© 4/1998 by Claus Schönleber
Abstract
The protection of persons from data abuse is the central function of commisioners for data protection. In order to fulfill this function, different control strategies must be applied. Are these past control strategies to be completed by new? Is, for example, the use of "tiger teams" a meaningful supplement of past methods? [13]
Inhalt
Der Schutz von Personen vor Datenmißbrauch ist die zentrale Aufgabe von Datenschutzbeauftragten. Um diese Aufgabe zu erfüllen, müssen verschiedene Kontrollstrategien angewendet werden. Sollen diese bisherigen Kontrollstrategien durch neue ergänzt werden? Ist zum Beispiel der Einsatz von "Tiger Teams" eine sinnvolle Ergänzung bisheriger Methoden?
Moderner Datenschutz
Datenschutz
Datensicherheit
Was
sind "Tiger Teams"?
Datenschutz: Strategien
Aufklärung
Schulung
Kontrollen
Sanktionen
CERT
"Tiger Teams"
Definition
Voraussetzungen
Auswahl
Arbeitsweise
Effektivität
Gefahren,
Probleme
Fazit
Literatur, Quellen
Datenschutz ist - nach vielen Diskussionen um Sinn oder Unsinn - heute ein integraler Bestandteil rechtsstaatlichen Bewußtseins. Aber wie alles andere unterliegt die datenschützerische Tätigkeit ebenfalls dem Wandel, und modernere Techniken oder neue Vorgehensweisen erfordern eine ständige Anpassung des Selbstverständnisses und der Arbeitsweise von Datenschützern.
In diesem Zusammenhang stellt sich die Frage, ob es sinnvoll ist, neue Methoden in die bisherige Arbeit der Datenschützer zu integrieren, und wenn ja, welche. Eine dieser neuen Methoden ist der Einsatz sogenannter "Tiger Teams", ein Ansatz, der schon seit längerem in verschiedenen Bereichen - und durchaus erfolgreich - in Anwendung ist. Der breiten Masse wurde dieses Prinzip spätestens durch den Kinofilm "Sneakers" (mit Robert Redford) bekannt gemacht.
Obwohl die meisten Aussagen für alle Arten von Datenschutzbeauftragten zutreffen, soll das Hauptaugenmerk hier - angesichts des Anlasses dieser Veranstaltung - auf dem öffentlichen Bereich liegen.
Die Definitionen von Datenschutz sind recht zahlreich, und manchmal abhängig vom Definierenden. So finden sich zum Beispiel folgende Erläuterungen des Begriffs Datenschutz:
Genau wie bei jedem Grundrecht ist auch das Recht auf informationelle Selbstbestimmung, das die Grundlage des Datenschutzes darstellt, abhängig davon, ob es tatsächlich wahrgenommen werden kann. Vielfältige Maßnahmen sind notwendig, um dieses Recht nicht nur festgeschrieben, sondern auch umgesetzt zu sehen. Neben einer gesetzlichen Verankerung gehören Aufklärung, Schulung, Kontrollmaßnahmen und gewisse Organisationsstrukturen zu einer wirksamen datenschützerischen Tätigkeit. Möglicherweise sind neue, dynamische Methoden erforderlich, um auch in Zukunft effektiv arbeiten zu können. Vor allem muß überlegt werden, ob Datenschutz bestimmte Voraussetzungen erfordert, um überhaupt realisiert werden zu können. In diesem Kontext findet man sehr schnell zum Begriff "Datensicherheit".
Auch dieser Begriff läßt sich in vielerlei Definitionen wiederfinden, die alle Erklärungstiefen und Aspekte abzudecken geeignet sind. Zum Beispiel findet man folgende Erklärungen:
Es liegt also im Interesse von Datenschützern, allen ihnen zugewiesenen Klienten Datensicherheit nicht nur nahezulegen, sondern die installierten Datensicherheitsmechanismen auch regelmäßig auf ihre Wirksamkeit zu überprüfen. Eine in der Industrie auf vielen Gebieten durchaus effektive Methode ist der Einsatz von speziellen Arbeitsgruppen, die einen Angriff auf die Datenbestände simulieren sollen, um eventuelle Schwachstellen aufzudecken. Solche Arbeitsgruppen werden "Tiger Teams" genannt.
