Gütesiegel und Testwerkzeuge sollen Daten schützen
Nachgelegt: Datenschutzkonferenz kritisiert Software-Entwickler
Vom Big-Brother-Award zum Datenschutz-Gütesiegel
Gütesiegel und Testwerkzeuge sollen Daten schützen
Was geschieht mit dem Firmenrechner bei Windows-Updates? Sind Web-Anwendungen sicher gegen Datendiebe? Diese Fragen diskutierten 70 Teilnehmer der Fachkonferenz Datenschutz und Datensicherheit Anfang der Woche in Berlin.
Auf der einen Seite malte Bundesdatenschützer Peter Schaar düstere Visionen einer zunehmenden Überwachungsgesellschaft, auf der anderen Seite gibt es auch positive Ansätze: Das Unabhängige Landesdatenschutzzentrum Schleswig Holstein ULD hat zwei Microsoft-Produkte im Februar 2007 mit seinem Datenschutz-Gütesiegel ausgezeichnet.
Vor drei Jahren noch mit dem Big-Brother-Award abgewatscht, scheint der Riesen-Konzern nun die Weichen in Richtung Datenschutz gestellt zu haben.
Dominik Stockem, Datenschutzbeauftragter bei Microsoft Deutschland GmbH, behauptete in seinem Vortrag sogar, Datenschutz sei beinahe in der DNA des Unternehmens verankert. Ein bisschen übertrieben vielleicht – aber warum nicht mal übertreiben mach so einer Kehrtwende?
Befürchtet hatte er, von dem renommierten Datenschutz-Auditorium in Berlin als Vertreter des Bösen mit Tomaten und rohen Eiern beworfen zu werden. Was natürlich nicht geschah. Mit dem Gütesiegel kann Microsoft zeigen, dass “wir nicht nur die Bösen sind, sondern auch diejenigen, die dafür sorgen können, ein wenig Kundenvertrauen zu erzeugen, ” so Stockem.
Ausgezeichnet mit dem einzigen staatlichen Gütesiegel weltweit wurden zwei Produkte: “Microsoft Update Service 6.0 (MU6.0)” und der “Windows Server Update Service (WSUS 2.0)?.
Sie stellen aktuelle Betriebssystem-Updates nutzerfreundlich bereit und verhindern, dass nicht autorisierte Software in das private oder Unternehmensnetz gelangt oder personenbezogene oder firmeninterne Daten unbemerkt durch die Leitung gehen. Mit dem WSUS-Server kann der Administrator die Updates gezielt an einzelne Rechner eines Netzes verteilen. WSUS sollte laut Kurzbeschreibung des ULD-Gutachtens (hier als PDF) innerhalb der Firewall einer Organisation installiert werden, um abzusichern, dass die Rechner ausreichend durch Virenscanner und Firewalls gegen schädlichen Code geschützt sind.
Was ist “Schleswig Holstein” für Microsoft?
Gütesiegel und Testwerkzeuge sollen Daten schützen
Man darf aber nicht denken, Microsofts Software sei jetzt rundum datenschutzkonform, betonte Marcus Belke, Leiter der Prüfstelle des ULD und Rechtsanwalt bei 2B Advice GmbH. Das Gütesiegel bezieht sich nur auf diese beiden Produkte, und im Zertifizierungsprozess wurde auf ihre isolierte Betrachung geachtet. Auch die Werbung ist nur für die zertifizierte Lösung erlaubt, sonst droht ein Entzug des Gütesiegels. Für jede Softwareentwicklung ist der Nachweis neu zu führen.
Belke beschrieb den langwierigen Zertifizierungsprozess von April 2005 bis November 2006. Nachdem man in Redmond klären konnte, was Schleswig Holstein ist, was Privacy in Deutschland, und welche Bedeutung das Gütesiegel für Deutschland hat, will man nun weitere Produkte zertifizieren lassen. Dominik wies darauf hin, dass Microsoft heute die Anforderungen des deutschen Datenschutzes in seinen Produktentwicklungsprozess integriert hat. Heute gibt es innerhalb des Software-Entwicklungsrozesses Security Checks und Prüfungen, ob sich die Software datenschutzkonform verhält. Das sei früher nicht der Fall gewesen, betonte er.
Aus dem Publikum wurde eine fehlende Transparenz z.B. bei der Lizenzierung kritisiert. Schön wäre da ein Satz wie: “Folgende Daten werden jetzt übermittel””. Hier bat Dominik um Geduld und um ein gewisses “Grundvertrauen”.
Tool + Mensch = sichere Software
Gütesiegel und Testwerkzeuge sollen Daten schützen
Anerkannte Gütesiegel garantieren ein definiertes Sicherheitsnivieau. Eine andere Möglichkeit, Unternehmensdaten in Web-basierten Applikationen zu schützen, versprechen Testwerkzeuge. Denn besonders Web-Applikationen haben viele Schwachstellen, sind aber gleichzeitig meist eng verknüpft mit kritischen Geschäftsprozessen. Ein Fehler, und der kreative Angreifer dringt ins Allerheiligste der Geschäftsdaten vor.
Automatische Testwerkzeuge versprechen hier Unterstützung. Zum Beispiel können Sicherheitstestwerkzeuge, so genannte “Application Security Scanner” feststellen, ob verschlüsselte Kommunikationsverbindungen eingesetzt werden. Viel mehr aber auch nicht. Dr. Markus Schumacher von der Virtual Forge GmbH hat verschiedene Werkzeuge getestet. Sein Fazit: Nur 50% der geprüften Tools konnten überhaupt alle Seiten finden, und danach musste man die entscheidenden Infos aus ellenlangen Reports selektieren. Testwerkzeuge finden die einfachen Fehler, allerdings mit hohem Aufwand und guter Konfiguration.
Potenzielle Angreifer aber suchen die harten Nüsse. Daher sind Sicherheitsexperten nach wie vor gefragt, betonte Schumacher. Nur eine Kombination von Testwerkzeugen und menschlich aktuellem Know-how und Kreativität können Fehler aus den Applikationen holen.