alle Benutzer vorgenommen worden, so werden diese standardmŠ§ig fŸr alle Benutzer, die
nach der Festlegung eingerichtet werden, Ÿbernommen. Benutzerkonten, die vor der Standardfestlegung eingerichtet wurden, sind nachtrŠglich einzeln an die Standardfestlegungen
anzupassen (s. Punkt 4.4.3). Sollen fŸr einzelne Benutzer die Standardfestlegungen nicht
gelten, so kšnnen die Abweichungen Ÿber die unter Punkt 4.4.3 aufgefŸhrte Maske eingegeben werden. Abweichungen sind zu begrŸnden und zu dokumentieren.
Die Eingabe eines Pa§wortes bei Anmeldung an den Fileserver erfolgt grundsŠtzlich dunkelgesteuert. Das Pa§wort wird verschlŸsselt gespeichert. Der Benutzer wird bei erstmaliger Anmeldung vom System aufgefordert sein Pa§wort zu Šndern, sofern der Parameter
"Force Period Password Changes" = "Yes" ist.
4.4.3. ZugriffsbeschrŠnkungen fŸr die einzelnen Benutzer
(SYSCON / User Information / Account Restrictions)
Parameter
Account Disabled
(Zeitweise Sperrung des Benutzers ohne Verlust der Einstellungen ja/nein)
Account Has Expiration Date
(Der Benutzer soll sich nur fŸr eine begrenzte Zeit anmelden kšnnen ja/nein, z.B. befristeter Arbeitsvertrag, Versetzung, Praktikum)
Date Account Expires
(nach dem angegebenen Datum ist keine Anmeldung
mehr mšglich)
Limit Concurrent Connections
(Festlegung, ob ein Benutzer sich vor Anmeldung an einem anderen Arbeitsplatzrechner abmelden mu§ ja/nein)
Maximum Connections:
(Angabe der max. Anzahl gleichzeitiger Verbindungen bei
Eingabe von "Yes")
Allow User To Change Password
(Erlaubnis fŸr den Benutzer sein Pa§wort selbst zu Šndern ja/nein)
Require Password
(Pa§wort fŸr den Benutzer ja/nein)
Minimum Password Length
(Minimale Pa§wortlŠnge)
Force Period Password Changes
(Periodische Pa§wort-€nderungen ja/nein)
Ist
Soll
Yes = bei lŠngerer Abwesenheit
Yes mit Datum =
bei offensichtlich
befristeter TŠtigkeit
Yes
1
Yes
Yes
mind. 6
Yes
Days Between Forced Changes / Date Password Expires
(Eingabe der Anzahl der Tage nach denen ein Pa§wortwechsel erzwungen wird sowie automatische Anzeige
des Ablaufdatums)
Limit Grace Logins
(Begrenzung der Anmeldungsversuche mit einem abgelaufenen Pa§wort)
180 Tage
Grace Logins Allowed / Remaining Grace Logins
(Anzahl der zulŠssigen Anmeldeversuche mit einem abgelaufenen Pa§wort sowie Anzeige der verbleibenden
noch zulŠssigen Anmeldeversuche)
Require Unique Passwords
(Eindeutiges Pa§wort ja/nein; es werden die letzten 10
Pa§wšrter, die mind. 1 Tag benutzt wurden, gespeichert)
3
Yes
Yes
4.4.4. Trivialpa§wšrter (z.B. Vornamen, Geburtsdaten, Dienstnummern oder generell unverŠnderte Wšrter aus dem Lexikon) dŸrfen nicht verwendet werden. Dies ist in der Dienstanweisung festgelegt.
Ab Daten der Stufe D:
Trivialpa§wšrter werden technisch ausgeschlossen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
4.4.5. Eine Zeichenmischung ist vorgeschrieben. Dies ist in einer Dienstanweisung festgelegt.
Ab Daten der Stufe D:
Eine Mischung von Zeichen wird technisch erzwungen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.4.6. Die Pa§wortregeln sind in einer schriftlichen, allen Benutzern bekannten Dienstanweisung festgelegt. Hier sind u.a. folgende Punkte aufgefŸhrt: Pa§wšrter niemandem
mitteilen (bis auf Vertretung); Pa§wšrter nicht aufschreiben (Ausnahme: z.B. sichere Hinterlegung des Supervisor-Pa§wortes); Hilfe zur Auswahl guter Pa§wšrter (z.B. jeder x-te
Buchstabe eines einprŠgsamen Satzes, Liedes oder o.Š. und ein bestimmtes Sonderzeichen sowie eine Zahl an einer bestimmten Stelle des Pa§wortes); bei Neueinrichtung eines
Arbeitsplatzes sofort neues Pa§wort vergeben.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
4.4.7. FŸr Tageszeiten, zu denen sich mit Gewi§heit kein Benutzer an den Fileserver anmelden wird, ist die Anmeldung durch Vorgabe einer Standard-ZeitbeschrŠnkung ausgeschlossen.
(SYSCON / Supervisor Options / Default Time Restrictions; mšgliche Anmeldezeiten = *)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
Ab Daten der Stufe D:
Es ist standardmŠ§ig vorgegeben, an welchen Tagen der Woche der Benutzer sich zu welchen Zeiten (halbstundenweise Vorgabe) an den Fileserver anmelden darf. Die vorgegebene Standard-ZeitbeschrŠnkung entspricht der allgemeinen Arbeitszeit. Die eingestellte
Standard-ZeitbeschrŠnkung wird automatisch Ÿbernommen bei Neueinrichtung eines Benutzers. Ausnahmen fŸr einzelne Benutzer werden speziell eingegeben.
(SYSCON / Supervisor Options / Default Time Restrictions; mšgliche Anmeldezeiten = *)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
Da aufgrund sehr unterschiedlicher Arbeitszeiten der einzelnen Benutzer die Einstellung einer Standard-ZeitbeschrŠnkung nicht mšglich ist, wurde fŸr die Benutzer einzeln festgelegt
an welchen Tagen der Woche sie sich zu welchen Zeiten an den Fileserver anmelden dŸrfen.
(SYSCON / User Information / Time Restrictions; mšgliche Anmeldezeiten = *)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
4.4.8. FŸr jeden Benutzer existiert ein Login-Script. In dem Login-Script sind die Aktionenfestgelegt, die auszufŸhren sind, sobald sich der Benutzer an den Fileserver anmeldet. Die
Aktione dienen der Vorbereitung seiner speziellen Anwendung.
Existiert fŸr einen Benutzer kein Login-Script, so kann jeder Benutzer fŸr diesen Benutzer
ein Login-Script mit beliebigem und aus Datensicherheitssicht bedenklichem Inhalt erstellen. Er kann z. B. durch Aufruf eines kleinen Programmes das Pa§wort des Benutzers
ausforschen.
