Gemeinsames Ministerialblatt Saarland vom 14. November 1997

GRUNDSÄTZE FÜR DATENÜBERMITTLUNG UND DATENTRÄGERAUSTAUSCH (DATENÜBERMITTLUNGS-GRUNDSÄTZE)

Herausgegeben vom

Bundesministerium des Innern Arbeitsgruppe 0 1 3 0 1 3 - 195 052 - 212 Neufassung 1997 21. Februar 1997

KBSt-Empfehlung Nr. 1197 vom 30. Juni 1997

Nach Nr. 18 Abs. 1 in Verbindung mit Nr. 17 Abs. 2 Ziff. 1 der Richtlinien für den Einsatz der Informationstechnik in der Bundesverwaltung (IT-Richtlinien) vom 18. August 1988 (GMBI . 470) empfiehlt die Koordinierungs- und Beratungsstelle der Bundesregierung für Informations- technik in der Bundesverwaltung im Bundesministerium des Innern (KBST) im Einvernehmen mit dem Interministeriellen Koordinierungsausschuß für Informationstechnik in der Bundesver- waltung (IMKA):,

Bei der Abfassung oder Änderung von technischen Vorschriften zur Regelung von Daten- austauschverfahren sowie bei der Planung von Datenaustauschverfahren sind die Grund- sätze für Datenübermittlung und Datenträgeraustausch (Datenübermittlungs-Grundsätze) in der Neufassung vom 21.02.1997 anzuwenden.

Der Kooperationsausschuß ADV Bund/Länder/Kommunaler Bereich (KoopA ADV) hat der Neu- fassung zugestimmt.

Die KBSt-Empfehluhg Nr. 5190 vom 10. Oktober 1990 (GMBI 1990 S. 803, Banz Nr. 209a vom 9. November 1990) wird außer Kraft gesetzt.

GRUNDSÄTZE FÜR DATENÜBERMITTLUNG UND DATENTRÄGERAUSTAUSCH (DATENUBERMITTLUNGS-GRUNDSÄTZE) Neufassung vom 21.02 .l997 Inhaltsübersicht

1 Allgemeines

1.1 Zielsetzung 1.2 Begriffsbestimmungen 1.3 Regelungsbedürftige Sachverhalte 1.4 Dokumentation

2.· Datenaustauscharten

2.1 Auswahlkriterien 2.2 Datenübermittlung 2.3 Datenträgeraustausch

3. Technische Mindestanforderungen

3.1 Zeichensatz 3.2 Datenelemente 3.3 Austauschformate 3.4 Datenkomprimierung 3.5 Verschlüsselung

4. organisatorische Mindestanforderungen

4.1 Sicherheit und Organisation 4.2 Datensicherung bei der Datenübermittlung 4.3 Datensicherung beim Datenträgeraustausch 5. Beratung ------Erläuterungen und Empfehlungen für IT-Planer

Anhang zu den Erläuterungen und Empfehlungen für IT-Planer (Mustervordrucke) ------

Zusammenstellung der für die Datenübermittlungs-Grundsätze relevanten deutschen, europäischen und internationalen Normen

Allgemeines

1.1 Zielsetzung

Die Grundsätze enthalten Mindestanforderungen an die Vollständigkeit und Richtigkeit von Da- tenübermittlungs- und Datenträgeraustauschregelungen, auf deren Einhaltung unter dem Ge- sichtspunkt einer ordnungsgemäßen Verarbeitung der übermittelten Daten sowie im Hinblick auf Sicherung und Prüfbarkeit der Informationsweitergabe nicht verzichtet werden kann. Bei der Abfassung oder Änderung von technischen Vorschriften in Form von

- Rechtsvorschriften,

- Verwaltungsvorschriften,

- Dienstanweisungen,

- sonstigen Richtlinien und Vereinbarungen, soweit diese den Austausch der Datenregeln, sind die Grundsätze zu berücksichtigen.

Den technischen Vorschriften sind stets

- europäische Normen und europäische Vornormen, - internationale Normen, wenn diese in Deutschland übernommen worden sind, zugrunde zu legen, soweit diese den geforderten technischen Spezifikationen in angemessener Weise gerecht werden.

Darüber hinaus können die Grundsätze bei der Planung und dem

Einsatz von IT-Verfahren, in denen Datenübermittlung und/oder

Datenträgeraustausch relevant sind, Hilfestellung geben.

1.2 Begriffsbestimmungen

Datenaustausch i. S. dieser Grundsätze bedeutet, daß Daten zwischen einer abgebenden Stel- le und einer, empfangenden Stell auf Datenträgern oder durch Datenübermittlung ausgetauscht werden. Dabei können beide Stellen die Datenübermittlung initiieren. Die Datenübermittlungs-Grundsätze beschränken sich im folgenden auf den Austausch digitaler Daten. Daten werden im Sinne der DIN 44 300 und DIN 44 302 verstanden. Von der Datenübermittlung, die allein vom Absender initiiert wird, ist der - ggf. gegenseitige - Zugriff auf Informationen als Datenabruf zu unterscheiden.

1.3 Regelungsbedürftige Sachverhalte

Bei der Gestaltung von Datenübermittlung und Datenträgeraustausch ist die Vollständigkeit der regelungsbedürftigen Sachverhalte anhand der folgenden Liste und der nachfolgend beschrie- benen weiteren technischen und organisatorischen Erfordernisse zu prüfen:

- Rechtliche Grundlage,

- Zweck und Anwendungsbereich,

- Teilnahmeberechtigte oder -verpflichtete,

- Anmeldeverfahren,

- Beginn und Turnus des Datenaustausches,

- Zulassung von Datenabruf,

- Datenschutz,

- Haftung,

- Kostenregelung,.

- Übergangsbestimmung,

- Bearbeitungsfristen,

- Verfügbarkeit,

- Datenaustauschart und ihre technischen Anforderungen

- Zeichensatz,

- Datenelemente und -formate

- Komprimierung,

- Verschlüsselung,

- Versandwege, Datenübermittlungswege,

- Bereitstellung, Pflege und Verbleib der Datenträger,

- Datensicherung

- Prüfung und Fehlerbehandlung,

- Systemverantwortliche Stelle / Ansprechpartner.

1.4 Dokumentation

Jedes Datenaustauschverfahren ist von der regelnden Stelle vollständig und in dem für Beteilig- te und für Prüfzwecke erforderlichen Detaillierungsgrad zu dokumentieren. Als Anhaltspunkt für die Dokumentation kann die Aufzählung in Abschnitt 1.3 dienen.

2.· Datenaustauscharten

2.1 Auswahlkriterien

Der Datenaustausch kann mittels Datenübermittlung oder durch Datenträger erfolgen. Zur Aus- wahl der Datenaustauschart dienen insbesondere die folgenden Kriterien:

- Verbreitungsgrad,

- Grad der Standardisierung,

- Datenmenge, Datenstruktur,

- Terminsituation, Zeitbedarf,

- Verfügbarkeit,

- Datensicherheit,

- Ausfallsicherheit,

- Funktionsfähigkeit,

- Funktionsfähigkeit in Ausnahmesituationen,

- Anpassungsfähigkeit,

- Stand der Automation und maschinelle Ausrüstung bei den Beteiligten,

- organisatorische und ergonomische Randbedingungen,

- Kosten, Gesamtwirtschaftlichkeit.