Eine als in diesem Kontext als "Tiger Team" zu bezeichnende arbeitende Gruppe hat die Aufgabe, bestehende Sicherheitsmechanismen auf ihre Wirksamkeit zu überprüfen. Als Ansatz dient ein Angriff unter realen Bedingungen mit dem Ziel, durch ungewöhnliche Methoden trotz aller Schutzmaßnahmen an schützenswerte Datensätze oder Objekte zu gelangen. In der Regel bestehen "Tiger Teams" aus professionellen Experten, die - je nach Auftragsziel - mit oder ohne Insiderwissen angreifen und ihre Ergebnisse in einer abschließenden Konferenz dem Auftraggeber in allen Einzelheiten berichten und eventuell effektivere Schutzvorrichtungen empfehlen.
"Tiger Teams" werden nicht nur in der EDV, sondern im militärischen Bereich und in der Industrie eingesetzt. So zum Beispiel in den USA für Industrieanlagen des Energieministeriums [6] oder in wissenschaftlichen und militärischen Anlagen [7]. Beispielsweise zeigte ein erfolgreicher Einsatz eines "Tiger Teams" der amerikanischen Air-Force im Jahre 1995 die Abhängigkeit militärischer Systeme von modernen Informationssystemen, indem es durch Manipulationen in Computernetzen gelang, sieben Schiffe der amerikanischen Navy zu einem falschen Ziel zu schicken [11].
Datenschutzkontrolle findet sowohl firmenintern als auch öffentlich in Bund, Ländern und Gemeinden statt. Um der Aufgabe eines Datenschutzbeauftragten gerecht zu werden, müssen aber mehrere Strategien verfolgt werden: Zusätzlich zu den selbstverständlichen Kontrollmaßnahmen sind notwendige Schulungen durchzuführen, ist Aufklärungsarbeit notwendig und es muß ein ständiger Dialog mit den gesetzgebenden Organen stattfinden. [14]
Nicht jeder Bürger sieht die Notwendigkeit für Datenschutz auf den ersten Blick, und ähnlich geht es manchem datensammelnden Verantwortlichen. Trotz umfangreicher Medienmaßnahmen ist nicht allen Bürgern klar, wozu Datenschutz eigentlich gut ist. Erst aufwendige Aufklärungsarbeit erzeugt den so notwendigen "Aha!"-Effekt und ist dann Grundlage für bewußtes Umgehen mit den Daten anderer oder auch mit den eigenen Daten.
Diese Aufklärungsarbeit kann gezielt vor Ort stattfinden (in Firmen, in Kommunen) oder durch eine entsprechend gestaltete Öffentlichkeitsarbeit. Obwohl wenig spektakulär, ist die Aufklärungsarbeit eine der wichtigsten Aktivitäten eines Datenschützers, denn ohne die verbreitete Einsicht der Notwendigkeit ist kein effektives Arbeiten möglich.
Datenschutz ist keine triviale Angelegenheit. Er erfordert Kompetenz in nicht geringem Umfange, die man erwerben muß. Schulungen angehender Datenschutzbeauftragter - ob für Firmen oder für öffentliche Stellen - sind deswegen ein weiterer, dringend notwendiger Punkt. Nur kompetente Datenschützer sind in der Lage, ihrem Schutzauftrag in vollem Umfange nachzukommen. Andernfalls wäre ein solcher Posten nicht nur eine leere Hülle, sondern sogar schädlich, weil er eine Sicherheit suggerieren würde, die er nicht garantieren kann.