(SYSCON / User Information / Login Script oder Befehl: SECURITY /C)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5. Dateiverwaltung
5.1 Rechte und Attribute zur BeschrŠnkung des Zugriffs auf Dateien und Verzeichnisse
Rechte
Rechte gelten fŸr einzelne Benutzer oder Benutzergruppen. Sie legen fest, auf welche
Verzeichnisse, Unterverzeichnisse und Dateien zugegriffen werden darf und welche Aufgaben in diesen Verzeichnissen, Unterverzeichnissen und Dateien ausgefŸhrt werden dŸrfen.
Der Systemadministrator verfŸgt Ÿber alle Rechte in allen Verzeichnissen und Dateien und
kann diese Rechte beliebig zuteilen und Šndern. Bei der Erstellung von Benutzern werden
diese automatisch Mitglieder der Gruppe EVERYONE und erhalten alle Rechte dieser
Gruppe.
Die Rechte eines Benutzers oder einer Gruppe fŸr ein Verzeichnis oder eine Datei bezeichnet man als Trustee-Zuordnungen. Trustee-Zuordnungen fŸr einzelne Benutzer oder
Gruppen gelten auf allen Ebenen der Verzeichnisstruktur unterhalb des betreffenden Verzeichnisses, es sei denn,
− auf unterer Ebene der Verzeichnisstruktur werden andere Trustee-Zuordnungen vorgenommen, oder
− die Inherited Rights Mask eines Unterverzeichnisses widerruft Rechte die in einer Trustee-Zuordnung erteilt wurden.
(SYSCON / User Information / Trustee Directory Assignments;
SYSCON / Group Information / Trustee Directory Assignments;
SYSCON / User Information / Trustee File Assignments;
SYSCON / Group Information / Trustee File Assignments;
FILER / Current Directory Information / Trustees - fŸr Benutzer mit dem Recht [A])
Jede Datei und jedes Verzeichnis erhŠlt bei der Erstellung eine Inherited Rights Mask
(IRM). Die Standardform der IRM beinhaltet alle Rechte. Sie kann durch den Supervisor
oder einen Benutzer mit dem Recht "Access Control" modifiziert werden. Die IRM eines
Verzeichnisses steuert, welche im Ÿbergeordneten Verzeichnis zugeordneten Rechte auch
im aktuellen Verzeichnis ausgeŸbt werden kšnnen. Die IRM einer Datei steuert, welche im
aktuellen Verzeichnis erteilten Rechte in der Datei ausgeŸbt werden kšnnen.
(FILER / Current Directory Information / Inherited Rights Mask)
In Trustee-Zuordnungen und IRM kšnnen folgende Rechte festgelegt werden:
Rechte
Abk.
Beschreibung
Access control
[A]
€nderung von Trustee-Zuordnungen anderer Benutzer,
€nderung der Inherit Rights Mask eines Verzeichnisses
(ausgenommen Supervisory-Rechte)
Create
[C]
Erstellung von Verzeichnissen und Dateien (ohne Lese-/
Schreibberechtigung nach Erstellung),
Wiederherstellung von mit DELETE gelšschten Dateien
Erase
[E]
Lšschung von Verzeichnissen (mit Unterverzeichnissen) und
Dateien
File Scan
[F]
Anzeige von Dateien und Unterverzeichnissen in einem Verzeichnis
Modify
[M]
€nderung von Namen und Attributen von Verzeichnissen und
Dateien
Read
[R]
…ffnen und Lesen von Dateien (bei Programmen AusfŸhrung)
Supervisory
[S]
Alle Rechte fŸr eine Datei oder ein Verzeichnis;
ACHTUNG: Dieses Recht setzt sich auch Ÿber Dateiattribute
und die in der Inherits Rights Mask fŸr eine Datei oder ein
Verzeichnis festgelegten Rechte hinweg!
Write
[W]
…ffnen und Schreiben in Dateien (auf Verzeichnisebene - in
allen Dateien des Verzeichnisses)
Die effektiven Rechte eines Benutzers oder einer Gruppe, d. h. die fŸr einen Benutzer
oder eine Gruppe beim Zugriff auf ein Verzeichnis oder eine Datei tatsŠchlich ausŸbbaren
Rechte, ergeben sich aus der Kombination von Trustee-Zuordnungen und Inherited
Rights Mask (IRM). Um einen bestimmtes Zugriffsrecht auf eine Datei oder ein Verzeichnis
zu haben, mu§ der Benutzer oder die Gruppe ein entsprechendes Recht durch die TrusteeZuordnung und durch die IRM erhalten. Zur ErlŠuterung soll das folgende Beispiel fŸr die
effektiven Rechte eines Benutzers dienen:
Trustee-Zuordnung des Benutzers
Trustee-Zuordnung der Gruppe, der
der Benutzer angehšrt
IRM
Effektive Rechte
W
E
R
R
R
M
A
F
W
W
C
F
F
Einzelheiten zur Bestimmung von effektiven Rechten sind in dem NOVELL-NetWareHandbuch 'BegriffserklŠrungen' unter dem Begriff ÔSecurityÕ beschrieben. Eine detaillierte
Kenntnis ist Voraussetzung fŸr die Wahrnehmung von Funktionen im Zusammenhang mit
der Rechte- und Attributverwaltung.
(Befehl: WHOAMI /ALL fŸr den angemeldeten Benutzer und Befehl: RIGHTS [Pfad] zur
Anzeige der effektiven Rechte eines Benutzers)
Attribute
Attribute gelten fŸr Verzeichnisse, Unterverzeichnisse und Dateien. Sie legen fest, ob
die Verzeichnisse und Dateien angezeigt, geŠndert, gemeinsam benutzt, umbenannt oder
gelšscht werden dŸrfen. Attribute haben Vorrang vor Rechten. Sie setzen daher auch
effektive Rechte au§er Kraft. Die Vergabe ist nur fŸr einzelne Dateien mšglich. Ein Verzeichnis stellt dabei ausdrŸcklich eine Datei dar; die Attribute gelten daher nicht automatisch fŸr die in dem Verzeichnis befindlichen Dateien.
Attribute
Abk.
Beschreibung
Archive needed
[A]
Copy inhibit
[C]
Datei wurde seit der letzten Sicherung geŠndert. Attribut wird
automatisch vergeben.
Datei kann von Macintosh- Benutzern nicht kopiert werden.
Delete inhibit
[D]
Datei kann nicht gelšscht werden.
Execute only
[X]
Hidden
[H]
Eine ausfŸhrbare Datei (.EXE, .COM) kann nicht kopiert oder
gesichert werden.
Datei wird bei DIR-Kommandos nicht angezeigt.
Indexed
[I]
Ermšglicht einen schnellen Zugriff auf gro§e Dateien.
Purge
[P]
Read Only / Read
Write
Rename Inhibit
[Ro/
Rw]
[R]
Datei wird unmittelbar nach dem Lšschen Ÿberschrieben, d.h.
physikalisch gelšscht.
Datei darf vom Benutzer geŠndert bzw. nicht geŠndert werden.
