• Zielgruppen
  • Suche
 

Informationssicherheit & Datenschutz in der Projektablage

Für die Betrachtungen bzgl. Sicherheit ist letztlich der Projektverantwortliche zuständig. Er muss den Schutzbedarf ermitteln und muss betrachten, ob die Projektablage des Dateiservices diesen Schutzbedarf ausreichend erfüllt. Hier soll der Server-Teil beleuchtet und weitere Tipps zur Erhöhung und auch Einschätzung der Gesamtsicherheit gegeben werden.

Insbesondere sind aber auch der Umgang mit Nutzerkennungen und -passwörtern und die Sicherheitslage der verwendeten Clients  entscheidende Faktoren, die die service-seitig vorgesehenen Sicherheitsmaßnahmen zunichte machen können.

Vertraulichkeit

Für die allermeisten Projekte dürfte die Frage nach der von der Projektablage zu erwartenden Vertraulichkeit relevant sein. Jedoch ergibt sich die Frage aus dem Schutzbedarf der Daten, die in die Projektablage eingestellt werden. Und daher kann die Frage nach der Vertraulichkeit auf drei Bereiche aufgeteilt werden, die alle zu bedenken sind:

  • Schutz innerhalb der Projektablage und bei der Datenübertragung
  • Sicherheit der Zugangskennungen
  • Schutz auf den eingesetzten Client-Systemen

Durch die Projektablage und die Zustellung und Rücksetzung der Zugangskennungen wird ein normaler Schutzbedarf erfüllt, die Verarbeitung personenbezogener Daten bis Schutzstufe C ist damit möglich.

Gefahren für die Vertraulichkeit

Die größten Gefährdungen bestehen

  • aufgrund von potentiell unsicheren Webanwendungen und
  • in der Nutzung von E-Mail für die Zustellung der Zugangskennung.

Das ist beides internet-üblich, senkt aber das Schutzniveau insgesamt. Die verschiedenen Webanwendungen, die eben Sicherheitsprobleme haben können, sind die verschiedenen an die Projektablage angebundenen Dienste (WebDAV, Wiki, ...). Die Zustellung eines Links für die Erstregistrierung von Nutzern und die teilweise Passwortrücksetzung via Mail sind der einfachen Nutzbarkeit geschuldet, senken aber aufgrund der Klartext-Übermittlung von Mail die Sicherheit.

Erhöhung der Vertraulichkeit

Die o.g. Gefährdungen lassen sich senken:

  • Nutzen Sie für Ihr Projekt nur einen angebundenen Dienst, insbesondere einen, der als Webanwendung nicht so komplex ist. Hier empfehlen wir die WebDAV-Ablage.
  • Nutzen Sie für die Accounts der Projektteilnehmer nicht deren E-Mail-Adressen, sondern stattdessen Ihre eigene LUH-Adresse mit Zusatz: wenn Sie die Mailadresse ich@example.uni-hannover.de haben, so können Sie ich+TEILNEHMER@example.uni-hannover.de mit verschiedenen TEILNEHMERn verwenden. Dadurch

    • wird ein Account nicht auch für andere Projekte verwendet,
    • verlassen die Account-Mails nicht die verschlüsselt übertragenden LUH-Mailsysteme,
    • und Sie können die Zugangskennung und Passwort auf einem sicheren Kanal (eben nicht Mail) dem eigentlichen Projektteilnehmer zukommen lassen.

Durch diese Maßnahmen wird (bei entsprechender Client-Sicherheit und geeigneter Wahl der Kennungsübermittlung sowie ausschließlich WebDAV als Dienst) ein höheres Schutzniveau erreicht, insbesondere erfüllen die Maßnahmen teilweise die Voraussetzungen zur Verarbeitung personenbezogener Daten der Schutzstufe D: nicht gerade umfassende Gesundheitsdaten, aber für Zeugnisse ist das Schutzniveau dann geeignet.