2.2 Datenübermittlung

Für die Datenübermittlung ist grundsätzlich die Auswahl aus genormten Kommunikationsdiens- ten, insbesondere

- Dateiübermittlung, -zugriff und -verwaltung (FTAM)

- Nachrichtenübermittlungsdienst (MHS), und eine Entscheidung über das zu verwendende Netz zu treffen.

Die Empfehlungen des Europäischen Beschaffungshandbuchs für offene Systeme - EPHOS (Zuropean Procurement Handbook for Cppn Systems ) sind zu berücksichtigen.

Bei Nutzung von Kommunikationsdiensten aus Anwendungen heraus sollte nach Möglichkeit eine genormte Schnittstelle eingesetzt werden.

2.3 Datenträgeraustausch

Für den Datenaustausch mittels Datenträger (außer Papier) ist grundsätzlich die Auswahl aus den nachstehenden genormten Dätenträgern zu treffen:

- optische,

- magnetooptische oder

- magnetische Datenträger.

Beispiele hierfür sind CD-ROM, Disketten, Magnetbänder und Magnetbandkassetten.

Als genormte Datenträger sind in Zukunft auch Datenträger nutzbar (Chip-Karten), die sich der Speicherung von Daten in integrierten Schaltkreisen (IC) bedienen.

Zur Kennzeichnung und Abgrenzung von Daten sind grundsätzlich die für die Datenträger ge- normten Kennsätze (Datenformate) zu verwenden.

3. Technische Mindestanforderungen Zeichensatz

Von Stellen der öffentlichen Verwaltung ist in Datenäustauschregelungen der Zeichensatz ge- mäß DIN 66303-ARV 8 zugrunde zu legen; dies gilt auch bei Verwendung reduzierter Zeichen- vorräte. Entsprechend ist zu verfahren, wenn von Stellen der öffentlichen Verwaltung aufgrund von mit- teilungspflichtigen Daten mit Dritten auszutauschen sind. Der Zeichensatz gemäß DIN 66303-ARV 8 enthält die Ziffern, die Groß- und Kleinbuchstaben und weitere Schriftzeichen (Sonderzeichen) sowie nationale Buchstaben und Buchstaben mit diakritischen Zeichen oder Akzenten, die in verschiedenen westeuropäischen Sprachen ver- wendet werden. Er ermöglicht damit die Verwendung der Umlaute und des ß für eine korrekte deutschsprachige Namensschreibung.

3.2 Datenelemente

Die Darstellung und Bedeutung der verwendeten Datenelemente ist eindeutig festzulegen. So- weit Normen für Datenelemente vorliegen, sind diese anzuwenden, . für

- die Darstellung des Geschlechts von Menschen, - die Darstellung von Datum und Uhrzeit, - die Darstellung von Ländernamen.

3.3 Austauschformate

Die Gestaltung des Sätzaufbaus bei strukturierten Daten sowie die Verwendung geeigneter Dokumenten- und Grafikformate sind festzulegen. Soweit Normen für Austauschformate vorlie- gen sind diese anzuwenden, z. B. für

- Dokumentenformate, - Grafikformate, - strukturierte Daten im Bereich Handel, Verwaltung und Transport.

3.4 Datenkomprimierung

Soweit dies bei allen Beteiligten technisch möglich ist, kann der Austausch der Daten aus wirt- schaftlichen Gründen in komprimierter Form erfolgen. Soweit Normen für Datenkomprimierung vorliegen, sind diese anzuwenden, z.B. für - Standbilder, - Bewegtbilder.

3.5 Verschlüsselung

Soweit Normen für Verschlüsselung vorliegen, sind diese anzuwenden, z.B. für

- asymmetrische Verfahren, - symmetrische Verfahren.

4. Organisatorische Mindestanforderungen

4.1 Sicherheit und Organisation

Datenaustauschregelungen und Organisation der an dem Verfahren beteiligten Stellen sind so zu gestalten, daß die auszutauschenden Daten in erforderlichem Umfang gegen unberechtigten Zugriff, Mißbrauch, Veränderung, Verlust und Zerstörung gesichert werden können.

Anforderungen an die automatisierte Verarbeitung von personenbezogenen Daten sind, soweit sie für den Datenschutz von Bedeutung sind, im Bundesdatenschutzgesetz (BDSG) und in den Datenschutzgesetzen der Länder festgelegt, u.a. in der Anlage zu § 9 Satz 1 BDSG. Soweit angemessen, können einzelne Anforderungen wegen ihrer Allgemeingültigkeit entsprechend auf die automatisierte Verarbeitung nicht personenbezogener Daten angewandt werden.

Welche technischen und organisatorischen Maßnahmen im einzelnen vorzusehen sind, ist von der jeweiligen Aufgabenstellung, den Datenschutzvorschriften (BDSG, Datenschutzgesetz des jeweiligen Landes, bereichsspezifischen Datenschutzbestimmungen), dem Sicherheitsbedürfnis und der Forderung nach der Angemessenheit der Mittel abhängig.

Die Entscheidung, ob ein Verschlüsselungsverfahren eingesetzt werden soll, ist unter anderem abhängig von:

- dem Schutzwert der Daten, - der Sicherheit des Netzes, - der Anzahl und Vertrauenswürdigkeit der Beteiligten, - dem Übertragungsweg und der zu durchlaufenden Vermittlungsknoten, - der Häufigkeit und Regelmäßigkeit des Datenaustauschs.

Auf die Empfehlungen der Kommunalen Gemeinschaftsstelle für Verwaltungsvereinfachung (KGST) zum Domänenkonzept im Bericht "Nr. 9/1995 "Informationsaustausch zwischen öffentli- chen Verwaltungen", wird hingewiesen.

4.2 Datensicherung bei der Datenübermittlung

Neben der Verwendung gesicherter Datenübermittlungsverfahren sind insbesondere folgende Sachverhalte zu regeln und verbindlich festzulegen:

- Überprüfung der Richtigkeit der Datenübertragung,

- Verhalten bei Systemzusammenbruch,

- Wiederanlaufverfahren,

- Festlegung und Prüfung der Zugriffsberechtigung,

- Authentisierungsverfahren,

- Umfang und Inhalt der Protokollierung,

- Testverfahren zur Erkennung von Software mit Schadfunktion (z.B. Computerviren),

- Plausibilitäts- und Vollständigkeitsprüfung.

4.3 Datensicherung beim Datenträgeraustausch

Um die Datensicherheit beim Datenträgeraustausch zu gewährleisten, sind insbesondere fol- gende Sachverhalte zu regeln und verbindlich festzulegen:

-. Test der Datenträger zum Schutz vor Software mit Schadfunktion (z.B. Computerviren),

- Kennzeichnung der Datenträger,

- Transportschutz für beschriebene Datenträger,

- Verwendung neuer oder gelöschter Datenträger,

- Versandpapiere,

- Verpackung der Datenträger,

- Erstellen von Sicherheitskopien,

- innerbehördliche Transportkontrolle und Organisation,

- Löschung nach Verarbeitung,

- Rücksendung von Datenträgern im Fehlerfall,

- Akklimatisierung der Datenträger vor Verwendung,

- Pläusibilitäts, und Völlständigkeitsprüfung,"

- Reproduzierbarkeit und Archivierung,

- Dokumentation der Datenorganisation.