Datei darf nicht umbenannt werden.
Sharable
[S]
System
[Sy]
Transactional
[T]
Auf die Datei kann von mehreren Benutzern gleichzeitig zugegriffen werden (i. d. Regel zusammen mit Read Only).
Datei wird als Systemdatei behandelt (versteckt, schreibgeschŸtzt, usw.)
Datei wird in das TTS (Transaktionsschutz-System) einbezogen. Es wird die BeschŠdigung von Datenbankanwendungen verhindert, indem Transaktionen zurŸckgenommen
werden, die durch den Fehler einer Netzwerkkomponente
nicht korrekt abgeschlossen wurden. Die Datenbank wird in
den Zustand vor der Transaktion zurŸckversetzt.
(evtl. Performanceverlust)
FŸr Verzeichnisse sind nur die Attribute [D, H, P, R, Sy] relevant.
Die Kontrolle aller vergebenen Rechte und Attribute ist in den meisten NOVELL-NetWareSystemen sehr aufwendig. Deshalb ist eine abgestufte PrŸfung zu empfehlen. FŸr Stufe A,
B und C reichen Stichproben, bei Stufe D sollte eine weitgehend vollstŠndige Kontrolle
durchgefŸhrt werden. Bei der Stufe E ist eine grŸndliche Kontrolle jeder einzelnen Datei
notwendig. In diesem Sinne sind die folgenden Punkte zu verstehen.
5.1.1. Es liegt eine fachliche Beschreibung der Benutzer- und Benutzergruppenprofile mit
den erforderlichen Zugriffsrechten vor. Diese fachliche Beschreibung ist vom Systemadministrator (oder dem Gruppenmanager) in eine entsprechende Verzeichnis- und Berechtigungsstruktur unter NOVELL NetWare umgesetzt worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.2. Die NOVELL-Verzeichnis- und Berechtigungsstruktur ist schriftlich dokumentiert
(Bindery).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.3. In allen Verzeichnissen und Dateien werden die vergebenen Rechte und Attribute je
nach SensitivitŠt der Daten bzw. bei Programmdateien nach funktioneller Bedeutung in regelmŠ§igen AbstŠnden ŸberprŸft. Bei falsch gesetzten Rechten oder Attributen findet eine
ausfŸhrlichere †berprŸfung und Korrektur statt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.1.4. Bei mehreren Benutzern mit gleichen Berechtigungen ist darauf zu achten, da§ €nderungen in den Rechten fŸr alle Benutzer vollzogen werden. Benutzer mit gleichen Berechtigungen sind daher zu Benutzergruppen zusammengefa§t.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.5. Die Gleichstellung von Benutzern hinsichtlich ihrer Berechtigungen ist nicht nur durch
die Einrichtung einer Benutzergruppe, sondern auch durch eine Kopplung an die Rechte eines anderen Benutzers mšglich. Die Kopplung an einen anderen Benutzer birgt jedoch das
Risiko, da§ eine €nderung bei einem Benutzer unbemerkt zu einer Rechteerweiterung bei
einem anderen Benutzer fŸhrt. Eine Sicherheitsgleichsetzung von Benutzern ist daher nicht
vorhanden.
(SYSCON / User Information / Security Equivalences oder Befehl: WHOAMI /ALL)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.6. Nur Systemadministratoren oder Arbeitsgruppenverwalter haben das Recht
ÓSupervisoryÓ fŸr Verzeichnisse.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.7. Nur Systemadministratoren, Arbeitsgruppenverwalter und Benutzerkontenverwalter
haben das Recht ÓAccess ControlÓ um Benutzer zuzulassen, deren Rechte zu bearbeiten
und Dateiverzeichnisrechte zu Šndern.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.8. In Bereichen, in denen viele Benutzer Zugriff auf Dateien haben, sind Attribute gesetzt worden, so da§ z. B. eine versehentliche Lšschung durch den Systemadministrator
nicht mšglich ist ohne vorherige AttributŠnderung.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.9. FŸr Dateien mit sensiblen personenbezogenen Daten ist das Attribut ÓPurgeÓ gesetzt,
so da§ eine physikalische Lšschung dieser Dateien durch †berschreiben erfolgt.(evtl. AttributŠnderung von ÓDelet InhibitÓ -> ÓPurgeÓ).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.10. Datenbankdateien und Dateien mit sensiblen personenbezogenen Daten sind mit
dem Attribut ÓTransactionalÓ vor BeschŠdigung bei €nderung geschŸtzt. Das Transaction
Tracking System (TTS) verhindert, da§ Dateien beschŠdigt werden, indem es Transaktionen zurŸcknimmt, die durch den Fehler einer Netzwerkkomponente (Spannungsausfall,
Hardware-, Softwarefehler etc.) nicht korrekt abgeschlossen wurden. Dadurch ist sichergestellt, da§Transaktionen fŸr die mit dem Attribut "Transactional" versehene Datei entweder
vollstŠndig abgeschlossen oder Ÿberhaupt nicht vorgenommen werden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.11. Wichtige ausfŸhrbare Dateien sind mit dem Attribut "Execute Only" versehen worden, so da§ ein unbefugtes Kopieren dieser Dateien nicht mšglich ist. Eine Sicherungskopie der ausfŸhrbaren Datei wurde zuvor angelegt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.1.12. Wichtige Dateien (z. B. System-Login-Script, AUTOEXEC.BAT) sind vor unkontrollierten €nderungen durch das Attribut "Read Only" schreibgeschŸtzt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.3 VerschlŸsselung
Durch Fehler bei der Vergabe von Benutzer- und Gruppenberechtigungen und Dateiattributen besteht die Gefahr, da§ an sich geschŸtzte Dateien von Unbefugten gelesen oder
manipuliert werden. In diesen FŠllen stellt eine VerschlŸsselung der Daten einen sinnvollen
zusŠtzlichen Schutz vor unbefugten Zugriffen dar. Auch gegenŸber dem Systemadministrator, fŸr den keine EinschrŠnkung seiner umfassenden Rechte mšglich ist, besteht mit
der VerschlŸsselung eine gewisse Schutzmšglichkeit. Der Systemadministrator kann verschlŸsselte Dateien zwar lšschen, aber nicht ohne weiteres lesen oder sinnvoll verŠndern.
Allerdings ist auch dieser Schutz vom Systemadministrator zu durchbrechen, da er einen
Zugriff auf das VerschlŸsselungsprogramm selbst hat und dieses unter UmstŠnden manipulieren kann.
Eine VerschlŸsselung von Verarbeitungsdaten ist unter NOVELL NetWare nicht vorgesehen. Sie kann damit nur durch den Einsatz von zusŠtzlicher Software erreicht werden.
FŸr personenbezogene Daten der Stufe A - C kann auf eine VerschlŸsselung grundsŠtzlich verzichtet werden.
