IT-Sicherheit. Ein Thema auch für Bibliotheken

von Clemens Deider

Zum dritten Mal lud Mathias Fluhr von inTIMEberlin, in B.I.T.online von seiner jährlichen Veranstaltung "OmniCard" bekannt, im Juli 2004 zu einem Treffen über IT-Sicherheit (Informations-Technologie) OMNISecure 2004 in das Grand Hotel Esplanade nach Berlin ein. OMNISecure thematisierte in sieben Foren Gedanken zur IT-Sicherheit, deren Herausforderung an das Unternehmensmanagement, ihre Wirtschaftlichkeit und Realisierung im Zusammenwirken der Menschen in Unternehmen, öffentlichen Einrichtungen und Nachfragern von Gütern bzw. Dienstleistungen.

Es ging dabei weniger um Viren und Würmer, wie etwa den tückischen Wurm "Korgo", oder ähnliches elektronisches Ungeziefer. "Korgo" überwacht die Tastaturanschläge am PC und ist besonders scharf auf Kennungen und Passwörter, am liebsten mag er Zugangsdaten von Homebankern und das Schlimmste an ihm, er kann schon beim ganz normalen Surfen im Internet auf den Computer gelangen, nicht wie sonst über versehentlich geöffnete E-Mail-Anhänge.

So widmete sich Klaus Altmeyer in seinem Einführungsreferat dem Informationsschutz der IT-Sicherheit aus Anwendersicht. Für ihn als Leiter des Bereichs Security Technik und Informationsschutz der BASF AG Ludwigshafen (www.basf-ag.de) stand das menschliche Bewusstsein um und die Akzeptanz der Notwendigkeit der Informationssicherheit im Vordergrund. So sichert der richtige Umgang mit Informationen dem Unternehmen seinen Erfolg und damit seine Arbeitsplätze. Schutz ist immer dann notwendig, wenn Kenntnisnahme durch Unbefugte, Verlust/Nichtverfügbarkeit von Daten oder deren Verfälschung dem Unternehmen Schaden zufügen könnte, besonders bei weltweiter Kommunikation. Letztes dürfte auch ein Argument für Bibliotheken sein, besonders für wissenschaftliche, wie Universitäts-, Instituts- und Forschungsbibliotheken, dazu dürften sicher auch Patent- und Behördenbibliotheken - des Bundestages usw. - zu rechnen sein.

Risiken und Schwachstellen sah Klaus Altmeyer in erster Linie bei Mensch, Organisation und Technik. Vermeidbare Risiken sieht Altmeyer in Indiskretion, aus welchen Gründen auch immer, also im fehlenden Sicherheitsbewusstsein im Gespräch untereinander. So entfallen 45 bis 50% der Fehler auf Nachlässigkeit, rund 15% auf verärgerte bzw. 12 bis 13% auf unehrliche Mitarbeiter und Systembenutzer und nur 4 bis 5% auf Hacker. Also ein recht eindeutiges Personalproblem.

Zum Beispiel ist die Art und Weise der erwünschten Datenvernichtung von Informationen auf Papier abhängig vom Shredderverfahren: hier bringt nur das Häckselverfahren Sicherheit, in Streifen geschnittenes Papier hingegen nicht, wie das Beispiel der Gauck/Birthler-Behörde beweist, deren Mitarbeiter mithilfe eines speziellen Computerprogramms die von Hand zerrissenen oder in Streifen geshredderte Stasi Papiere wieder zu Originalen zusammensetzen.

Dr. Steffen Frischat, Vorstand der Secartis Beratung AG, unterstrich die Sicherheitskritik von Herrn Altmeyer. Die Secartis AG widmet sich der IT-Sicherheit bei Mittelstandsunternehmen mit dem Schwerpunkt auf Kosten-/ Nutzenaspekten (http://www.mittelstand-sicher-im-internet.de). Die Kernbotschaften der Initiative der AG:

Beispiele für die Implementierung der IT-Sicherheit, deren Probleme bei der Einführung, lieferten Saskia Günther von der Allianz AG und Joachim Schlette , Direktor für IT-Sicherheit der Celesio AG. Der Celesio-Konzern nimmt für sich in Anspruch, für Europa die Nr. 1 in der Pharmadistribution zu sein, in unterschiedlichen Ländern und für ausländische Apothekenketten. Hier ist es besonders der E-Mail-Service in einer heterogenen E-Mail-Landschaft, der Sorgen bereitet. Bernd Liesner in Vertretung von Frank Krause von der ISKV Arbeitsgemeinschaft (Informationssysteme für die gesetzlichen Krankenversicherungen) schilderte ähnliche Probleme und setzte den Schwerpunkt auf elektronische Signaturen als IT-Sicherheitsmoment. Von dem "Wie" der IT-Sicherheit als aktiver Business Case versuchte Stefan Krebs von der Finanz IT GmbH (FINANZ IT) zu überzeugen. Sein Credo für die Notwendigkeit von Sicherheit:

IT-Sicherheit über Public Key Infrastrukturen (PKI) und deren Anwendungen bestimmten den zweiten Teil des Tages von OMNISecure 2004. Christoph Schog von der T-Systems International GmbH, Klaus Dieter Brinkmann von der HZD (Hessische Zentrale für Datenverarbeitung) und Otmar Schreyegg von der Leisner & Schreyegg GmbH sprachen über Aufbau und Anwendungen von PKI-Netzen zwischen Unternehmen, Kunden und Lieferanten und der dabei ausgewogenen Anpassung von standardisierten Komponenten mit kundenspezifischen Wünschen.

