Sichere C/S-Architektur für E-Government (Fortsetzung)

Grundschutz für ­Client-Server-Architekturen
Die Komplexität der Client-Server-Architektur erzeugt eine Vielzahl möglicher Bedrohungsszenarien für solche Anwendungen. Oft stehen bei der Risiko-Analyse vor allem die Gefährdung von Vertraulichkeit, Integrität und Authentizität der Daten beim Transfer zwischen Clients und Servern im Mittelpunkt. Entsprechende Sicherheitstechniken sind hierbei Datenverschlüsselung und elektronische Signatur. Nicht selten wird dabei aber der Aspekt einer fehlerhaft umgesetzten Client-Server-Architektur mit allen (womöglich fatalen) Folgen vernachlässigt. Aber gerade die beschriebene Vielschichtigkeit der Client-Server-Architektur innerhalb des digitalen Verwaltungshandelns macht sehr facettenreiche Abwehrmaßnahmen notwendig. Für die Risikominimierung sollten Behörden daher schon bei der Planung ihrer Client-Server-Architektur die folgenden Grundsätze beachten:
- Nur durch eine geschickte Zerlegung des Anwendungssystems in logische Teilkomponenten lassen sich die Komplexität der IT-Architektur vermindern und die Schutzmechanismen optimieren. Durch die Zerlegung in Teilkomponenten wird die innere Struktur der eingesetzten Komponenten auf Betrachtungsebene vernachlässigbar und dadurch die Architektur als Ganzes überschaubarer.
- Durch die Anordnung der Komponenten in verschiedenen Anwendungsschichten werden beispielsweise mehrstufige Prüfungen von Eingabedaten möglich. Darüber hinaus kann die Sicht auf nachgelagerte Systeme dem Anwendungsfall entsprechend eingeschränkt werden.
- Durch die strukturelle Trennung und Verteilung von Anwendungs-Funktionen und Anwendungs-Daten auf mehrere Server wird per se schon mehr Sicherheit erreicht, weil die exponierten Stellen reduziert werden. Darüber hinaus sollte beispielsweise der Web-Server eine eigene Sicherheitszone zugewiesen bekommen, da die Funktionen dieses Servers zwangsläufig nach außen offen sind, um den Benutzern den Dienst zur Verfügung stellen zu können. Ein (erfolgreicher) Angriff auf diese Komponente zerstört damit nicht die Integrität der nachfolgenden Systeme.
- Durch die Einrichtung einer durch verschiedene Firewalls abgesicherten Hochsicherheitszone lassen sich verschiedene Netzzonen sicherheitstechnisch voneinander trennen.
Die Erfahrung hat gezeigt, dass typische Angriffsszenarien durch rechtzeitige Schutzmaßnahmen im Implementierungsstadium verhältnismäßig einfach verhindert werden können. Im Folgenden werden wichtige Sicherheits-Grundsätze zum Schutz der Systeme am Beispiel einer fiktiven digitalen Dienstleistung erläutert, bei der eine Behörde ihren Kunden Informationen zum Sachstand eines laufenden (Antrags-)Verfahrens zur Verfügung stellt.