5.3.1. Bei Daten der Stufe D:
Es ist fŸr jede Datei im Einzelfall zu prŸfen, ob auf eine VerschlŸsselung verzichtet werden
kann. Welche Daten verschlŸsselt werden mŸssen, ist in einer Dienstanweisung festgelegt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.3.2. Bei Daten der Stufe D:
Es ist grundsŠtzlich eine Software anzuschaffen, die eine VerschlŸsselung mit einem sicheren Algorithmus (z.B. DES) ermšglicht. Wenn nicht automatisch alles verschlŸsselt wird, hat
dies der Benutzer zu veranlassen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.3.3. Bei Daten der Stufe E:
Es wird automatisch eine VerschlŸsselung aller Daten vorgenommen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.4 Protokollierung
Durch automatisierte Aufzeichnung von Protokolldaten wird die Datenverarbeitung nachprŸfbar und transparent gemacht; zugleich wird damit einer mi§brŠuchlichen Verwendung
vorgebeugt, weil keiner darauf vertrauen kann, da§ Verstš§e unentdeckt bleiben (dies gilt
fŸr den Systemadministrator nur eingeschrŠnkt, da er im Prinzip in der Lage ist, Protokolldateien zu manipulieren). Protokollierung ist jedoch kein Selbstzweck, sondern ist nur sinnvoll und datenschutzrechtlich vertretbar, wenn die Protokolldaten auch tatsŠchlich ausgewertet werden. Eine totale Registrierung aller BenutzeraktivitŠten kann aus Sicht des Datenschutzes sogar bedenklich sein, da auf diese Weise eine neue Sammlung personenbezogener Daten Ÿber betroffene BŸrger oder Mitarbeiter entsteht, die zu zweckfremder
Nutzung reizt. Protokolldaten, die ausschlie§lich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung des ordnungsgemŠ§en Betriebs einer DV-Anlage
gespeichert werden, dŸrfen nicht fŸr andere Zwecke verarbeitet werden.
Protokollumfang, Kontrolldichte und Lšschungsfristen sind von der SensitivitŠt der jeweiligen Anwendung abhŠngig. NOVELL NetWare bietet abgesehen von einem Fehlerprotokoll fŸr den Fileserver keine standardmŠ§igen Funktionen zur Protokollierung von System- und BenutzeraktivitŠten. Das Fehlerprotokoll kann sich der Systemadministrator anzeigen lassen und lšschen (SYSCON / Supervisor Options / View File Server Error Log).
Anhand des Fehlerprotokolls kann er erkennen, wann der Fileserver hoch- und heruntergefahren wurde. Sofern die KontofŸhrungsfunktion zur Berechnung von GebŸhren fŸr die
Inanspruchnahme des Fileservers installiert ist (SYSCON / Accounting), kšnnen deren
Protokoll-Dienstprogramme dazu benutzt werden, zu Ÿberwachen, wie oft sich die einzelnen Benutzer an- und abmelden (Befehl: PAUDIT /C).
Bei Daten der Stufen A und B wird keine Protokollierung verlangt.
Bei Daten der Stufe C und D mŸssen folgende Aktionen innerhalb des Systems technisch durch Zusatzprodukte protokolliert werden:
5.4.1. - Erfolgreiche und nicht erfolgreiche Login-Versuche mit Datum und Benutzerkennung
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.2. - Hoch- und Herunterfahren des Systems mit Datum/Uhrzeit
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.3. - Datum und Benutzerkennung bei Pa§wortŠnderungen
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
Bei Daten der Stufe E werden technisch zusŠtzlich protokolliert:
5.4.4 - Alle Lesezugriffe auf sensitive Datenfelder mit Datum und Benutzerkennung auf Anwendungsebene
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.4.5. - Alle Dateneingaben (Netzwerkadresse, Datum und Uhrzeit, Veranlasser, Grund,
Datei, Ordnungs-Nr. des Datensatzes, Feldbezeichnung, VerŠnderungsprogramm) auf Anwendungsebene
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.4.6. - SŠmtliche Supervisor-AktivitŠten
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
Aufbewahrung und Auswertung der Protokolldateien:
5.4.7. Die Protokolleintragungen werden frŸhestens nach der Routinekontrolle, spŠtestens
nach 1 Jahr gelšscht/vernichtet.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
5.4.8. Die Protokolldateien kšnnen von ÓnormalenÓ Benutzern nicht eingesehen und nicht
verŠndert werden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.9. Protokolldateien werden mindestens wšchentlich, bei Daten der Stufe E tŠglich, kontrolliert. Der interne Datenschutzbeauftragte nimmt gelegentlich an den Kontrollen teil. Ansonsten werden ihm AuffŠlligkeiten angezeigt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.10. Protokolldateien werden ausschlie§lich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung des ordnungsgemŠ§en Betriebs der Datenverarbeitungsanlage gespeichert. Sie werden nicht fŸr andere Zwecke verarbeitet oder genutzt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.11. Der Inhalt der Protokolle, sowie die Art und der zeitliche Abstand von Kontrollen,
werden in einer Dienstanweisung festgelegt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
5.4.12. Es wird stichprobenartig untersucht, ob die Festlegungen in der Dienstanweisung
eingehalten werden. AuffŠlligkeiten wird nachgegangen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6. Systemeinstellungen
6.1 Parametereinstellungen
Eine Vielzahl von Parametern, mit denen die Arbeitsweise von NOVELL-Netzwerken gesteuert wird, hat einen mittelbaren oder unmittelbaren Einflu§ auf die Sicherheit des Systems. Viele dieser Parameter sind mit einer Voreinstellung versehen und brauchen in der
Regel nicht geŠndert zu werden. Gleichwohl sind sie von Bedeutung, da durch geringfŸgige €nderungen (gewollte oder ungewollte) Manipulationsmšglichkeiten entstehen. Die aktuellen Parametereinstellungen fŸr den Fileserver kann sich der Systemadministrator durch
Eingabe des "SET"-Befehls an der Konsole und ggf. Auswahl der entsprechenden Parameterkategorie anzeigen lassen und auch Šndern.
6.1.1. Die Parameter-Einstellungen des Systems sind dokumentiert. Abweichungen von
den Standardeinstellungen ( s. Handbuch "Systemverwaltung", Beschreibung zum Befehl
"SET") sind besonders begrŸndet.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.1.2. Der Parameter "Immediate Purge of Deletes Files = ON" deaktiviert alle NOVELLWiederherstellungsfunktionen fŸr gelšschte Dateien (z.B. Ÿber den Befehl "SALVAGE"). Die
Speicherbereiche einer gelšschten Datei werden dabei vom Betriebssystem zwangsweise
fŸr den nŠchsten Schreibvorgang benutzt. Bei Daten der Stufen C bis E mu§ dieser Parameter = ON gesetzt sein. Bei Daten der Stufen A + B wird der Einsatz empfohlen. Wird der
Parameter nicht gesetzt, sollten zumindest die Parameter "Minimum File Delete Time" und
"File Delete Wait Time" mšglichst gering eingestellt werden.