5. Beratung

Zu beabsichtigten Datenaustauschregelungen mit gebietskörperschaftsübergreifender Bedeu- tung sollte eine Stellungnahme der Arbeitsgruppe Datenaustausch des Kooperationsausschus- ses ADV Bund/Länder/Kommunaler Bereich (KoopA ADV) eingeholt werden. Die Arbeitsgruppe ist unter der folgenden Anschrift zu erreichen:

Bundesministerium des Innern Arbeitsgruppe 0 I 3 Postfach 17 02 90

53108 Bonn

Tel. Nr.:(0228) 681 - 2201 oder 2900 Fax Nr.:(0228) 681 - 2202 .400: S=wilzek[oder S=bylicki];=kbst;P=bmi;A=bund400;=de

Erläuterungen und Empfehlungen für IT-Planer

1. Allgemeines

Die vielfältigen Möglichkeiten des Datenaustauschs (Datenübemüttlungs-Regelungen, Einsatz von Anwendungsfunktionen der Datenübermittlung bzw. Datenträgern) begründen den Bedarf nach einer einheitlichen Handreichung sowohl für Regelungsgeber als auch für Planer auf die- sem Gebiet.

Der Bedarf besteht gleichermaßen hinsichtlich organisatorischer Hilfestellungen und des recht- lichen Rahmens für eine einheitliche Gestaltung der technischen Anforderungen.

Beschaffer und damit auch Planer auf dem Gebiet der IT. sind in der Europäischen Union an einen rechtlichen Rahmen gebunden, der weitgehend zur Anwendung von Normen verpflichtet:

- Im Beschluß des Rates über die Normung auf dem Gebiet der Informationstechnik und der Telekommunikation (87/95/EWG) werden die öffentliche Auftraggeber ver- pflichtet, bei der Beschaffung von IT-System en und Komponenten auf europäische Nor- men, Vornormen oder internationale Normen (soweit national übernommen) Bezug zu nehmen, "so daß diese Normen bei der Übermittlung und dem Austausch von Informatio- nen und, Daten und für die Kompatibilität der Systeme zugrunde gelegt werden". Dieser Beschluß gilt unmittelbar und besitzt Vorrang vor konkurrierenden nationalen Regelun- gen.

- In verschiedenen Richtlinien der Europäischen Union werden Beschaffungsverfahren ge- regelt, die auch Anforderungen an technische Spezifikationen und die Bezugnahme auf Normen beinhalten. Die Auftraggeber haben die nationalen Regelungen zu beachten, in denen die Richtlinien umgesetzt werden. In Deutschland handelt sich dabei im wesent- lichen um die Verdingungsordnung für Leistungen - ausgenommen Bauleistungen - Teil A (VOL/A), die durch die Vergabeverordnung 1994 für bestimmte Auftraggeber rechtlich verbindlich wurde.

a) Die Lieferkoordinierungsrichtlinie (93/36/FWG) verpflichtet den Beschaffer von Produkten generell zur Bezugnahme auf europäische Normen (und unter bestimmten Umständen auf internationale Normen) und deckt daher auch die Aspekte der IT. ab, die vom Ratsbeschluß 87/95/EWG nicht angesprochen werden z.B. Software Ent- wicklung und elektrische Sicherheit.

b) Die Dienstleistungsrichtlinie (92/50 WG) befaßt, sich mit der Beschaffung von Dienstleistungen" z.B. der Vergabe vollständiger , IT. . Anwendungen (Outsourcing) oder der Auslagerung von Datenbanken an externe Betreiber. Ihre Anforderungen gleichen im wesentlichen denen, der Lieferkoordinierungrichtlinie,- jedoch ohne eine Aufteilung des technischen Anwendungsbereichs (der Beschluß über die Anwendung von Nonnen im IT-Bereich betrifft nur Produkte).

c) Für Einrichtungen, die in den Sektoren der Wasser- und Energieversorgung des Ver- kehrs und des Fernmeldewesen tätig sind, gelten ähnliche Regelungen und zwar in diesem Fall sowohl für öffentliche als auch für private Unternehmen die Sektoren- richtlinie, (93/3 8/FWG).

- Diese Rechtsvorschiften beinhalten Schwellenwerte bezüglich des Auftragswertes und Ausnahmeregelungen für Fälle, in denen Normen nicht geeignet sind.

Von den Mitgliedstaaten der EU gemeinsam mit der Kommission wurde zur Unterstützung der öffentlichen Beschaffer das Vorhaben EPHOS (Europäisches Beschaffungshandbuch für offene Systeme) aufgesetzt, das die öffentlichen Beschaffer im Hinblick auf Systeme und Dienste der IT. unterstützt. Es fördert speziell die Spezifikation und den Kauf offener Systeme mit folgenden Zielen:

- Formulierung der Anforderungen unter Bezugnahme auf Normen und damit Umset- zung des rechtlichen Rahmens für die öffentlichen IT-Beschaffer,

- Interoperabilität getrennt beschaffter Systeme,

- europaweit harmonisierte Leitfäden für Schlüsselbereiche der IT.

EPHOS kann aufgrund seiner Zielvorgabe als Beschaffungshandbuch die Datenübermittlungs- Grundsätze nicht ablösen, da wesentliche Aspekte wie organisatorische Festlegungen (z.B. Teilnahmeberechtigte oder -verpflichtete, Anmeldeverfahren, Kostenregelung) und der Daten- trägerbereich nicht abgedeckt sind. Überschneidungen mit EPHOS werden dabei nach Mög- lichkeit vermieden. Insbesondere werden einschlägige Datenübermittlungsnormen, die in EPHOS behandelt werden, nicht inhaltlich beschrieben.

Zu EPHOS liegen inzwischen zahlreiche Einzelbände (Module), in deutscher Übersetzung vor. vgl. Abschnitt 2.2.

1.1 Zielsetzung

(keine Erläuterungen und Empfehlungen)

1.2 Begriffsbestimmungen

Nachfolgend werden folgende Begriffe definiert:

Daten

Gebilde aus Zeichen oder kontinuierliche Funktionen, die aufgrund bekannter oder unterstellter Abmachungen Information darstellen, vorrangig zum Zweck der Verarbeitung oder als deren Ergebnis.

Anmerkung: Verarbeitung umfaßt die Durchführung mathematischer, umformender, übertra- gender und speichernder Operationen.

Der wesentliche Unterschied zwischen Daten und Nachricht liegt in ihrer Zweckbestimmung. (DIN 44 300 Teil 2)

Datenaustausch

Kommunikation zwischen Partnern in Form einer strukturierten Menge von Nachrichten und Dienstsegmenten, beginnend mit einem Austauschkopfsegment und endend mit einem Austau- schendesegment. [Modul Elektronischer Dokumentenaustauschl (EPHOS-Glossar)

Datenübermittlung

Übermitteln von Daten einer Datenquelle an eine Datensenke über einen oder mehrere. Über- mittlungsabschnitte nach bestimmten Übermittlungsvorschriften. Anmerkung: Im allgemeinen Sprachgebrauch wird diese Benennung mit unterschiedlicher Bedeutung angewendet.

(DIN 44 302)

Datenübertragung

Übertragen von Daten zwischen Datenendeinrichtungen (DEE) über Datenverbindungen, (DIN 44 302)

Datenträger

Ein Mittel, auf dem Daten aufbewahrt werden können.