Ein erfolgreiches Umsetzen von PKI kann zu umfangreichen Kosteneinsparungen führen, während Schwierigkeiten in der Umsetzung zu empfindlichen und teuren Störungen im Betrieb führen können. Zu nennen ist hier der Einsatz der Digitalen Signatur für eine elektronische Vergabe von VOB/VOL (Verdingungsordnung für Bauleistungen), über die Otmar Schreyegg referierte, der Einsatz der Digitalen Signatur bei der Bauprojektplanung, Ausschreibung, Veröffentlichung, Abgabe/Submission und Ausführung/Zahlungsabwicklung. Ein sicher auch für den Bibliotheksbau der öffentlichen Hand interessantes Thema.

Ebenso können die von Dr. Brinkmann beim Aufbau einer SmartCard basierten Verwaltungs-PKI geschilderten Erfahrungen für das Land Hessen uns dessen Bibliotheken von Nutzen sein. Ziele des Pilotversuches sind Aufbau und Test einer Infrastruktur für sichere E-Mail unter den Rahmenbedingungen der Verwaltungs-PKI.

Dr. Brinkmann gab als Zwischenergebnis ein allgemeines positives Urteil ab, wenn auch bei der Kartenausgabe mehr Aufwand als geplant festgestellt und die Kartenleser von den Anwendern als zu langsam bemängelt wurden. Auch die Lesbarkeit der Signaturen war nicht überall gegeben. Nächste Schritte, wie die Integration der Karte in weitere Anwendungen, sind geplant:

Der Zweite Tag wurde bestimmt von den Forenthemen

Bei der Wirtschaftlichkeit muss der Grad der Informationssicherheit unter Kosten-Nutzengesichtspunkten bestimmt werden. Je werthaltiger ein Gut ist, desto höhere Sicherheit ist zu fordern. Dabei dürfte dem gesetzlichen Datenschutz bei Bibliotheken eine eigene Priorität eingeräumt werden. Besonders hohe Ansprüche stellte Dr. Thomas Stock vom SIZ (Informationszentrum der Sparkassenorganisation GmbH), für Geldinstitute recht verständlich.

Rolf Georg Monden (EDS Operations Service GmbH) berichtete über das Spannungsfeld der IT-Sicherheit zwischen Kosten, Benutzerfreundlichkeit und Sicherheitsbedarf, eine auch auf Bibliotheken übertragbare Fragestellung, deren Beantwortung nicht auf eine zu lange Bank geschoben werden sollte.

Wie wichtig eine elektronische Signatur am Arbeitsplatz und in einem Dokumentenmanagement-System ist, machte Alexander Staedtke von der WTE Betriebsgesellschaft mbH deutlich, eine Unternehmensgruppe, die ein unternehmerisch wie auch geographisch verzweigtes Aufgabenfeld als Leistungsspektrum zu betreuen hat. Am Beispiel der Rechnungsbearbeitung erläuterte A. Staedtke die Notwendigkeit des Einsatzes der elektronischen Signatur. So führte die elektronische Signatur u.a. zu

Die Bedeutung der elektronischen Signatur im Dokumentenaustausch war auch das Kernthema der Vorträge von Peter Wischnewski (Landesamt für Verfassungsschutz Hamburg) und von Renate Kantorek, Mitarbeiterin des IZN (Informationszentrum Niedersachsen). Peter Wischnewski schilderte den Aufbau einer Sicheren Internet-Architektur (SINA) für den Kommunikationsverbund des internen Verfassungsschutznetzes für geheime Daten unter Nutzung vorhandener Infrastruktur und die dafür notwendigen Voraussetzungen bei Hard- bzw. Software, Fachwissen des IT-Personals und den dazu erforderlichen Netzwerkkenntnissen. Frau Kantorek referierte über die SignaturCard Niedersachsen, eine Multifunktionskarte für Dateiablage und Datenkommunikation, d.h. für ein sicheres E-Government. Auch sie stellte den Menschen als Unsicherheitsfaktor vor den technischen. Mehr organisatorische Anforderungen und Probleme waren und sind zu meistern. Für den Landesbetrieb IZN soll zu deren Lösung die elektronische Signatur und zertifikatbasierte Verschlüsselung unter Einsatz der SignaturCard Niedersachsen beitragen.