Parameterkategorie:
File System;
Parameter:
Immediate Purge of Deleted Files
(Wiederherstellung von Dateien ja=
OFF/nein=ON)
Minimum File Delete Time
(Minimalzeit fŸr die eine Datei in
wiederherstellbarem Zustand gespeichert bleiben mu§)
File Delete Wait Time
(Zeitspanne nach der eine Datei
zum engŸltigen Lšschen vorgesehen wird)
Ist
Soll
ab Stufe C:
ON
Standard
OFF
bei Stufe A/B:
mšglichst gering
1 Min. 5,9 Sek.
(max. 7 Tage)
bei Stufe A/B:
mšglichst gering
5 Min. 29,6 Sek.
(max. 7 Tage)
6.1.3. Der Parameter "Allow Unencrypted Passwords = ON" ermšglicht eine unverschlŸsselte †bertragung von Pa§wšrtern im Netz. Diese Pa§wšrter kšnnen abgehšrt werden.
Parameterkategorie:
Miscellaneous;
Parameter:
Allow Unencrypted Passwords
(VerschlŸsselte Pa§wšrter = OFF)
Ist
Soll
OFF
Standard
OFF
6.2 Spezielle System-Kommandos (Konsolenbefehle)
6.2.1. Der Befehl "REMOVE DOS" bewirkt das Entfernen von MS-DOS-Systemdateien aus
dem Arbeitsspeicher des File-Servers. Damit kšnnen von den DOS-Laufwerken des Fileservers (Diskettenlaufwerke oder DOS-Partition auf der Festplatte) aus keine NLMÕs mehr
geladen werden. Ein Laden von NLMÕs ist dann nur noch Ÿber die Netzlaufwerke des Fileservers mšglich. Ein Eindringling mu§, um auf DOS zuzugreifen (z. B. zum unzulŠssigen
Kopieren von Daten mittels einer DOS-Datei), den Fileserver zunŠchst aus- und wieder einschalten. Wenn der Fileserver durch ein Anmeldepa§wort gesichert ist, kann der Eindringling dann immer noch nicht auf DOS zugreifen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.2.2. Mit dem Befehl "SEARCH" kšnnen Suchpfade fŸr NLMÕs angezeigt, hinzugefŸgt und
gelšscht werden. Der Standard-Suchpfad ist SYS:SYSTEM. Zur Erhšhung der Systemsicherheit und aus GrŸnden der †bersichtlichkeit sollten NLMÕs nur im Verzeichnis
SYS:SYSTEM vorhanden sein. Der "SEARCH"-Befehl ist daher nicht einzusetzen bzw.
durch den Konsolenbefehl "SECURE CONSOLE" (s. 6.2.3.) zu deaktivieren.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.2.3. Der Befehl "SECURE CONSOLE" bewirkt die explizite Umsetzung der Forderungen
zu Nummer 6.2.1 und 6.2.2. Gleichzeitig wird verhindert, da§ ein anderer als der Systemadministrator (oder Konsoloperator) Datum und Uhrzeit des File-Servers Šndern kann, um
ZeitbeschrŠnkungen zu umgehen. Der Befehl "SECURE CONSOLEÓ ist daher zu aktivieren.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.2.4. Durch Aufruf des ladbaren Moduls "MONITOR" (LOAD MONITOR) und Auswahl der
Option "Lock File Server Console" besteht die Mšglichkeit, die Konsoltastatur durch Eingabe eines Pa§wortes zu sperren. Die Entsperrung ist dann nur durch Angabe dieses Pa§wortes mšglich. Diese Einstellung bietet einen Schutz gegen eine mi§brŠuchliche Bedienung des Fileservers wŠhrend des normalen Betriebes. Gleiches gilt, wenn ein Arbeitsplatzrechner mit Hilfe des Befehls "RCONSOLE" als virtuelle Fileserver-Konsole genutzt wird (s.
6.2.5).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.2.5. Der Befehl "RCONSOLE" ermšglicht den Einsatz eines Arbeitsplatzrechners als virtuelle Fileserver-Konsole. Es kšnnen dann von diesem Arbeitsplatzrechner alle Konsolenbefehle ausgefŸhrt werden. Sofern die Konsole durch ein Pa§wort geschŸtzt ist, ist auch
am
Arbeitsplatzrechner das Konsolenpa§wort einzugeben (s. 6.2.4). Der Befehl "RCONSOLE"
durchbricht unter UmstŠnden einen Schutz durch das Verschlie§en des Serverraumes. Er
darf daher nur in begrŸndeten AusnahmefŠllen vom Systemadministrator eingesetzt werden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
6.2.6. Mit dem Befehl "SECURITY" kšnnen Verletzungen der Sicherheitsbestimmungen im
Fileserver aufgedeckt werden. Der Befehl kann nur vom Verzeichnis SYS:SYSTEM von einem Benutzer mit Supervisor-Rechten, d. h. dem Systemadministrator, ausgefŸhrt werden.
Es werden folgende SicherheitslŸcken aufgezeigt:
Benutzerkennungen ohne oder mit einem unsicheren Pa§wort
Benutzerkennungen mit Sicherheitsgleichsetzungen mit dem Systemadministrator
Benutzerkennungen mit Rechten im Hauptverzeichnis eines Volumes und mšglicherweise im gesamten Volume, wenn diese Rechte nicht widerrufen wurden
Benutzerkennungen fŸr die kein Login-Script existiert
Benutzerkennungen, die Zugriffsrechte auf Systemverzeichnisse haben, die Ÿber folgende Rechte hinausgehen:
SYS: SYSCON [
]
SYS: PUBLIC
[RF]
SYS: LOGIN
[RF]
SYS: MAIL
[WC]
Der Datenschutzbeauftragte fordert kurzfristig immer wieder stichprobenartig vom Systemadministrator eine Auswertung mit dem SECURITY-Befehl, um sich einen †berblick Ÿber
den Zustand der Systemsicherheit zu verschaffen. MŠngel werden behoben.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7. Sicherheit der †bertragungsmedien
7.1 Lokale Netzwerke
Bitte kreuzen Sie die fŸr Ihr Netz zutreffenden Angaben an:
Netzwerkverkabelung:
O Verdrilltes Kupferkabel (Unshielded Twisted Pair)
O Geschirmtes verdrilltes Kupferkabel (Shielded Twisted Pair)
O Koaxialkabel
O Glasfaserkabel
Netzwerktopologie:
O Busfšrmiger Aufbau
O Ringfšrmiger Aufbau
O Sternfšrmiger Aufbau
Netzwerkkarte:
O Ethernet mit dem Zugangsverfahren CSMA/CD
O Token-Ring mit dem Token-Verfahren als Zugangsverfahren
O Sonstige:
In lokalen Netzen werden heute im allgemeinen Netzwerkkarten mit Ethernet- oder TokenRing-Protokollen zur Regelung der †bertragung eingesetzt.