Anmerkung: Beispiele sind Lochkarte, Diskette, Magnetband, Papier (für Druckausgabe oder handschriftliche Aufzeichnung) Mikrofilm (COM).

(DIN 44 300 Teil 2)

Datenabruf

Direktzugriff auf externe Datenbestände.

Hinweis: Stichpunkt "Datenabrufverfahren" in Abschnitt 1.3.

1.3 Regelungsbedürftige Sachverhalte Datenabrufverfahren Je nach Verwendungszweck können Datenabrufverfahren zur Bereitstellung interner In- formationen (z.B. innerhalb der Verwaltung) und externer Informationen (z.B. Bürgerser- vice) dienen. Je nach Verwendungszweck sind die Belange des Datenschutzes entspre- chend zu berücksichtigen.

Interne Informationsbereitstellung

Bisher üblich waren Datenabrufverfahren aus Datenbeständen von Großrechnern über eine entsprechende Terminal-Emulation (z.B. IBM 3270). Hierbei können die Zugriffe und Berechtigungen für jeden Nutzer zentral verwaltet und gesteuert wer- den.

Mit der Einführung von PCs und Client-Server-Strukturen in den Verwaltungen kön- nen zunehmend auch Dokumente mit Bildern, Grafiken und Tabellen als Informati- onsbasis zur Verfügung gestellt werden. Geschieht dies mit den gleichen Techniken wie im Internet, z.B. World Wide Web (WWW), spricht man auch vom Intranet. Die Informationen werden durch Hyper Text Mark up Language (HTML) beschrieben und verknüpft. Die Bereitstellung dieser Dienste erfolgt in der Regel auf separaten Servern. Externe Informationsbereitstellung

Die externe Informationsbereitstellung (z. B. Bürgerservice) kann über verschiedene Netze (z. B. Internet) und Dienste (z. B. WWW) erfolgen. Hierzu empfiehlt sich aus Gründen der Datensi- cherheit, das Verwaltungsnetz separat vom WWW-, Server zu halten oder durch Einsatz geeig- neter Sicherheitstechniken (z.B. Firewalls) zu schützen.

Weitere Szenarien sind in den "Empfehlungen zu Datenübermittlung, -zugriff und -verwaltung (FTAM - File Transfer, Accegs and Management) in der öffentlichen Verwaltung " (Beschluß des KoopA ADV Nr. 12-4/95 und KBSt-Empfehlung Nr. 3/95 zu Datenübermittlung, -zugriff und - verwaltung) und im Bericht Nr. 9/1995 Informationsaustausch zwischen öffentlichen Verwaltun- gen" der Kommunalen Gemeinschaftsstelle für Verwaltungsvereinfachung (KGST) enthalten.

1.4 Dokumentation

(keine Erläuterungen und Empfehlungen)

2. Datenaustauscharten

2.1 Auswahlkriterien

(keine Erläuterungen und Empfehlungen)

2.2 Datenübermittlung

Die Festlegungen zur Regelung einer Datenübermittlung sollen dem Basis-Referenzmodell für die Kommunikation Offener Systeme (OSI- Open Systems Interconnection) gemäß EN ISO/IEC 7498-1:1994 (identisch mit ITU- X.200) entsprechen.

Die Funktionalitäten werden in EPHOS behandelt. Die Module von EPHOS sind jeweils als Ein- zelhefte des Bandes 31 der Schriftenreihe der KBst im Bundesanzeigerverlag veröffentlicht:

Heft 1 enthält den Leitfaden zum Handbuch und gibt einen Überblick über EPHOS. Heft 2 bein- haltet ein Glossar.

Folgende Module von EPHOS liegen darüber hinaus in deutscher Übersetzung vor:

- Verzeichnisdienste (X.500) Heft 3

- Virtuelles Ternünal (VT) Heft 4

- Nächrichtenübermittlungsdienste (MHS) Heft 5

- Datenübermittlung, -zugriff und -verwaltung (FTAM) Heft 6

- OSI-Management Heft 7

- Elektronischer Datenaustausch (EDI) Heft 8

- Dokumentenformate für offene Kommunikation Heft 9

Für den Datenaustausch über Telekommunikationsdienste aus Anwendungen heraus steht u.a. die genormte Schnittstelle APPLI/COM zur Verfügung.

2.3 Datenträgeraustausch

Für den Datenaustausch auf Datenträgern sind zur Kennzeichnung und Abgrenzung von Datei- en grundsätzlich genormte Kennsätze zu verwenden. Ist die Anwendung der Normen nicht möglich, sind bilaterale Absprachen zu treffen.

Beim Einsatz von Disketten ist die Verwendung genormter Kennsätze eher die Ausnahme.

Die genormten Kennsätze sollen eine einheitliche. Prüfung von Kennsätzen in unterschiedli- chen Betriebssystemen ermöglichen. Hierdurch wird die Sicherheit der Verarbeitung wesentlich erhöht und eine versehentliche Verarbeitung fremder Daten ausgeschlossen. Voraussetzung hierfür ist der, einheitliche Aufbau von Kennsätzen und die einheitliche Interpretation durch die unterschiedlichen Betriebssysteme.

3. Technische Mindestanforderungen

Verarbeitung und Austausch formatierter Daten umfaßt zahlreiche Funktionen wie z.B. Eingabe und Änderung, Textverarbeitung, Bearbeitung von Grafiken, Tabellen und Diagrammen, Layout- Kontrofle u.s.. Hierzu werden Bürokommunikationssysteme eingesetzt, die herstellerspezifi- sche Dokumentenformate nutzen und i... ermöglichen, Dokumente von einem Format in ein anderes zu konvertieren. Da. diese Konvertierer nicht immer alle genutzten Formatmerkmale unterstützen, wurden Dokumentenformate genormt.

In diesem Abschnitt werden die Formatkategorien Text, Grafik und strukturierte Daten, Zeichen- sätze und Verfahren zur Formatierung sowie zur Komprimierung, Verschlüsselung und Codie- rung behandelt.

3.1 Zeichensatz

DIN 66303-ARV 8 stimmt mit ISO 8859-1 (Lateinisches Alphabet Nr. 1) in den darstellbaren Zeichen überein.

3.2 Datenelemente

Für einige besondere Datenelemente sind die Inhalte genormt, wie beispielsweise:

- Darstellung des Geschlechts beim Menschen, - Darstellung von Datum und Uhrzeit, - Austausch von Handelsdaten; Verzeichnis von Handelsdatenelementen, - Codes für Ländernamen, Sprachen, Währungen und Zahlungsmittel.

Das Datenelement "Jahr" soll grundsätzlich vierstellig gewählt werden, um dem anstehenden Jahrtausendwechsel Rechnung zu tragen.

3.3 Austauschformate

Es sollten keine Formate berücksichtigt werden die von marktgängigen Standardsoftware- Paketen nicht direkt unterstützt werden bzw. für die auch von Drittanbietern keine Konvertie- rungsprogramme von und zu marktüblichen Formaten (de Facto-Stand&) angeboten werden.

Textformate

Textdokumente sind traditionell in Papierform dargestellt. Sie umfassen einfache Notizen und Bürobriefe, Grafiken (gezeichnete Linien oder elektronisch erfaßte Bilder) und große mehrteilige Berichte und Veröffentlichungen, wie etwa Zeitungen (Desk- Top-Publishing). Bei der Dokumentenübermittlung stehen die Layout-Treue und die Weiterverarbeitbarkeit im Vordergrund der Anforderungen.