Obwohl man sich ein Utopia vorstellen kann, in dem die Menschen aus guter Einsicht heraus vernünftig handeln, zeigt die Praxis doch, daß Kontrollen nicht nur ein mögliches Mittel sind, sondern notwendiges Werkzeug zur Wahrung und Durchsetzung festgeschriebener Grundrechte. Dabei ist oft nicht so sehr Vorsatz das Problem, sondern vielmehr eine unterschiedliche Interpretation von Vorschriften oder einfach Unkenntnis von Sachverhalten. Wie spätestens hier zu sehen ist, greifen die verschiedenen Maßnahmen durchaus ineinander, denn solche Mißstände lassen sich beispielsweise durch Schulung und Aufklärung in der Regel schnell beseitigen.
Kontrollen können angekündigt stattfinden. Dies hat durchaus einen Sinn, denn es führt in jedem Falle dazu, daß die zu prüfende Stelle sich selbst Gedanken darüber macht, wo Kritikpunkte zu finden sein könnten. Mehr oder weniger regelmäßige Kontrollen, die alle vorhandenen Bereiche abdecken, sind nötig. Aus Gründen der verfügbaren Mittel sind vollständige Kontrollen aber nicht sehr häufig möglich. Deswegen sind Stichproben in kürzeren Zeitabständen notwendig. Sie sind auch unangekündigt durchführbar. Schleswig-Holstein hat darüber hinaus sogenannte "angekündigte unangekündigte Kontrollen" eingeführt. Der Name ist durchaus Programm. Es werden ungefähr 50 Behörden darüber informiert, daß in den nächsten sechs Monaten eine Überprüfung stattfinden kann. Von diesen Behörden werden zehn durch Los ermittelt und diese erhalten dann tatsächlich unangekündigten Besuch.
Kontrollen können auch auf Anzeigen oder Anfragen hin eingeleitet werden. Wenn Verdachtsmomente auf Verstöße hindeuten, kann eine individuelle Prüfmaßnahme stattfinden. Die betroffene Stelle erhält dann Gelegenheit, die kritisierten Punkte zu korrigieren.
Greifen all diese Maßnahmen nicht, müssen Sanktionen erwogen werden. Vor allem bewußte Verstöße gegen geltendes Recht erfordern eine konsequente und angemessene Ahndung, da andernfalls Wiederholungstaten provoziert werden könnten. Auch Kontrollen haben kaum eine nachhaltige Wirkung, wenn eine negative Stichprobe nicht zu angemessenen Konsequenzen führt. Da EDV und Nachrichtentechnik heute Grundlage vieler, wenn nicht aller Wirtschaftszweige darstellen, ist eine Kosten-/Nutzenanalyse für beide Seiten, Straftäter und Strafverfolger unerläßlich. Für die Täter lohnt sich ein Mißbrauch nur, wenn der zu erwartende Gewinn höher als eine eventuelle Strafe ist, für den Verfolger ergibt das die Konsequenz, daß eine Verfolgung nur dann Sinn hat, wenn sie in der letzten Konsequenz abschreckenden Charakter besitzt.
Problematisch an der Umsetzung aller Forderungen im Bereich des Datenschutzes und der Datensicherheit ist die riesige Menge an Wissen, die ein einzelner Verantwortlicher in einem Betrieb oder einer Behörde aufweisen müßte, um allen Kriterien zu entsprechen. Zur Entlastung und Unterstützung Verantwortlicher wurde inzwischen auch in Deutschland ein Konzept eingeführt, daß dieser Problematik Rechnung trägt: die sogenannten Computer Emergency Response Teams (zum Beispiel das CERT des DFN e.V.). Diese zentralen Stellen, die seit dem Jahre 1993 [8] tätig sind, dienen in erster Linie der Hilfestellung bei der Vorbeugung, Kanalisierung des Informationsflusses auf dem Gebiet der Datensicherheit und als zentrale Notrufstelle, wenn sich ein bedrohlicher Vorfall bereits ereignet hat. In Zusammenarbeit mit Betroffenen und der Industrie werden Verfahren entwickelt, um die Datensicherheit bestmöglich zu gewährleisten.