Ethernet ist im Bereich der lokalen Netze der mit Abstand am weitesten verbreitete Standard fŸr die †bertragungstechnik. Bei diesem Verfahren ist nicht festgelegt, wann eine Station auf das Netz zugreifen darf. Auch werden die Informationen normalerweise ungerichtet
in das gesamte busfšrmig aufgebaute Netz gesendet und sind damit im Prinzip von allen
Netzwerkteilnehmern zu empfangen. Erst ein Vergleich der Kennung in der Netzkarte des
empfangenen Rechner entscheidet, ob die Daten angenommen werden oder nicht. Eine
manipulierte oder zusŠtzliche Empfangsstation verŠndert nahezu unerkannt den Betrieb
des Netzes. Ein Abhšren aller NetzaktivitŠten ist deshalb, insbesondere mit Monitorsoftware auf entsprechenden (transportablen) Rechnern, im Prinzip leicht mšglich.
Auch bei Token-Ring-Verbindungen werden die Informationen logisch kreisfšrmig an alle
Teilnehmer im Netz verschickt. Wenn allerdings die Empfangsstation die Daten annimmt,
wird das entsprechende Paket (das Token) freigemacht, um der nŠchsten Station das Senden eines neuen Datenpaketes zu ermšglichen. Auch in Token-Ring-Netzen besteht jedoch
die Mšglichkeit, durch Monitor-Software gesendete Nachrichten mitzuhšren, ohne das Token freizumachen. Voraussetzung dafŸr ist allerdings, das sich die Monitorstation in dem
logischen Kreis zwischen Sender und EmpfŠnger befindet.
Die Sicherheitsunterschiede zwischen beiden Verfahren sind so gering, da§ die folgenden
PrŸfungspunkte sowohl fŸr Ethernet- als auch fŸr Token-Ring-Verbindungen gelten.
7.1.1. Es wird eine Dokumentation Ÿber alle im Netz installierten Steckdosen und die daran
angeschlossenen Rechner mit den dazugehšrigen Netzwerkkarten gefŸhrt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
Bei Daten der Stufen A und B reicht als Schutz vor einer mi§brŠuchlichen Nutzung der
Daten durch nicht autorisierte Personen die verschlŸsselte †bertragung der Pa§wšrter aus.
7.1.2. Die Pa§wšrter werden verschlŸsselt Ÿbertragen.
(Systemparameter "Allow Unencrypted Passwords" = OFF; s. 6.1.3.)
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
In LAN mit Daten der Stufen C bieten sich aus Datenschutzsicht zwei alternative Wege
an:
1.
Sensitive Daten werden ausnahmslos verschlŸsselt Ÿbertragen. In diesem Fall sind nur
wenige weitere Ma§nahmen notwendig.
2.
Durch technische, bauliche und organisatorische Ma§nahmen wird ein Umfeld mit erhšhter Sicherheit geschaffen.
Werden Daten der Stufe D und E im LAN verarbeitet, so sind diese grundsŠtzlich zu
verschlŸsseln. ZusŠtzlich ist das LAN durch technische, bauliche und organisatorische Ma§nahmen zu sichern.
VerschlŸsselung:
7.1.3. SŠmtliche personenbezogenen Daten und andere sensitive Daten werden durch Zusatzsoftware oder -hardware ausnahmslos mit einem sicheren Algorithmus (z.B. DES symmetrisches Verfahren, RSA - asymmetrisches Verfahren) verschlŸsselt Ÿbertragen. Zur
DurchfŸhrung der verschlŸsselten †bertragung von Pa§wšrtern ist der Parameter "Allow
Unencrypted Passwords = OFF" gesetzt (s. 6.1.4.).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.4. Die SchlŸsselverwaltung wird von zuverlŠssigen Mitarbeitern durchgefŸhrt. Befugnisse und Aufgaben sind in einer Dienstanweisung festgehalten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.5. Die SchlŸssel werden regelmŠ§ig gewechselt und gesichert Ÿbergeben.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.6. Werden die SchlŸssel ebenfalls Ÿber das Netz Ÿbertragen, so ist der SchlŸssel mit
einem besonderen Sicherheitsverfahren (z.B. DES/RSA - VerschlŸsselung der Daten nach
DES und VerschlŸsselung des DES-SchlŸssels nach RSA oder DES-RPC) zu Ÿbertragen
oder ein zentraler Kerberos-Server fŸr das SchlŸsselmanagement einzurichten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.7. SŠmtliche ZusatzgerŠte wie z. B. Bridges, Sternkoppler sind zumindest nicht allgemein zugŠnglich.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
Technische, bauliche und organisatorische Ma§nahmen:
7.1.8. SŠmtliche Kabel und Steckdosen des Netzes befinden sich in einem GebŠude oder
GebŠudekomplex und sind fŸr Au§enstehende nicht zugŠnglich.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.9. Bei Daten der Stufe C:
Freie aktivierte Steckdosen werden nach Mšglichkeit vermieden (z. B. bei Ethernet Deaktivierung Ÿber den Sternkoppler).
Ab Daten der Stufe D:
Freie aktivierte Steckdosen sind nicht vorhanden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
7.1.10. Netze auf Lichtwellenleiterbasis oder mit verdrillten Kabeln (UTP, insbesondere
STP) bieten einen grš§eren Schutz gegen Abstrahlung als Koaxialkabel. Falls noch nicht
installiert, wird daher die UmrŸstung auf diese Kabel, insbesondere Lichtwellenleiter, angestrebt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.11. Bei der Netzwerkarchitektur sollten physikalische Sternstrukturen verwendet werden. Beim Einsatz von Sternkopplern werden nur die Daten Ÿber die jeweiligen Leitungen
versandt, die fŸr das jeweilige EmpfangsgerŠt bestimmt sind. UngenŸtzte Leitungen sind im
Sternkoppler physikalisch abgetrennt. Bei der Verbindung von Netzsegmenten werden
− bei Daten der Stufe C: einfache Bridges oder Repeater
− ab Daten der Stufe D: Bridges mit AdressprŸfung
eingesetzt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.1.12. SŠmtliche ZusatzgerŠte wie Repeater, Sternkoppler usw. befinden sich in verschlossenen RŠumen oder SchrŠnken. Die Zugangsberechtigung ist in einer Dienstanweisung geregelt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.2 DatenfernŸbertragung
DatenfernŸbertragung (DF†) ist die †bertragung von Daten au§erhalb eines LANs Ÿber
Leitungen šffentlicher oder nicht-šffentlicher Anbieter (z.B. Telefonnetz der TELEKOM,
Servicenetz der Fa. IBM usw.). Da die benutzten Leitungen und GerŠte au§erhalb des Einflu§bereiches der verarbeitenden Stelle liegen, kšnnen die Mšglichkeiten eines Mi§brauchs
der Ÿbertragenen Daten kaum zuverlŠssig eingeschŠtzt werden. Neben der VerschlŸsselung dieser Daten sind nur wenige weitere wirkungsvolle Ma§nahmen zum Datenschutz
mšglich.