Die Norm "Verallgemeinerte Auszeichnungssprache" (SGML=Standard Generalized Mar- kup Language) beschreibt die Struktur eines Dokuments. Daher hängt das Layout eines Dokuments von den Einstellungen auf dem Zielsystem ab und kann vom Ersteller nicht unmittelbar gesteuert werden

Eine Erweiterung von SGUL ist HTML (Hypertext Mark-UP Language), das derzeit durch das Wachstum von Internet eine starke Verbreitung erfährt. HTML fügt SGML neben einigen neuen Strukturelementen im wesentlichen sogenannte Hypertext Links HTML ist die Dokumenten-Beschreibungssprache des (World Wide Web).

HTML ermöglicht Verweise (Hypertext Links) auf andere Dokumente, die auch in anderen Rechnern gespeichert sein können. Bei einem Anwählen eines Verweises wird das ent- sprechende Dokument geladen und angezeigt. Es ist auch möglich, solche Dokumente aus aktuellen Informationssammlungen (Datenbanken) erst in dem Moment zu erzeugen, in dem diese abgefragt werden.

Eine weiterführende Darstellung findet sich im EPHOS-Modul "Dokumentenformate für Offene Kommunikation".

Grafikformate

Im Laufe der Jahre haben sich eine Vielzahl von Grafikformaten in den unterschiedlichs- ten Ausprägungen entwickelt, die teilweise nur schwer miteinander vergleichbar sind. Ei- nige dieser Grafikformate haben sich aber durch ihre Marktstellung eine Position als Qua- si-Standard erobert.

Die Gafikformate sind oft für ganz unterschiedliche Funktionsbereiche konzipiert worden. Sie zu klassifizieren und in ein anschauliches Schema zu pressen . fällt daher schwer., Eine Möglichkeit besteht darin, die Grafikformate nach ihren typischen Einsatzbereichen zu klassifizieren. Man unterscheidet hier nach den unterschiedlichen Speicher-Prinzipien der grafischen Informationen:

- RASTER-Formate

Hier ist der Punkt das Basiselement der grafischen Informationen (wie bei einem Foto). Raster-Formate sind besonders geeignet für Flächendarstellungen und Flä- chenmanipulationen, bieten aber kaum Möglichkeiten für Objektbildungen. Sie las- sen sich nur mit großem Aufwand in Vektor-Formate konvertieren.

- VEKTOR-Formate

Hier ist die Linie das Basiselement der grafischen Informationen (wie bei einer Zeichnung). Vektor-Formate bieten sich an für Objektstrukturen, haben dagegen ih- re Schwierigkeiten bei Überlagerungen, Flächenfüllungen und Verschneidungen. Sie lassen sich leicht in Raster-Formate konvertieren.

- HYBRIID-Formate

Hier werden Raster- und Vektor-Formate miteinander vermischt. Sie bieten den Vor- teil der optimalen Verfügbarkeit, von Objektverwaltung und Flächenmamagement, können aber zu Problemen bei der grafischen Ausgabe führen, wenn kein geeigne- tes Ausgabegerät zur Verfügung steht.

Strukturierte Daten

In zahlreichen Geschäftsvorgängen und Verwaltungsabläufen werden strukturierte Daten aus- getauscht, z. B. bei Bestellvorgängen, Zahlungsabwicklungen, Datenaustausch mit Behörden etwa in den Bereichen Statistik und Zoll.

Soweit Normen für den Austausch strukturierter Daten vorliegen, sind diese zu benutzen.

Ein wichtiger Anwendungsbereich ist der Elektronische Datenaustausch(EDI = Electronic Data Interchange).

Zahlreiche Verfahren beruhen auf auszufüllenden Formularen, die zwischen den Beteilig- ten ausgetauscht werden. Die Unterstützung dieser Verfahren durch IT. mittels genormter Nachrichtenformate wird im EDI-Normenkreis geregelt. Typische Einsatzgebiete von EDI sind der Austausch von Handels-, Geschäfts-, Finanz-, Verwaltungs-, Produktions- und medizinischen Informationen.

EDI legt. Syntaxregeln zur Definition strukturierter elektronischer Dokumente (elektroni- sche Formulare) als sogenannte EDI-Nachrichten und die Semantik der strukturierten Da- ten, d.. die EDI-Nachrichten selbst, fest:

- DIN EN 29735 legt für Verwaltung, Handel und Transport (EDIFACT Elecronic Data In- terchange for Administration, Commerce and Transport) Syntaxregeln auf Anwen- dungsebene fest.

- Segmente, Datenelementgruppen und Datenelemente sind im UN-Verzeichnis für Han- delsdatenaustausch ID= United Nations Trade Data Interchange Directory) Version D93.A definiert (DIN EN 1475).

Ein noch ausführlicheres Verzeichnis für Handelsdatenelemente ist UNTDED (United Na- tions Trade Data Elements Directory), das durch ISO 7 372 und , DIN 16559 genormt wurde.

Eine weiterführende Darstellung findet sich in den EPHOS-Modulen "Dokumentenforma- te" und "EDI".

3.4 Datenkomprimierung

Bei der Komprimierung von digitalen Bilddaten unterscheidet man zwischen zwei Verfahren. Für Standbilder gibt es das sogenannte JPEG-Kompressionsverfahren (Joint-Photographic Ex- pert Group). Bei Bewegtbildern wird die WEG-Normenreihe (Moving Picture Expert Group)angewandt.

JPEG

Die JPEG-Norm beschreibt eine Reihe von Algorithmen zur Kompression digitalisierter Standbilder in Echtfarbqualität.

MPEG

Die MPEG-Norm definiert den Standard- dafür, wie Video- und Audiodaten komprimiert auf Compact-Disc abgelegt werden. Mittlerweile ist das Verfahren, das auch MPEG-1 ge- nannt wird, weltweit anerkannter Standard für die Bewegtbild-Kompression. Da MPEG-1 ursprünglich für Compact-Discs entwickelt wurde, sind auch die Datenübertragungsraten auf dieses Medium abgestimmt. Mit MPEG-2 gibt es nun weiterführende Empfehlungen, die auch die Kompression bei weitaus höheren Übertragungsgeschwindigkeiten regeln. Typische Anwendungsfälle werden hier zukünftig im TV-Bereich zu finden sein. MPEG-2 befindet sich momentan noch in der Normungsphase, trotzdem setzen zahlreiche Anwen- dungen bereits auf dem Standard auf Für noch Anforderungen gibt es bereits Ausarbei- tungen zu MPEG-3 und MPEG-4 - Empfehlungen.

Für die Komprimierung anderer Daten Bilddaten kann keine Empfehlung ausgesprochen wer- den, da für die marktgängigen Verfahren keine Qualitätsaussagen vorliegen.

3.5 Verschlüsselung

(Verfahren zum Schutz von Vertraulichkeit und Integrität)

Wahrung der Vertraulichkeit

Der Schutz der Vertraulichkeit von Daten, die mittels Datenträgeraustausch oder elektronischer Datenübertragung übermittelt werden, kann durch den Einsatz von Verschlüsselungsverfahren gewährleistet werden. Die Verschlüsselung will sicherstellen, daß die verschlüsselten Daten nur dem Absender und dem ordnungsgemäßen Empfänger bekannt werden, indem nur diese die zur Ver- und Entschlüsselung notwendigen Informationen (insbesondere die kryptographischen Schlüssel) besitzen. Die Verschlüsselung selbst transformiert die Daten als einzelne Bits, Zei- chen oder Blöcke abhängig vom benutzten Schlüssel und Verschlüsselungsverfahren in eine andere Form.