Solche Teams dürfen jedoch nicht mit den "Tiger Teams" verwechselt werden. Die Aufgabenstellungen sind grundverschieden. Während "Tiger Teams" Angriffe simulieren, reagieren CERTs in der Hauptsache auf bereits geschehene Vorfälle oder helfen, solche Angriffen durch bewährte Methoden bereits im Vorfeld abzuwehren, zum Beispiel durch sorgfältige Planung baulicher Maßnahmen und der Architektur der EDV-Anlage.
Um herauszufinden, ob "Tiger Teams" ein geeignetes Mittel sind, um die datenschützerische Arbeit wirkungsvoll zu ergänzen, sollen zunächst Arbeit und Wirkungsweise solcher Teams erläutert werden.
Ursprünglich aus dem US-Militärbereich, bedeutet der Begriff "Tiger Team" eine Truppe Spezialisten, die, um ihren Auftrag zu erledigen, gegnerische Schutzvorkehrungen zu durchbrechen hat. Im Bereich der EDV ist mit einem "Tiger Team" eine Gruppe gemeint, die beauftragt ist, vorhandene eigene Sicherungsmaßnahmen zu testen und zu versuchen, an den vorliegenden Datenbestand heranzukommen, indem ein realer Angreifer simuliert wird.
Meistens bestehen "Tiger Teams" aus bezahlten Spezialisten, also externen Kräften, die nach dem Angriff ihrem Auftraggeber alle Details zu berichten haben.
Um als "Tiger Team" überhaupt ein Mindestmaß an wahrscheinlichem Erfolg garantieren zu können, sind vielfältige Kenntnisse notwendig. Da bei einem solchen Angriff nicht selten zunächst bauliche Hürden und danach alle Arten von Alarm- und Sicherheitssystemen zu überwinden sind, müssen Teammitglieder auf vielen Gebieten Experten sein.
Ein Teil dieser Kompetenzen kann sicherlich nicht in Seminaren oder Kursen gelehrt werden. So ist in Fachkreisen die Erkenntnis nicht umstritten, daß diese Kenntnisse in früheren, tatsächlichen "Experimenten" gelernt werden müssen, die selbstverständlich meistens nicht unter der Maßgabe der Gesetzestreue durchgeführt worden sein können. Kurz: Um einen Angriff auf Datenbestände durchzuführen, müssen zum Beispiel Kenntnisse in den Bereichen Einbruch und "Hacking" vorhanden sein.
Zwar kann man einen großen Teil solcher Erfahrungen an eigenen Anlagen erwerben, aber es ist ja gerade der Aspekt der fremden Anlage, der als Voraussetzung eines "Tiger Team"-Angriffs dienen muß.
Als elementare Qualifikationen für Mitglieder eines eine DV-Anlage angreifenden "Tiger Teams" sind sicherlich folgende Kenntnisse (stets auf Expertenniveau) nötig:
Schon die bisherigen Betrachtungen lassen den Schluß zu, daß die Auswahl von "Tiger Teams" unter sorgfältiger Abwägung von Rahmenparametern zu erfolgen hat. Das Engagieren eines solchen Teams ist stets ein Vorgang, der unter großem Vertrauensvorschuß stattfindet, sowohl was die Kompetenz als auch was die persönliche Zuverlässigkeit der einzelnen Teammitglieder angeht.
Eine schematische Vorgehensweise zur Zusammenstellung oder Auswahl eines "Tiger Teams" kann es deswegen nicht geben. Es muß ein langwieriger, heuristischer Prozeß sein, an dessen Ende ein glaub- und vertrauenswürdiges Team steht, das die ihm gestellte Aufgabe nicht nur adäquat zu erfüllen in der Lage ist, sondern auch tatsächlich erfüllt.
Über die Arbeitsweise von "Tiger Teams" gibt es durchaus detaillierte Berichte und Checklisten. So kann man zum Beispiel in [9, 10] nachlesen, wie solche Angriffe geplant und durchgeführt werden oder auch Ergebnisse solcher Angriffe unter realen Bedingungen.