7.2.1. Bei DF† wird eine Dokumentation gefŸhrt, die alle Kommunikationspartner und die
†bertragungstechnik auffŸhrt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
7.2.2. Bei Daten der Stufen D und E:
Die Daten werden bei DF† unabhŠngig von der †bertragungstechnik ausnahmslos verschlŸsselt Ÿbertragen (einschlie§lich Pa§wšrtern). Auch bei Daten der Stufe A bis C sollte
eine VerschlŸsselung zumindest angeboten werden. Die unter den Ziffern 7.1.4. bis 7.1.6.
geforderten Ma§nahmen bei verschlŸsselter †bertragung in LANs gelten entsprechend.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
Weitere Ma§nahmen zur Technik der DatenfernŸbertragung (z.ÊB. RŸckruftechniken, Einrichtung von Teilnehmerklassen, Sicherungsma§nahmen in Routern und Bridges, Netzwerkmanagement, Verbund mit anderen Betriebssystemen) gehen Ÿber dieses Konzept
hinaus und mŸssen Gegenstand einer speziellen PrŸfung sein.
8. Wartung / Fernwartung
Bei der lokalen Wartung und bei der Fernwartung von NOVELL-Netzen durch Fremdpersonal mu§ der Netzbetreiber eine Reihe von Sicherheitsvorkehrungen treffen, um den Datenschutz zu gewŠhrleisten. Art und Umfang der Datensicherungsma§nahmen richten sich danach, wie die Wartung durchgefŸhrt wird. Ist es notwendig, Daten an die Wartungszentrale
weiterzugeben, handelt es sich bei diesem Vorgang um eine Datenverarbeitung im Auftrag.
NOVELL Netware (ab 3.1) bietet die Mšglichkeit, mehrere NOVELL Netware Fileserver von
einem Standort aus zu verwalten. Nachdem an einem Arbeitsplatz eine Fernkonsole eingerichtet wurde, kšnnen von dort aus alle Fileserver, auf denen die entsprechende Fernverwaltungssoftware geladen ist, Ÿberwacht und gesteuert werden. Mit der Fernverwaltung
dŸrfen nur der Systemadministrator oder ein von diesem autorisierter Fernkonsolbetreuer
= Fileserver Console Operator (SYSCON / Supervisor Options / Fileserver Console Operators) arbeiten. Der Systemadministrator kann eine Fernkonsolsitzung mit einem fernen
Pa§wort oder dem Supervisor-Pa§wort eršffnen. Er kann dann nur Fernverwaltungsaufgaben durchfŸhren. Ein Fernkonsolbetreuer gibt zur Eršffnung der Kommunikationssitzung mit
dem Fileserver eine "fernes" Pa§wort ein.
†ber Fernverwaltung kšnnen folgende Aufgaben auf einem entfernt stehenden Fileserver
durchgefŸhrt werden:
− Eingabe von Konsolenbefehlen
− Durchsuchen von Verzeichnissen und Editieren von Textdateien in DOS- und NetWarePartitionen
− †bertragen von Dateien an einen entfernt stehenden Fileserver
− Installation, AufrŸsten von NetWare
− HinzufŸgen eines vorhandenen Fileservers zum erstellten Fernverwaltungsnetzwerk
− Neustart eines Fileservers
8.1 Fernverwaltung von Fileservern durch einen Fernkonsolbetreuer (eigenes Personal)
(Dieses Kapitel sollte vom Fernkonsolbetreuer zusammen mit dem Datenschutzbeauftragten und/oder dem Systemadministrator ausgefŸllt werden)
Anzahl der Fernkonsolbetreuer: __________
(Arbeitsgebiete s. Dokumentation)
8.1.1. Es wurden Fernkonsolbetreuer benant und entsprechende Kennungen eingerichtet,
da es sich um ein Netz mit mindestens 10 Fileservern handelt. Die Anzahl der Fernknsolbetreuer ist der Systemgrš§e angepa§t.
Der Fernkonsolbetreuer wird vom Systemadministrator vertreten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.2. Die Zuweisung der Fernkonsolbetreuer-Funktion erfolgte schriftlich (z. B. im GeschŠftsverteilungsplan).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.3. Die Auswahl des Fernkonsolbetreuers erfolgte sorgfŠltig nach Fachkunde (EDVWissen, betriebsspezifische Kenntnisse) und ZuverlŠssigkeit (persšnliche IntegritŠt) ausgewŠhlt worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.4. Der Fernkonsolbetreuer ist auf das Datengeheimnis verpflichtet (¤Ê5ÊBDSG) bzw.
darŸber belehrt worden (¤ 5 NDSG).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.5. Alle Fernkonsolbetreuer sind ausfŸhrlich in ihre Aufgabe eingewiesen und Ÿber die
Bedeutung ihrer Aufgabe fŸr die Sicherheit des Systems unterrichtet worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.6. Allen Fernkonsolbetreuern sind nur die fŸr die ErfŸllung ihrer Aufgaben unbedingt
erforderlichen Rechte vom Systemadministrator Ÿbertragen worden.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.1.7. Als Fileserver-Konsole fŸr die Fernverwaltung wurde nur ein bestimmter Arbeitsplatzrechner eingerichtet.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm.:......................................................................................................................................
8.1.8. Das Pa§wort fŸr die Fernverwaltung ist nur dem Fernkonsolbetreuer und dem Systemadministrator bekannt. Es entspricht den in Kapitel 4.4 genannten Anforderungen an
die Pa§wortvergabe.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
8.2 Wartung / Fernwartung durch Fremdpersonal
O
Wartung durch ____________________
O
Fernwartung durch ______________________
8.2.1. Die Kompetenzen und Pflichten zwischen Wartungspersonal und eigenem Personal
sind klar in einem Wartungsvertrag festgelegt. Art und Umfang der Wartung (Hardware und
Software) sind schriftlich vereinbart. Bei Fernwartung enthŠlt der Vertrag au§erdem Angaben zu den vereinbarten Sicherheitsma§nahmen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.2. Das Wartungspersonal ist auf das Datengeheimnis verpflichtet (¤ 5 BDSG) bzw. darŸber belehrt worden (¤ 5 NDSG). Eine entsprechende schriftliche BestŠtigung liegt vor.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.3. Die Weitergabe der Daten, die dem Wartungspersonal Ÿbergeben oder bei Fernwartung Ÿbertragen wurden, an Dritte ist vertraglich untersagt. Die Daten sind ausschlie§lich
fŸr Zwecke der Wartung zu verwenden und nach Abschlu§ der Wartungsarbeiten oder der
Fehlersuche unverzŸglich zu lšschen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.4. Fernwartung im PC-Bereich ist nur durch Fernsteuerung des Rechners mit RemoteSoftware-Utilities (z.B. pc ANYWHERE) mšglich. Dabei kšnnen alle Sicherheitsbarrieren
durchbrochen werden (z.B. Arbeit auf der physikalischen Ebene des Laufwerks). Bei Daten
der Stufen D und E wird daher keine Fernwartung durchgefŸhrt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.5. Der Systemadministrator wird bezŸglich der Mšglichkeiten der Fernwartung geschult.