Die Verschlüsselungsverfahren lassen sich grob durch drei Eigenschaften charakterisieren:

- Typ des Verfahrens (symmetrisch, asymmetrisch oder hybrid)

Symmetrische Verfahren zeichnen sich dadurch aus, daß für die Verschlüsselung und Entschlüsselung derselbe Schlüssel verwendete wird. Daher müssen der Absender und der Empfänger diesen Schlüssel kennen. Typische Vertreter sind die Verfahren DES (Da- ta Encryption Standard), Triple-DES und IDEA (International Data Encryption Algorithm) [vgl. FIPS PUB 46 (Federal Information Processing Standard Publication), ISO 9979, ANSI X3.92, ISO 101 16]. Asymmetrische Verfahren benutzen zwei unterschiedliche Schlüssel, einen sogenannten öffentlichen Schlüssel , zur Verschlüsselung und einen sogenannten geheimen Schlüssel zum Entschlüsseln der Daten. Hier muß der Absender nur den öffentlichen Schlüssel und der Empfänger nur den geheimen Schlüssel kennen. Wichtig ist bei solchen Verfahren, daß aus der Kenntnis des öffentlichen Schlüssels nicht der geheime Schlüssel ermittelt werden kann. Ein typischer Vertreter ist der RSA-Algorithmus [ vgl. ANSI X 9.3 1-1 und ISO 11 166-2, ISO 9796]. Eine weitere Variante sind Hybridverfahren, die eine Kombination aus symmetrischen und asymmetrischen Verfahren darstellen. Hierbei werden die Daten mittels eines symmetri- schen Verfahrens verschlüsselt. Der dazu verwendete Schlüssel wird mittels eines a- symmetrischen Verfahrens verschlüsselt und der Nachricht beigefügt. Der Empfänger entschlüsselt mit seinem geheimen Schlüssel erst den Datenschlüssel, mit dem er im zweiten Schritt die Daten entschlüsselt. Diese Variante bietet Vorteile in der Schlüsselver- teilung.

- Kryptographische Stärke des Algorithmus

Die Sicherheit einer Verschlüsselung hängt neben der Geheimhaltung der verwendeten Schlüssel entscheidend von der Güte des Verschlüsselungsalgorithmus und des benutz- ten Schlüssels ab. Sie muß so hoch sein, daß aus den verschlüsselten Daten die ur- sprünglichen Daten nur mit Kenntnis des verwendeten Schlüssels bestimmt werden kön- nen.

Unter dieser Voraussetzung ist weiterhin zu beachten, daß die Länge des Schlüssels mindestens so groß ist, daß ein einfaches Durchprobieren aller möglicher Schlüssel nicht mehr durchführbar ist. beispielsweise unterstreichen aktuelle Diskussionen und Veröffent- lichungen, daß bei symmetrischen Verfahren die Schlüssellänge 80 Bit nach Möglichkeit nicht unterschritten werden sollte.

- Realisierung als Software, Firmware oder Hardware

Verschlüsselungsverfahren können sowohl in Software, Firmware als auch in Hardware realisiert werden. Softwarerealisierungen, werden in der Regel vom. Betriebssystem des jeweiligen IT-Systems gesteuert. Unter Firmwarelösungen werden im allgemeinen Hard- warekomponenten verstanden, die über einen eigenen Prozessor sowie über ein eigenes Betriebssystem verfügen, deren Programme aber (in diesem Falle der Kryptoalgorithmus) mittels Microcode implementiert weiden (Z. B. bei Field Programmable Gate Arrays). Bei Hardwarelösungen wird der auszuführende Algorithmus im allgemeinen durch das Chip- design direkt in der Hardware realisiert. Softwarelösungen bieten den Vorteil, leicht anpaßbar und kostengünstig zu sein. Hard- warelösungen bieten höhere Durchsatzraten und .-.einen höheren Manipulationsschutz. Firmwarelösungen kann man als Kompromiß der beiden vorangegangenen verstehen. Die Vor- und Nachteile der jeweiligen Realisierung beziehen sich jedoch immer nur auf lokale Aspekte (dazu gehört vor allem das Schlüsselmanagement). Sind die Daten einmal ver- schlüsselt und befinden sie sich auf dem Kommunikationsweg, ist im Prinzip das Zustan- dekommen der Verschlüsselung nicht mehr relevant.

Für weitere Informationen sei hier auf die Kryptoempfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verwiesen ("Empfehlungen für Entwicklung und Produktion von Kryptosystemen und deren Einsatz in der Bundesverwaltung außerhalb des staatlichen Ge- heimschutzes", Entwurf Vers. 2.3, 21. Mai 1996). Darüber hinaus befindet sich eine Veröffentli- chung ("Ende-zu-Ende Sicherheit für elektronische Post und elektronischen Dokumentenaus- tausch") unter Mitwirkung des BSI in der Vorbereitung, die die Möglichkeit der vertrauenswürdi- gen Kommunikation innerhalb der Bundesverwaltung zum Gegenstand hat.

Es sei darauf hingewiesen, daß der Einsatz der Verschlüsselung in einigen Staaten reglemen- tiert ist. Weiterhin gelten besondere Bestimmungen für die Datenübermittlung von Verschlußsa- chen. Beratung bezüglich des Einsatzes von Verschlüsselungsverfahren bietet das BSI.

Wahrung der Integrität

Haben Daten einen hohen Integritätsbedarf, so muß sicher gestellt werden, daß übertra- gene Daten unverfälscht beim Empfänger ankommen. Ein Integritätsverlust kann während der Übertragung durch physikalische Effekte oder durch absichtliche Manipulation entste- hen. Prinzipiell können zur Wahrung der Integrität zwei Wege beschritten werden:

- Ein Integritätsverlust wird beim Empfänger erkannt und durch eine Wiederholung der Datenübertragung eliminiert.

- Ein Integritätsverlust wird beim Empfänger erkannt und korrigiert, ohne daß die Da- tenübertragung wiederholt werden muß.

Für die Erkennung eines Integritätsverlustes werden üblicherweise drei Verfahren einge- setzt:

- Werden an die Nachricht redundante Informationen wie Paritätsbits oder ein Cyclic Redundancy Check Wert (CRC, ITU-T .706) angehängt, kann der Empfänger bei Erhalt der Daten diese Werte erneut berechnen und mit den erhaltenen verglei- chen. Tritt eine Differenz au liegt ein Integritätsverlust vor. Diese Methode ist effi- zient implementierbar, bietet aber keinen ausreichenden Schutz gegen absichtliche Manipulationen.

- Die Daten werden verschlüsselt in einer Form, daß das Verschlüsselungsergebnis von allen Datenbits abhängt. Dieses Ergebnis (Message Authentiation Code MAC, ISO 9797 und ISO 9798) wird den Daten hinzugefügt und beim Empfänger zum Vergleich berechnet. Tritt eine Differenz auf, liegt ein Integritätsverlust vor. leer be- steht ein Schutz vor absichtlichen Manipulationen, da der Angreifer nicht über den kryptographischen Schlüssel verfügt und daher den MAC nicht berechnen oder fäl- schen kann.