Die grobe Einteilung des Vorgehens erfolgt in drei zeitlichen Kategorien:
Die Planungsphase umfaßt die Analyse der zu erwartenden Fachgebiete und Anforderungen, sowie die Untersuchung des konkreten Ziels unter den für den Angreifer wahrscheinlichen Rahmenbedingungen. Desweiteren müssen alle erreichbaren Hintergrundinformationen gesammelt werden, unter anderem auch schon im Vorfeld abgefangene Kommunikationsinhalte wie Telefon, Fax oder e-mail, aus deren Inhalte sich das weitere Vorgehen konkretisieren läßt. Daraufhin wird das Team unter der Berücksichtigung der Kompetenzen und Erfordernisse zusammengestellt. Schließlich muß das zukünftige Team über Zusammensetzung und Zeitpunkt informiert und ein erstes Treffen organisiert werden.
Angriff
Der Angriff hat unter realen Bedingungen zu erfolgen. Das bedeutet, daß auf Seiten des Auftraggebers nur eine absolut notwendige minimal Anzahl von Personen überhaupt von einem bevorstehenden Angriff informiert wird. Der Angriff selbst darf dabei nicht auf Informationen beruhen, die, bedingt durch das besondere Vertrauensverhältnis von zwischen Auftraggeber und Auftragnehmer, ausgetauscht werden. Trotzdem muß das angreifende Team selbstverständlich den zu erwartenden Sachschaden versuchen gering zu halten und natürlich jeden Personenschaden bei sich selbst oder bei dem zu erwartenden Schutz- oder unbeteiligten Personen absolut vermeiden, falls Personenkontakt mit nicht informiertem Personal wahrscheinlich ist. Aus dem Test sollte kein Ernstfall werden. Vorbedingungen, denen ein reales Angriffsteam natürlich nicht unterliegen würde.
Eine zusätzliche Belastung ist das minuziöse Protokollieren jedes noch so geringen Vorganges, damit eine spätere Analyse in wirklichen Erkenntnissen resultiert. Sofern erforderlich, haben in sinnvollen Abständen Besprechungen über den bisherigen Ablauf zwischen den teilnehmenden Mitgliedern des Angriffsteams zu erfolgen, und deren Inhalte sind ebenfalls in Protokollen festzuhalten.
Schließlich kann der Angriff als abgeschlossen gelten, wenn alle geplanten Ziele erreicht sind und alle Teilnehmer dies bestätigt haben.
Nachbereitung
Die erhaltenen Resultate werden von allen Beteiligten überprüft und in Erneuerungen oder Änderungen der Schutzmechanismen oder Arbeitsabläufe umgesetzt. Falls erforderlich, kann ein wiederholter Angriff erkannte Schwachstellen erneut überprüfen, bis alle festgesetzten Ziele erreicht worden sind. Danach wird das Projekt geschlossen.
Auch wenn "Tiger Team"-Angriffe in der Vergangenheit durchaus Erfolge erzielt haben, indem sie Schwachstellen aufgedeckt haben, darf doch eine Tatsache nicht vergessen werden, zu der E. Dijkstra ein Zitat zugeschrieben wird:
Auch "Tiger Team"-Angriffe können als Test gesehen werden und unterliegen damit derselben Aussage: Sie können nur das Vorhandensein bestimmter Schwachstellen oder Fehler beweisen, nicht aber das Fehlen von Schwachstellen oder Fehler. Mit anderen Worten: Man kann damit nur schon bestehende Vermutungen bestätigen, nicht aber vollständige Sicherheit beweisen.
Desweiteren läßt sich schlußfolgern, daß ein "Tiger Team"-Angriff nur dann überhaupt irgend etwas beweisen kann, wenn das "Tiger Team" signifikant kompetenter und kreativer ist als ein denkbarer realer Angreifer. Ein minder kompetentes Team würde nur verfälschte Ergebnisse liefern und zu falschen Schlußfolgerungen verleiten.