Er ŸberprŸft regelmŠ§ig die Einhaltung der vereinbarten Sicherheitsma§nahmen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.6. Bei Fernwartung kann der Systemadministrator vor Ort die FernwartungsaktivitŠten
mitverfolgen und Ÿberwachen. Er hat die Mšglichkeit, den Dialog mit der Fernverwaltungszentrale zu unterbrechen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.7. Wartungspersonal darf nur auf das Rechnersystem zugreifen, wenn der Systemadministrator die entsprechenden Personen hierzu im Einzelfall autorisiert hat. Bei Daten der
Stufe E werden vor dem Zugriff durch externes Installations- oder Wartungspersonal Informationen Ÿber deren ZuverlŠssigkeit eingeholt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.8. Personenbezogene Echtdaten sind aus dem direkten Zugriff (z. B. Speicherung auf
externen DatentrŠgern, spezielle Laufwerke) des Wartungspersonals zu entfernen. Ist ein
Zugriff im Ausnahmefall erforderlich, erfolgt er niemals im Rahmen der Fernwartung, sondern nur unter Aufsicht vor Ort
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.9. Ab Daten der Stufe C:
Art und der Umfang der Wartungsarbeiten werden manuell oder technisch in einem Protokoll festgehalten. Bei Fernwartung gilt dies auch fŸr Daten der Stufen A + B.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
8.2.10. Ab Daten der Stufe D:
Wartungsarbeiten vor Ort werden nur in Begleitung des Systemadministrators oder eines
von ihm autorisierten kompetenten Mitarbeiters durchgefŸhrt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
9. ZusŠtzliche Ma§nahmen
UnabhŠngig von den bisher angesprochenen technischen und organisatorischen Ma§nahmen im Zusammenhang mit NOVELL-Netzwerken kšnnen weitere fŸr alle DV-Systeme
wirksame Ma§nahmen die Sicherheit erhšhen. Besonders wirksam sind Ma§nahmen zur
physischen Absicherung, insbesondere zur Zugangs- und zur DatentrŠgerkontrolle, durch
bauliche Absicherungen ( z. B. eigener abgesicherter Baukšrper, Brandschutz, Absicherung
gegen Angriffe von au§en, unterbrechungsfreie Stromversorgung, Funktionstrennung, ZugangsŸberwachung, Alarmanlage, Tresore oder TresorrŠume, DatentrŠger-Vernichter u.a.).
Sie sind daher sorgfŠltig zu planen und einzurichten. Diese Ma§nahmen sind primŠr an der
SensitivitŠt der Daten und dem Mi§brauchsrisiko auszurichten. Im folgenden wird nur auf
einige besonders markante Punkte eingegangen, die fŸr den Schutz eines NOVELLNetzwerkes eine besondere Bedeutung haben. Ansonsten wird auf den Fragenkatalog
"Orientierungshilfe Datenschutz und Datensicherung" verwiesen, der vom Landesbeauftragten fŸr den Datenschutz Niedersachsen herausgegeben wird.
9.1 GerŠtesicherung
9.1.1. GerŠte mit besonderer Funktion (z.B. Server einschlie§lich Konsole, Bandlaufwerke)
sind besonders vor dem Zugang Unbefugter gesichert, z.B. durch Unterbringung in stŠndig
verschlossenen RŠumen oder SchrŠnken.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
9.1.2. Ab Daten der Stufe C:
Die GerŠte an den einzelnen ArbeitsplŠtzen sind grundsŠtzlich nicht mit Disketten- oder
Bandlaufwerken ausgestattet. Ausnahmen werden schriftlich begrŸndet. Diskettenlaufwerke
werden mechanisch verschlossen.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
9.1.3. Die Manipulation an den Rechnern (z.B. …ffnen des GehŠuses, Einbau von Steckkarten) ist nur dem Systemadministrator bzw. seinem Vertreter gestattet. GerŠte, mit denen
Daten der Stufen D und E verarbeitet werden, sind zu versiegeln.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.....................................................................................................................................
9.2 DatentrŠger-Kontrolle
Durch die Verbreitung von NOVELL NetWare und der weitgehenden KompatibilitŠt der unterschiedlichen Versionen ist ein Mi§brauch von DatentrŠgern besonders leicht mšglich.
9.2.1. SŠmtliche DatentrŠger (Disketten, BŠnder) sind sicher gelagert und nur wenigen,
autorisierten Personen zugŠnglich.
DatentrŠger mit Daten der Stufe C werden in SicherheitsschrŠnken aufbewahrt. DatentrŠger mit Daten der Stufen D und E werden in einem Tresor aufbewahrt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.2.2. SŠmtliche DatentrŠger sind eindeutig gekennzeichnet. Die Kennzeichnung soll nicht
autorisierten Personen jedoch keinen Schlu§ auf den Inhalt der DatentrŠger ermšglichen
(z.B. Nummernbezeichnung statt Namensbezeichnung).
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.2.3. Es wird ein DatentrŠgerverzeichnis gefŸhrt.
Bei Daten der Stufe D und E wird zusŠtzlich die Benutzung der DatentrŠger mit Angabe der
Person und des Zeitpunktes schriftlich festgehalten.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.2.4. Der Personenkreis, der auf DatentrŠger Zugriff hat, und die Art der Aufbewahrung der
DatentrŠger sind in einer Dienstanweisung schriftlich geregelt.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.2.5. DatentrŠger mit personenbezogenen Daten, die nicht mehr benštigt werden, werden
physikalisch durch †berschreiben oder andere Ma§nahmen (z.B. Magnetisierung,
Zerkleinerung) gelšscht.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.2.6 FremddatentrŠger werden vor Einsatz im Netz auf einem Stand-alone PC mit einem
aktuellen Virenscanner auf Virenbefall ŸberprŸft.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.3 Speicher-Kontrolle
9.3.1 Es werden regelmŠ§ig Sicherheitskopien der DatenbestŠnde erstellt und ausgelagert.
Dies gilt insbesondere fŸr das Bindery.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................
9.3.2 Sofern PC im Netzwerk mit einer Festplatte ausgestattet sind, werden auf der Festplatte keine sensiblen personenbezogenen Daten gespeichert. Es ist in einer Dienstanweisung geregelt, da§ sensible personenbezogene Daten nur auf dem Fileserver gespeichert
werden. Die Festplatten werden auf Einhaltung dieser Regelung vom Datenschutzbeauftragten zyklisch ŸberprŸft.
O ErfŸllt
O Trifft nicht zu
O Nicht erfŸllt
Anm:.......................................................................................................................................