- Die Daten werden mittels eines Hash-Verfahrens auf einen charakteristischen Wert komprimiert und anschließend vom Absender mit einem asymmetrischen Verfahren signiert (Digitale Signatur). Der Empfänger kann die Signatur verifizieren und dabei feststellen, ob die Daten integer sind oder verändert wurden (vgl. ISO 9796, ISO 14888). Da bei diesen Verfahren nur der Absender über den Signaturschlüssel ver- fügt, wird zusätzlich die Authentizität des Dokumentes sichergestellt.

Für die Erkennung von Datenübertragungsfeldern und die anschließende Korrektur kön- nen spezielle Codes (sogenannte fehlerkorrigierende Codes) verwendet werden, die den Daten redundante Informationen. hinzufügen mit denen bis zu einer gewissen Grenze fehlerhafte Bits erkannt und korrigiert werden können.

Sichere Authentisierung

Bei Bedarf sollten für eine gegenseitige und vor allem sichere Authentisierung der am Da- tenaustausch beteiligten Rechner kryptographische Verfahren (vgl. ISO/IEC 9798-3) ein- gesetzt - werden. Eine solche starke" Authentisierung ist insbesondere dann sinnvoll, wenn die beteiligten Rechner oder die auf ihnen gespeicherten Daten oder Programme einen besonders hohen Schutzwert besitzen und daher gegen Angriffe Dritter über das übliche Maß hinaus geschätzt werden müssen.

4 Organisatorische Mindestanforderungen

4.1 Sicherheit und Organisation

Verschlüsselung bei Datenübermittlung

Für die Entscheidung, ob eine Verschlüsselung eingesetzt werden muß, sind verschiede- ne Einflußgrößen zu betrachten:

- der Schutzwert der Daten (gering bis mittel, hoch,- sehr hoch), der sich ausrichtet am Schaden, der entsteht, wenn die Daten unberechtigten Personen bekannt wer- den,

- die Vertrauenswürdigkeit des Übertragungswegs (gering, mittel, hoch), abhängig von

- der Anzahl der Personen, die während der Übertragung auf die Daten zugreifen können (Kurier → eine Person, lokales Netz → Anzahl lokaler Nutzer, Internet → unbestimmte Anzahl),

- der Zuverlässigkeit der Personen (überprüfte Personen, Behördenangehörige, Dritte),

- der Länge des Übertragungsweges und der Anzahl der zu durchlaufenden Ver- mittlungsknoten,

- dem Gelände, über das die Daten übertragen werden (behördeneigenes Gelän- de, öffentlich zugängliches Gelände),

- das Volumen der zu übertragenden Daten,

- die Häufigkeit der Datenübertragung jährlich, monatlich, täglich),

- die Regelmäßigkeit der Datenübertragung (sporadisch, unregelmäßig, regelmä- ßig),

- der anzunehmende Täter, charakterisiert durch, Qualifikation, Motivation, Innen- oder Außentäter.

Je höher der Schutzbedarf der Daten, je unzuverlässiger der Übertragungsweg, je häufiger und regelmäßiger die Datenübertragung und je qualifizierter und motivierter der potentielle Täter ist, um so eher ist eine Verschlüsselung angebracht.

Dabei sollte in jedem Fall ein starker kryptographischer Algorithmus eingesetzt werden. Es be- stehen jedoch Wahlmöglichkeiten für die Art der Schlüsselverteilung und die Realisierung in Software, Firmware oder Hardware. Bei der Entscheidung, ob Verschlüsselung einzusetzen ist, in welcher Form das Verfahren imp- lementiert werden soll und welches Schlüsselmanagement angebracht ist, kann das nachste- hend angegebene Verfahren hilfreich sein. Dieses dient jedoch nur zur Orientierung, für eine qualifizierte Beurteilung der jeweiligen Situation kann das BSI konkrete Hilfestellung liefern.

Sind Sender und Empfänger zu dem Schluß gekommen, daß die übermittelten Daten ver- schlüsselt werden müssen, so muß mindestens festgelegt werden: - welches Verschlüsselungsverfahren verwendet werden soll,

- welche Verschlüsselungsparameter anzuwenden sind,

- wie der Schlüsselaustausch und -wechsel stattfinden soll und

- welche expliziten kryptographischen Schlüssel eingesetzt werden sollen.

Orientierungshilfe für die Vorauswahl eines Verschlüsselungsverfahrens

Anhand der folgenden Tabelle können die , für die Einsatzentscheidung und die Auswahl von Verschlüsselungsverfahren notwendigen Einflußgrößen erfaßt wer den:

Erhebung von Einflußgrößen

Der Schutzbedarf der Daten ist

gering bis mittel hoch sehr hoch

Die Vertrauenswürdigkeit des Datenübertragungsweges ist

gering mittel hoch

Die Daten werden übertragen:

jährlich monatlich täglich

Die Daten werden übertragen:

unregelmäßig regelmäßig

Als Täter kommt in Frage:

Innentäter Außentäter

Der Täter ist

Zufallstäter motiviert

Das Datenvolumen je Datenübertragung ist

< 10 Megabyte > 1 0 Megabyte

Es werden zwischen n Kommunikationspartnern Daten ausgetauscht

n < 20 n > 20

(Die Ausprägung der Einflußgröße kann durch X gekennzeichnet werden)

Diese Einflußgrößen bestimmen maßgeblich, ob und in welcher Form Verschlüsselung zum Einsatz kommen. Die folgenden Vorhaben sollten dabei entsprechende Berücksichtigung fin- den. Sie sind nach dem Schutzbedarf der Daten gegliedert. Abweichungen sind zu begründen.

Daten mit Schutzbedarf gering bis mittel

1. Werden solche Daten täglich über einen wenig vertrauenswürdigen Weg übertragen, ist eine Verschlüsselung vorzusehen. Die einzige Ausnahme stellen Daten von geringem Schutzbedarf da, falls diese unregelmäßig übertragen werden und falls mit keinem motivier- ten Täter zu rechnen ist. In diesem Fall ist eine Verschlüsselung nicht obligatorisch sondern optional.

2. Werden Daten von geringem oder mittlerem Schutzbedarf täglich über einen Weg mittlerer oder hoher Vertrauenswürdigkeit übertragen, ist eine Verschlüsselung ggf. dann vorzuse- hen, wenn motivierte Täter eine Bedrohung sein können.

3. Bei regelmäßiger jährlicher oder monatlicher Übertragung über einen vertrauenswürdigen Weg ist eine Verschlüsselung ggf. dann vorzusehen, wenn motivierte Täter eine Bedrohung sein können.

4. In allen anderen Fällen kann von einer Verschlüsselung abgesehen werden.

Eine Verschlüsselung kann in aller Regel in Software erfolgen, da man bei mittlerem Schutzbe- darf nicht mit Manipulationen am Kryptosystem oder an der Betriebsumgebung rechnen muß.

Daten mit Schutzbedarf hoch

1. Solche Daten sind auf einem wenig vertrauenswürdigen Weg immer zu verschlüsseln.

2. Werden solche Daten mindestens einmal im Monat übertragen, sind sie auch auf Wegen mittlerer Vertrauenswürdigkeit zu verschlüsseln.