Diese Methode kann also nur ein Bestandteil eines komplexen, umfassenden Sicherheitskonzeptes sein, das für die Situation eines Objektes maßgeschneidert werden muß.
Über die theoretischen Arbeitsweisen von "Tiger Teams" und auch über einige Erfolge gibt es verschiedene Quellen; auffällig ist aber, daß Berichte über Mißerfolge nicht so leicht zu erhalten sind. Zwar ist es nachvollziehbar, daß man vergebliches Bemühen als Auftraggeber nicht gerade gerne publik macht, nichtsdestotrotz sollten gerade im Sicherheitsbereich alle Aspekte einer Methode diskutiert werden, sonst ist die Erwähnung der Methode nicht nur wertlos, sondern sogar gefährlich. Ein Einsatz aufgrund unvollständigen Wissens über die Folgen suggeriert falsche Sicherheit.
In Gesprächen mit Praktikern ergeben sich vor allem zwei Aspekte, die einen "Tiger Team"-Angriff als Methode zumindest nicht kritiklos zulassen:
Ad 1: Ohne ausreichende Qualifikation ist ein "Tiger Team" nicht in der Lage, seine Aufgabe in befriedigendem Maße zu erledigen. Diese Qualifikation ist nicht nur durch eine reguläre Ausbildung zu erreichen. Sie muß eigeninitiativ in einem Rahmen erworben werden, der durchaus nicht immer als legal bezeichnet werden kann. Die Auswahl der Mitglieder eines "Tiger Teams" gestaltet sich deswegen als äußerst schwierig. Das auswählende Gremium, der Auftraggeber oder die einstellende Stelle kann entweder nur aufgrund eigener Erfahrung auf denselben Gebieten entscheiden oder aufgrund einer Kombination von extrem guter Menschenkenntnis und einer gehörigen Portion Vertrauens.
Ad 2: Hat ein "Tiger Team" seine Arbeit erledigt, so kommt ein extrem kritischer Zeitpunkt, in dem das Team sich entscheiden muß, ob es den vollen Umfang der beim Angriff erworbenen Erkenntnisse wirklich dem Auftraggeber mitteilen soll. Es mag sein, daß diese Erkenntnis nicht immer bewußt wird, der Entscheidungsvorgang muß jedoch stets durchlaufen werden, implizit oder explizit. Aus der Sicht des Auftraggebers ist genau dieser Aspekt jedoch in der Regel inakzeptabel und darüber hinaus sogar extrem gefährlich. Auch wenn es darüber kaum verläßliche Quellen gibt, scheint es sich hierbei trotzdem um eines der Hauptargumente gegen "Tiger Teams" zu handeln. Die Gefahr, daß Erkenntnisse nur unvollständig weitergegeben werden oder sogar überhaupt nicht und zu eigenem Vorteil verwendet oder meistbietend verkauft werden, ist tatsächlich sehr real. Die Auswahl von Teammitgliedern darf nur sehr sorgfältig geschehen; wichtig ist dabei die Untersuchung der persönlichen Motivation der Teammitglieder. Nur ein persönliches Interesse eines jeden einzelnen Teammitglieds am Aufspüren von Sicherheitslöchern und gleichzeitige Loyalität gegenüber dem Teamleiter und dem Auftraggeber können einen "Tiger Team"-Einsatz überhaupt erst in den Rang einer erwägenswerten Methode aufsteigen lassen. Die Lebenserfahrung zeigt jedoch, daß gerade diese Vorbedingungen höchst schwierig zu erfüllen sind. Beispielsweise beauftragen viele Firmen, die ihre Sicherheitseinrichtungen durch einen solchen Angriff testen lassen wollen, nur große Sicherheitsunternehmen, da man hier voraussetzt, daß sich ein großes Unternehmen kaum Fehlleistungen erlauben kann. Eine Vermutung, die zwar häufig zutreffen mag, aber eventuell doch nicht vollständig durchdacht ist.
