Sicherheits-Diät für Bibliotheks-Benutzer
Sicherheits-Diät für Bibliotheks-Benutzer. Für die Benutzer der öffentlichen Bibliotheken der südenglischen Grafschaft Hampshire ist am PC und im Internet alles verboten, was nicht ausdrücklich erlaubt ist. Nur auf diese Art lassen sich derartige Kiosk-Systeme überhaupt sicher betreiben.
Sicherheits-Diät für Bibliotheks-Benutzer
Öffentliche Bibliotheken sind traditionelle Anstalten zur Weitergabe von Bildung und Wissen. Um diese Aufgabe auch in der »digitalen Gesellschaft « wahrnehmen zu können, müssen öffentliche Bibliotheken auch Vorreiter sein beim Angebot von IT-Diensten. Das Bibliothekswesen in der südenglischen Grafschaft (Landkreis) Hampshire ist hier vorbildlich. Sämtliche Bibliotheken verfügen beispielsweise über einen kostenfreien Internetzugang, der allen Bürgern offen steht. Diese Offenheit zieht aber natürlich erhebliche Probleme im Bereich der IT-Sicherheit nach sich, die es zu lösen gilt. Sonst wird aus der Offenheit schnell ein Einfallstor für alle Arten von IT-Gaunereien. Verständnis-Schwierigkeiten
In der Grafschaft Hampshire liegt das Management in den Händen des »Hampshire Library and Information Service«, der dem Hampshire County Council, also dem Kreisrat, untersteht. In jeder der 54 Bibliotheken wurde eine 2-MB-Leitung eingerichtet, die auch Nutzungsspitzenzeiten abdecken kann. Je nach Größe der Bibliothek variiert die Anzahl der PCs vor Ort von einem einzigen Rechner bis zu 20 und mehr. Alles in allem stehen 300 Computer in den Bibliotheken des Hampshire County zur Verfügung. Sie laufen auf Windows XP und sind an zwei zentrale Server angebunden.
In Sachen IT-Sicherheit gab es lange Zeit nur uneinheitliche Methoden zum Schutz der Rechner. Deshalb war klar, dass aufgrund des permanenten Publikumsverkehrs in den Bibliotheken eine wasserdichte Sicherheitslösung erforderlich ist. Bei der bis dato bestehenden Installation bestand die andauernde Gefahr eines missbräuchlichen Datenzugriffs. Matthew Waite, IT Consultant bei der Kommunalbehörde, gibt einen Einblick in die Problematik: »Trotz aller Vorsichtsmaßnahmen fanden die Nutzer alle möglichen Wege, um die gegebenen Sicherheitsregeln zu umgehen. So wurden die Einstellungen am PC ständig verändert und sogar eigene Software an dem PC herunter geladen. Wir hatten auch verschiedene Vorfälle, wo die Spracheinstellungen ausgetauscht wurden und nachfolgende Nutzer komplett verwirrt waren«. Dies bedeutete deutlich mehr Arbeit für den Helpdesk in der Grafschafts-Hauptstadt Winchester und viele Reparaturen vor Ort, um die PCs wieder in den ursprünglichen Zustand zu bringen.
Sicherheit durch Positiv-Liste
Mit herkömmlichen IT-Schutzmaßnahmen, die primär darauf ausgerichtet sind, Angriffe abzuwehren, lässt sich in einem Umfeld, das durch ständig wechselnde und weitgehend anonyme Nutzer gekennzeichnet ist, die darüber hinaus völlig verschiedene EDV-Kenntnisse haben, wenig ausrichten. Den IT-Verantwortlichen bei den Hampshire Libraries schien deshalb ein System, das auf einer Positiv- Liste aufbaut (»alles, was nicht ausdrücklich erlaubt ist, das ist verboten«) und nur bekannte Anwendungen als ausführbare Dateien zulässt der bessere Weg. Mit der Einführung von Sanctuary Application Control des Luxemburger Anbieters SecureWave werden die Arbeitsplätze in allen Bibliotheken in der Grafschaft jetzt vor jeglichen unerwünschten Anwendun- gen geschützt. Dabei kann es sich um Schadsoftware (Viren, Trojaner, Spyware etc.) oder auch einfach um nicht autorisierte Software handeln. Die Administratoren des Hampshire Library and Information Service identifizieren zunächst die erwünschte Software und nur diese Anwendungen werden dann den PCs zugeordnet. Falls also ein Nutzer eine neue Software herunterladen möchte, liegt per se keine Genehmigung vor und der Zugang ist gesperrt. Bei der Neuinstallation oder der Aktualisierung von Software gibt der IT-Support die Änderungen nur noch auf einem Rechner ein. Anschließend wird das Datenbild gescannt und mit dem vorangegangen verglichen. Aus den Unterschieden werden dann die entsprechenden Anwendungen für die zukünftige Arbeit freigegeben.
Jede Sicherheits-Software auf der Basis von Positiv-Listen, die eine vernünftige Qualität hat, wird nicht nur bestimmte Anwendungen sperren beziehungsweise freigeben, sondern dasselbe auch im Bereich der Gerätetreiber tun. Die automatische Geräteerkennung in Systemen wie Windows XP ist ja ein zweischneidiges Schwert. Einerseits bringt sie viele Bequemlichkeiten für den Benutzer, andererseits öffnet sie ? wenn keine Vorkehrungen getroffen werden ? die Schleusen für alle möglichen Gaunereien. Bei den Bibliotheken von Hampshire sorgt jedenfalls die Sicherheits- Software dafür, dass nur USB-Stifte, Kameras und iPods angeschlossene werden können, die im Unternehmen bekannt sind. Im Klartext heißt das natürlich, dass in der Regel die Eingänge gesperrt sind. Sperrungen und Freigaben müssen dabei nicht pauschal durchgeführt werden, sondern können für einzelne Mitarbeiter oder bestimmte Gruppen spezifiziert werden. Sicherheits-Verfahren auf der Basis von Positiv-Listen sind sicher für viele Benutzer gewöhnungsbedürftig, weil sie dem heutigen Trend zu immer mehr Bequemlichkeit (siehe die Bemerkungen zur automatischen Geräteerkennung in Windows XP weiter oben) entgegen laufen. In vielen Kontexten sind sie aber vermutlich das einzige Verfahren, mit dem ein ausreichendes Sicherheitsniveau erzielt werden kann. Dass dafür Abstriche bei liebgewordenen (schlechten) Nutzer-Gewohnheiten gemacht werden müssen und am Anfang klagende Telefon-Anrufe der Nutzer zu erwarten sind, ist auch klar. Gerade in »kioskartigen Umgebungen« wie der in der Grafschaft Hampshire dürften solche Klage-( An-)rufe aber vernachlässigbar sein. Wie dem auch sei: Die unvergleichlich höhere Sicherheit von Positiv- Listen-Systemen wiegt die Komfort- Einschränkungen bei der Benutzung derart gesicherter Systeme auf jeden Fall auf.