Einsatz für

In der Weiterentwicklung der SignaturCard kam es zur Teilnahme an dem von der Bundesregierung angebotenen Bündnis für elektronische Signaturen (SigBü, Liste der Bündnismitglieder unter www.signaturbuendnis.de), d.h. Interoperabilität durch Standardisierung. Ziel dieses Bündnisses ist u.a. die Förderung des Einsatzes von multifunktionalen Chipkarten für elektronische Signaturen bei Bürgern, Unternehmen und Verwaltung. Da sind Bibliotheken sicher mit ihrer Aufgabenstellung auch als allgemeine Informationseinrichtung einzuordnen. Auf der CeBIT 2004 wurde diese SignaturCard Niedersachsen vorgestellt.

Die oben angesprochene Notwendigkeit einer Zertifizierung als formale Bestätigung von Management-Systemen erläuterten Sven Wittmann (arvato systems GmbH), Karl-Heinz Holtz Triaton GmbH) und Joachim Schlette (Celesio AG). Für den Celesio-Konzern geht es darum, im Rahmen der konzernweiten Organisation eine einheitliche Sprache zwischen den unterschiedlichen europäischen Ländern zu sichern, um so die Verfügbarkeit der Celesio-Vertriebsprodukte zu gewährleisten.

Es war eine Veranstaltung von inTIMEberlin, die auch für nach vorn schauende Bibliotheken ähnlich der Chipkartenanwendung - siehe OMNICard - auf kommende Veränderungen im Informations- und Wissensaustausch und hier deren Sicherheitsanforderungen aufmerksam machte. Es sind Fragestellungen zur IT-Sicherheit, für die durch bundesländerübergreifende Absprachen im Bibliothekswesen Antworten gefunden werden müssen. Im Schulwesen werden zwischen einigen Länder für bestimmte Fachbereiche vereinheitlichende Absprachen getroffen, obgleich die Kulturhoheit der Länder besteht, oder vielleicht gerade deswegen.

Unabhängig von der Veranstaltung ist auf die Vorreiterrolle der Länder Brandenburg und Schleswig-Holstein bei der Nutzung von Datennetzen mit MPLS-Technik (Multi Protocol Label Switching) für den integrierten Sprach- und Datenverkehr auf einer Plattform hinzuweisen. Diese MPLS-Netze ermöglichen innerhalb des geschlossenen Netzverbundes aus Gründen des Datenschutzes voneinander getrennte Benutzergruppen - Polizei, Finanz- oder Justizverwaltung - einzurichten. Neben der Landesverwaltung steht auch den Kommunen in Brandenburg das Netz zur Nutzung offen. Es legt die Grundlage für die Realisierung einer E-Government-Strategie.

So stellt sich wiederum die Frage, ob Bibliotheken in die Überlegungen mit eingebunden sind oder werden sollten. Und wäre nicht auch ein IT-Sicherheitsbeauftragter für Bibliotheken zu diskutieren, der sich in einer bestimmten Region darum kümmert, dass von bestimmten Daten Sicherheitskopien erstellt werden, dass Virenscanner aktuell bleiben u.s.w.? So ein Rat von Frank Rüstemeyer von "Mittelstand sicher im Internet", den auch Bibliotheken beherzigen könnten.

Auch bei den vielen kleinen Fußangeln, die der Computer-Alltag bereithält, z.B. infolge unterschiedlicher Druckertypen und Geräteanschlüsse, ist ein kompetenter Mitarbeiter erwünscht, der nicht nur über Anwender-Know-how, sonder auch über IT-/Geräte-Kompetenz verfügt.

Neben den schon von OMNICard her bekannten kontaktfördernden Leistungen wurde den Veranstaltungsteilnehmern ein Exemplar der Proceedings mit der Teilnehmerliste für eine spätere, intensivere Kontaktaufnahme ausgehändigt. Ferner wird den Teilnehmern der Zugriff auf die im Internet abgelegten Referentenbeiträge eingeräumt. Falls B.I.Tonline-Leser Interesse haben, können folgende Kontakte zu Referenten genutzt werden:

E-Mail: Internet:
klaus.altmeyer@basf-ag.de
www.basf-ag.de

steffen.frischat@secarti.com
www.secartis.com

joachim.schlette@celesio.com

krause@iskv.de

stefan.krebs@finanzit.com

christoph.schog@t-systems.com

kd.brinkmann@hzd.hessen.de
www.hzd.de

schreyegg@my-con.com

thomas.stock@siz.de

rolf.georg.monden@eds.com
www.eds.com

staedtke@wteb.de

info@arvato-systems.de
(Sven Wittmann)
www.arvato-systems.de

poststelle@verfassungsschutz.hamburg.de
(Peter Wischnewski)

renate.kantorek@izn.niedersachsen.de
www.izn.niedersachsen.de

Die nächste OMNISecure (2005) ist im Juni 2005 geplant.

Die OMNICard 2005 findet vom 12. bis 14. Januar 2005 statt.

Anschrift des Veranstalters

InTIMEberlin
contact@in-TIME-berlin.de
www.inTIMEberlin.de

www.omnisecure.de

www.omnicard.de


Zum Autor

Dipl.-Volksw. Clemens Deider

Fuggerstraße 18
D-10777 Berlin
E-Mail: cdeise@t-online.de