Zwar keine Gefahr, aber ein prinzipielles Problem ist die notwendige gesetzliche Grundlage. Um den Einsatz von "Tiger Teams" im Auftrage von öffentlichen Datenschutzstellen überhaupt durchführen zu können, müssen gesetzliche Grundlagen geschaffen werden, die solche Einsätze in möglichst allen Einzelheiten regeln. Das ist schon deswegen schwierig, weil Methoden benutzt werden könnten, die gesetzeswidrig sind. Ähnliche Problematiken kennt man aus der Diskussion um V-Leute bei polizeilichen Einsätzen.
Ein weiteres Problem ist ein eventuell auftretender Gewöhnungseffekt. Zwar muß ein solcher Angriff unerwartet geschehen, aber um unnötige Schäden zu vermeiden, müssen einige Vorbereitungen getroffen werden. Diese verzerren eventuell das Endergebnis, da die Vorbedingungen durchaus von realen Bedingungen abweichen können. Finden kleinere oder größere Angriffe dieses Stils öfter statt, so kann sich schnell Routine einstellen, was bewirkt, daß nun Übungsangriffe vielleicht sogar erwartet werden. Ein echter Angriff würde dadurch leichtere Vorbedingungen vorfinden und sogar eher provoziert werden als ohne solche Übungen [12].
Um mit der ständig fortschreitenden technischen Entwicklung Schritt halten zu können, müssen Kontrollorgane zweifellos ständig neue Techniken entwickeln, die es erlauben, ihre Arbeit weiterhin effektiv durchführen zu können. Alte Kontrolltechniken basieren in der Hauptsache auf hierarchischen Strukturen. Die Topologie von Hierarchien - ob es sich um Transportwege oder administrative Strukturen handelt - erlaubt einfache Installation von wenigen Kontrollpunkten, die zu kontrollierende Entität kommt sozusagen fast von alleine zum kontrollierenden Organ. Im Zeitalter der wachsenden Netze funktionieren solche Strategien aber nicht mehr. Die den Netzen inhärente Eigenschaft, Störungen jedweder Art zu umgehen (deswegen werden sie ja in der Regel installiert), unterscheiden eben nicht zwischen einer technischen Störung und Kontrollinstanzen (die für das Netz eben auch nur Störungen darstellen, die man zu umgehen hat). Dynamische Strukturen verlangen aber dynamische Kontrollmethoden (wenn man Kontrollen für notwendig hält), und die müssen größtenteils erst noch entwickelt werden.
Der Einsatz von "Tiger Teams" kann durchaus als eine moderne, dynamische Methode angesehen werden. Wenn die notwendigen Rahmenbedingungen erfüllt sind, dann kann es sich dabei um eine sehr effektive Methode handeln, die bestehenden Kontrollstrategien wirksam zu ergänzen.
Sollen "Tiger Teams" im Auftrag von Datenschützern tätig werden, so muß ein solches Vorgehen äußerst sorgfältig abgewogen, geplant und durchgeführt werden. Mitarbeiter von öffentlichen Datenschutzstellen sind unabhängiger, dadurch vielleicht besser motiviert und zuverlässiger als firmeninterne Datenschützer; aber womöglich mangelnde Kompetenz, mangelhafte Planung und schlechte Durchführung würden hier nicht nur unzuverlässige Ergebnisse ergeben, sondern darüber hinaus auch den gesetzlichen Schutzauftrag korrumpieren, denn falsche Ergebnisse könnten bei den Geprüften den Eindruck erwecken, daß man den Datenschutz nicht sehr ernst zu nehmen braucht, weil die datenschützerisch tätigen Organe gar nicht in der Lage sind, ihre Aufgaben zu erfüllen. Der Bürger dagegen würde in einem trügerischen Gefühl der Sicherheit seine Aufmerksamkeit dem Problem gegenüber vermindern.