3. Werden solche Daten mindestens einmal täglich übertragen, sind sie auch auf Wegen ho- her Vertrauenswürdigkeit zu verschlüsseln.

4. Darüber hinaus kann eine Verschlüsselung in Erwägung gezogen werden, wenn die Daten monatlich über einen Weg hoher oder jährlich über einen Weg mittlerer Vertrauenswürdig- keit übertragen werden.

Eine Verschlüsselung sollte in Fimware oder Hardware erfolgen, wenn Manipulationen am Kryp- tosystem oder an der Betriebsumgebung nicht ausgeschlossen werden können, insbesondere wenn mit motivierten Innentätern zu rechnen ist.

Daten mit Schutzbedarf sehr hoch

Die Verschlüsselung ist obligatorisch und sollte in Firmware oder Hardware erfolgen.

Randbedingungen

Unabhängig vom, Vertraulichkeitsgrad der Daten und der Sicherheit des Übertragungsweges gibt es weitere Kriterien, die Einfluß auf die Auswahl der Verschlüsselungskomponenten und die Organisation des Schlüsselmanagements haben.

1. Ist das Datenvolumen je Übertragung größer als 10 Megabyte, kommen aus Performance- Granden für eine Online-Verschlüsselung nur Hardware- oder Firmware-Lösungen in Be- tracht.

2. Werden Daten zwischen mehr als 20 Kommunikationspartnern ausgetauscht, sollte ein a- symmetrisches Verschlüsselungsverfahren für das Schlüsselmanagement eingesetzt wer- den.

3. Ist mit motivierten Tätern, insbesondere mit motivierten Innentätern, zu rechnen, ist Firmwa- re- oder Hardwarelösungen gegenüber Softwarelösungen der Vorzug zu geben.

Einschränkungen

Die genannten Vorgaben dienen lediglich der Orientierung und können eine individuelle Beurtei- lung des konkreten Einzelfalles nicht ersetzen.

Es empfiehlt sich, für die Entscheidung, ob eine Verschlüsselung notwendig ist, bzw. bei der Auswahl eines Verschlüsselungsverfahrens, eines Produkts und eines Schlüssel- Managementkonzepts die Beratung eines kompetenten Dritten einzuholen. Für den Bereich der Bundesverwaltung bietet hierzu das Bundesamt für Sicherheit in der Informationstechnik Bera- tung an.

4.2 Datensicherung bei der Datenübermittlung

Das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (Schriftenreihe zur IT-Sicherheit, Band 3) enthält Maßnahmenempfehlungen für mittelschutzbe- dürftige IT-Systeme. Die Kapitel 7 "Datenübertragungseinrichtungen und 8 "Telekommunikation beschreiben dabei Maßnahmen, die für die Datenübermittlung von besonderer Bedeutung sind.

4.3 Datensicherung beim Datenträgeraustausch

Test der Datenträger zum Schutz vor Software mit Schadfunktion (z.B. Computerviren) Alle ein- und ausgehenden Datenträger müssen auf Software mit Schadfunktion (z.B. Compu- terviren) getestet werden. Das Verfahren sollte von einer festgelegten Stelle durchgeführt wer- den; das Ergebnis ist zu dokumentieren.

Kennzeichnung der Datenträger

Alle Datenträger sind eindeutig zu kennzeichnen. Ein Hinweis auf die Sensitivität der Daten ist nicht zulässig.

Transportschutz für beschriebene Datenträger

Bei Transport/Beförderung von Datenträgem dürfen Daten nicht unbefugt gelesen, kopiert, ver- ändert oder gelöscht werden können.

Verwendung neuer oder gelöschter Datenträger

Zum Beschreiben sind nur neue oder gelöschte Datenträger zu verwenden.

Versandpapiere

Für Magnetbänder sind Versandpapiere gemäß DIN 31 632 "Begleitformular für Magnetbänder zum Datenaustausch zu benutzen. Versandpapiere für andere Datenträger sind in Anlehnung an diese Form zu gestalten. Als Begleitschreiben für die Übermittlung von Datenträgem ist der Vordruck "Übermittlung von Datenträgern" einzusetzen. Die Muster-Vordrucke sind im Anhang enthalten.

Verpackung der Datenträger

Die Verpackung soll größtmöglichen Schutz gegen das Eindringen von Staub und Was- ser, gegen mechanische Beanspruchung (Stöße, Schwingungen, knicke), Temperatur- einwirkungen und magnetische Felder bieten.

Erstellung von Sicherheitskopien

Es sollen grundsätzlich keine Originaldatenträger, sondern Kopien versandt werden.

Innerbehördliche Transportkontrolle und Organisation

Der Empfang eingehender und die Absendung abgehender Datenträger sind in der Regel an zentraler Stelle zu dokumentieren. Ein- und ausgehende Datenträger sind hier auf das Vorhandensein von Begleitformularen sowie deren ordnungsgemäße Ausfüllung zu prü- fen. Die Weitergabe von Datenträgern sollte nur gegen eine handschriftlich abgezeichnete Übergabebestätigung erfolgen, damit der Weg des Datenträgers lückenlos nachvollzieh- bar ist.

Löschung der Datenträger nach Verarbeitung

Alle Datenträger sind gemäß DIN 33 858 zu löschen. Eine Löschung darf erst dann erfol- gen, wenn eine ordnungsgemäße Verarbeitung bestätigt wurde (Freigabe). Die auf den Datenträgern vorhandenen Informationen müssen grundsätzlich vor der Rücksendung des Datenträgers gelöscht werden.

Rücksendung von Datenträgern im Fehlerfall

Von der Löschung der auf den Datenträgem vorhandenen Informationen vor der Rück- sendung des Datenträgers kann ausnahmsweise abgesehen werden, wenn die Rück- übermittlung der Daten unumgänglich ist (z.B. im Rahmen einer Klärung von Fehlern) o- der wenn der übermittelte Datenträger zurückgewiesen werden muß, weil er fehlerhaft übermittelt worden ist bzw. Begleitpapiere nicht ordnungsgemäß ausgefüllt sind.

Akklimatisierung der Datenträger vor Verwendung

Sind Datenträger außerhalb der zulässigen Betriebsklimabedingungen gelagert oder transportiert worden, so müssen sie grundsätzlich vor Gebrauch akklimatisiert, d.h. dem Betriebsklima angepaßt werden.

Plausibilitäts- und Vollständigkeitsprüfung

Vor dem Versand von Datenträgern ist eine Plausibilitläts- und Vollständigkeitsprüfung durchzu- führen. Das Ergebnis ist zu dokumentieren. Diese Prüfungen sind auch auf der Empfängerseite durchzuführen.

Reproduzierbarkeit, Archivierung

Die Reproduzierbarkeit wird durch das Anfertigen von Sicherungsdatenträgern gewähr- leistet. Bei Archivierungen sind die für die jeweiligen Datenträger erforderlichen Lagerbe- dingungen zu beachten.

Dokumentation, der Dateiorganisation

Mit Hilfe der Vordrucke "Dateibeschreibung", "Sätzbeschreibung" und "Übermittlung von Datenträgern" wird die Dateiorganisation dokumentiert. Die Muster-Vordrucke sind im An- hang enthalten.

Weitere Empfehlungen für IT-Sicherheitsmaßnahmen werden im Abschnitt "Datenträgeraus- tausch" im IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik ausgesprochen.