Auch wenn die Projektablage mit den genannten Zusatzmaßnahmen vom Sicherheitsniveau her ausreichend für Bewerbungsunterlagen ist, so kann diese im Rahmen von Berufsverfahren nicht eingesetzt werden: die Intranet-Restriktion von Rundschreiben 30/2014 wird nicht erfüllt.

Verfügbarkeit und Integrität

Die Verfügbarkeit und Integrität der in der Projektablage eingestellten Daten entspricht denen auf einem Fileserver (mit Server-Hardware). Für die meisten Anwendungen erfüllt dieses die Anforderungen.

Der Dienst ist server-seitig nicht redundant oder gar hochverfügbar ausgelegt, erfolgt aber rechenzentrumsüblich auf Hardware mit Herstellerwartung, Fehlerkorrektur (ECC-Speicher, RAID5-Speichersystemen), mit täglichem ausgelagertem Backup und mit Vertretungsregelung in der Systemadministration. Im (erfahrungsgemäß nur selten auftretenden) Fehlerfall ist aber mit Betriebsunterbrechungen zu rechnen, die in der Regel nur werktags behoben werden.
Bei sehr hohen Verfügbarkeitsanforderungen muss durch den Nutzer ein Ersatzverfahren vorgesehen werden.

Die Integrität der Daten wird serverseitig durch ECC-Verfahren und redundante Speicherung sichergestellt. Ein weiterer Schutz der Integrität erfolgt in der Regel nicht, insbesondere wird keine Versionshistorie über abgelegte Daten geführt (Ausnahme: Wikiseiten).
Gibt es Anforderungen für eine erhöhte Integrität, sollte mit Datei-Hashes oder digitalen Signaturen, ggf. inkl. Zeitstempel, gearbeitet werden, die aber client-seitig angelegt werden müssen.

Personenbezogene Daten in der Projekt- und Nutzeradministration

Neben der Frage, wie sicher die Projektablage ist und welche personenbezogenen Daten darin verarbeitet werden können, werden bei der Account-Verwaltung der Projektablage selbst personenbezogene Daten verarbeitet.

Dabei wird aus Gründen der Datensparsamkeit nur die E-Mail-Adresse als Kontaktadresse und als Nutzerkennung nebst Passwort direkt erhoben. Zudem ist zu jeder E-Mail-Adresse gespeichert, zu welchen Projekten diese mit welchen Berechtigungen Zugang erhält. Der Zweck ist hierbei ausschließlich die Nutzerverwaltung, d.h. der Schutz der in der Projektablage gespeicherten Daten vor unerlaubtem Zugriff.

Für einen Teilnehmer eines Projektes ist einsehbar, wer (genauer welche E-Mail-Adresse) noch alles Teilnehmer des gleichen Projektes ist. Damit ist für jeden Teilnehmer transparent, wer noch alles Zugriff auf eingestellte Daten erhält. Nicht-Teilnehmer eines Projektes können weder das Projekt noch seine Teilnehmer sehen, auch Projektverantwortliche kennen nicht die Teilnehmer anderer Projekte und wissen nicht, ob ein Teilnehmer ihres Projektes noch in weiteren Projekten teilnimmt.

Die o.g. Daten werden für die Laufzeit der Projekte gespeichert: die Rechte in einzelnen Projekten bis zum Ende der Laufzeit des Projektes und für eine zusätzliche Karenzzeit von 14 Tagen, die Mail-Adresse und Kennwort solange, bis das letzte Projekt, in dem die Kennung als Teilnehmer geführt wird, beendet wurde. Beim Rauslöschen einer Kennung aus Projekten erfolgt die Löschung binnen Minuten.

Für die Server-Administratoren werden Log-Dateien, insbesondere über Anmeldevorgänge, für maximal 7 Tage zum Zweck der Sicherstellung des ordnungsgemäßen Betriebes und zum Schutz personenbezogener Daten, die in die Projektablage eingestellt werden, erhoben. Die Server-Administratoren können zudem als einzige Hashes der Kennwörter sehen, die aber keine direkten Rückschlüsse auf die Kennwörter zulassen.