Um Einsätze von "Tiger Teams" im Auftrage von Datenschützern als sinnvolles, effektives und erfolgreiches Mittel erscheinen zu lassen, sind umfangreiche, und damit kostspielige Vorbereitungen nötig. Bei der für jede Planung nötigen Kosten-/Nutzenanalyse könnte sich das Verfahren als zu teuer erweisen. Die Kosten und der potentielle Schaden, der durch Fehler angerichtet werden könnte, sind möglicherweise höher als der Nutzen, der sich durch die Anwendung ergibt.
Für Datenschützer ergibt sich daraus als Erkenntnis, daß der Einsatz von "Tiger Teams" nur in sehr speziellen Fällen und auch nur sehr sorgsam durchgeführt in Erwägung gezogen werden sollte. Selbstverständlich müssen neue Strategien entwickelt, bisherige Strategien ausgebaut, die Qualitätssicherung der eigenen Arbeit durch ständige Fortbildungsmaßnahmen der Mitarbeiter gesichert werden. Zur Vervollständigung eines umfangreichen Paketes von unterschiedlichen Sicherheits- und Kontrollmaßnahmen kann dann durchaus der Einsatz von "Tiger Teams" gehören. Als Hauptmaßnahme oder als Standardverfahren erscheint diese Methode jedoch eher als ungeeignet.
Alle nachfolgenden Dokumente (außer [4]) waren über Suchmaschinen im World Wide Web zum Zeitpunkt der Erstellung dieses Aufsatzes recherchierbar. Erfahrungsgemäß sind Quellen dieses Niveaus über lange Zeiträume hinweg zuverlässig zugreifbar.
[1] http://www.imib.rwth-aachen.de/www/mitarb/fxg/Definitionen/Informatik/DatSchutz.html
[2] http://www.imib.rwth-aachen.de/www/mitarb/fxg/Definitionen/Informatik/DatSicher.html
[3] http://www.ifs.univie.ac.at/~c9125622/thema9.html#DS
[4] ISO the International Organisation for Standardisation (Hrsg.): ISO 11442-1 Tecnical Product Documentation -Handling of computer.based technical information - Part 1: Security requirements; Genf 1993
[5] http://www.uni-koeln.de/themen/cmc/text/koban.93.txt
[6] THE SAFETY CONNECTION - OCCUPATIONAL SAFETY AND HEALTH AT THE DOE IDAHO OPERATIONS OFFICE; Assistant Secretary for Environment, Safety and Health, U.S. Department of Energy, Washington, DC 20585; http://www.tis.eh.doe.gov/docs/shc/sc93sum.00.all.txt
[7] OFFICE of the UNDER SECRETARY of DEFENSE for SCIENCE & TECHNOLOGY: DATA ADMINISTRATION STRATEGIC PLAN For Fiscal Years 1996 - 2003; http://www.dtic.mil/st/mss/stplan.html
[8] DFN CERT, http://www.cert.dfn.de/dfncert/info.html
[9] Office of Oversight Environment, Safety and Health, U.S. Department of Energy: Integrated Safety Management Evaluation of the Brookhaven National Laboratory, April 1997; http://www.dtic.mil/st/mss/stplan.html
[10] Sheryl L. Chappell: MANAGING SITUATION AWARENESS ON THE FLIGHT DECK OR THE NEXT BEST THING TO A CRYSTAL BALL, NASA Aviation Safety Reporting System; http://www.caar.db.erau.edu/crm/resources/paper/chappell.html
[11] Prof. Dr. Ulrich Sieber: Mißbrauch der Informationstechnik und Informationsstrafrecht - Entwicklungstendenzen in der internationalen Informations- und Risikogesellschaft; http://www.jura.uni-wuerzburg.de/lst/sieber/mitis/com_tu31.htm
[12] Schönleber: Argumente zur Kryptodebatte, http://www.schoenleber.org/crypto/cryptodebatte.html
[13] Die Übersetzung besorgte freundlicherweise http://babelfish.altavista.digital.com/
[14] Der Datenschutzbeauftragte
in Schleswig Holstein, 19. Tätigkeitsbericht vom 12. März 1997;
http://www.rewi.hu-berlin.de/Datenschutz/DSB/SH/material/tb/tb19/index.htm