Montag, 25. August 2003

Audit: Kreis Schleswig-Flensburg

Prüfnummer 05/2003
Befristet bis 24.08.2006

Anschluss des internen Netzes an das Internet

 


I.    Gegenstand des Datenschutzaudits
II.   Feststellungen zu den sicherheitstechnischen Elementen des Datenschutz-Managementsystems
III.  Datenschutzrechtliche Bewertung
 

I. Gegenstand des Datenschutzaudits


Das Unabhängige Landeszentrum für Datenschutz (ULD) und der Kreis Schleswig-Flensburg haben am 14.10.2002 eine Vereinbarung getroffen, nach der ein Behördenaudit bezogen auf das Projekt "Anschluss des internen Netzes der Kreisverwaltung Schleswig-Flensburg an das Internet" durchgeführt werden soll.

Als Datenschutzziele wurden von der Leitungsebene des Kreises in der Datenschutzerklärung vom 6. August 2003

  • der ausreichende Schutz der automatisiert verarbeiteten Daten vor Angriffen aus dem Internet,
  • ein hinreichend sicherer Transport der über die Internetdienste "E-Mail" und "WWW" versendeten bzw. empfangenen Daten sowie
  • die Einhaltung der getroffenen Sicherheitsmaßnahmen

festgelegt.

Die Realisierung des Anschlusses des internen Netzes der Kreisverwaltung an das Internet umfasste daher folgende Teilaspekte:

a) Beachtung von Rechtsvorschriften, Richtlinien und sonstigen Arbeitsanweisungen zur Datensicherheit und zur Ordnungsmäßigkeit der Datenverarbeitung,

b) Festlegung der entsprechenden Zuständigkeiten und Verantwortungsabgrenzungen,

c) Ausgestaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit der IT-Systeme,

d) Festlegung der technischen und organisatorischen Maßnahmen bei der Nutzung der Internetdienste,

e) Definition der Maßnahmen zur Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme,

f) Gewährleistung der Vollständigkeit der Dokumentation der Programme und Verfahren.

 

 

II. Feststellungen zu den sicherheitstechnischen Elementen des Datenschutz-Managementsystems

2.1 Zuständigkeiten und Verantwortlichkeiten

Die Gesamtverantwortung für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung trägt der Landrat als Leiter der Daten verarbeitenden Stelle. Für die Einhaltung der jeweils anzuwendendenVorschriften zum Datenschutz und zur Datensicherheit in den Fachbereichen sind die Dezernenten und Fachdienstleiter zuständig und verantwortlich. 

Die Überwachung und Prüfung der in den Sicherheitskonzepten festgelegten Sicherheitsmaßnahmen obliegt der Datenschutzbeauftragten.

Die Schaffung der Voraussetzungen für den Einsatz und die Überwachung des laufenden Betriebs der IT-Systeme obliegt dem Fachdienst EDV. Die durchzuführenden Aufgaben der Mitarbeiter werden prinzipiell als Dienstleistungen für die Fachbereiche angesehen. 

2.2 Internetrisiken

Von der Projektgruppe wurden in Bezug auf die ausgewählten Internet-Dienste insbesondere folgendeRisiken für den Datenschutz und die Datensicherheit herausgearbeitet:

  • Netzspezifische Sicherheitsrisiken 
    Mit dem Anschluss an das Internet werden das interne Verwaltungsnetz und die daran angeschlossenen IT-Systeme von außen zugänglich.
  • WWW (Informationsabfrage) 
    ActiveX, JAVA und JavaScript als aktive Inhalte einer Web-Seite können zur Ausforschung von IT-Systemen und zum Installieren und Ausführen von Viren und ”Trojanischen Pferden” führen. 
    Bei einem Transfer (Download) von angebotenen Programmen auf die dienstlichen IT-Systeme besteht die Gefahr der Vireninfizierung und der Nutzung von dienstlich nicht gestatteten Anwendungen. 
  • E-Mail (Nachrichtenaustausch) 
    Dienstliche Nachrichten, die per E-Mail versandt werden, können mitgelesen, verändert oder verfälscht werden. Über E-Mails können vireninfizierte Programme oder Textdokumente auf dienstliche IT-Systeme gelangen.
  • Homepage (Selbstdarstellung) 
    Die auf der Homepage veröffentlichen Informationen können durch unzureichende Absicherung des ”Web-Servers” von ”Hackern” manipuliert werden.
2.3 Sicherheitsmaßnahmen

Auf der Grundlage eines ”Technischen Realisierungskonzeptes” und unter Berücksichtigung der Internetrisiken wurden Sicherheitsmaßnahmen für die Internetanbindung in einem gesondertenSicherheitskonzept festgelegt. Es wurde vom Landrat mit Wirkung vom 06.08.2003 in Kraft gesetzt.

Die festgelegten Sicherheitsmaßnahmen ergänzen die im Sicherheitskonzept für die automatisierte Datenverarbeitung festgelegten Maßnahmen.

Das Sicherheitskonzept gibt die im Rahmen des Behördenaudits definierten Datenschutzziele in detaillierter Form wieder. Von besonderer Bedeutung sind folgende Regelungen: 

  • Vor dem Echt-Einsatz und im Bedarfsfall werden die ergriffenen Sicherheitsmaßnahmen von einem qualifizierten externen Dienstleister auf ihre Wirksamkeit durch Penetrationstests überprüft.
  • Veränderungen der Sicherheitseinstellungen bedürfen nach Abstimmung mit dem behördlichen Datenschutzbeauftragten der Zustimmung des Dezernenten I.
  • Zum Schutz vor Angriffen von außen sind die Übergänge vom internen Verwaltungsnetz zum Internet durch eine Firewall zu schützen.
  • Die Verfügungsgewalt (Überwachung und Administration) über die eingesetzten Firewall-Komponenten liegt bei der Kreisverwaltung.
  • Unerlaubte Zugriffe auf der physikalischen Ebene werden protokolliert und abgewehrt. Bei Ereignissen von sicherheitsrelevanter Bedeutung werden gesonderte Warnmeldungen ausgegeben.
  • Eine Fernadministration der Firewall-Komponenten ist nicht gestattet.
  • E-Mails mit personenbezogenen Vorgangsdaten werden über einen zentralen Arbeitsplatzverschlüsselt versendet. Eingehende verschlüsselte E-Mails werden ebenfalls zentral bearbeitet.
  • Die Homepage verfügt über eine ”Formularfunktion”, die eine verschlüsselte Kommunikation mit der Kreisverwaltung zulässt.
  • Es werden nur die E-Mails an den Arbeitsplatz geleitet, die virenüberprüft sind und zugelasseneAttachments (z.B. TXT, RTF) enthalten.
  • Der Zugriff auf die Web-Seiten wird in Bezug auf die sicherheitskritischen Komponenten Aktive-X, Java und VBScript gefiltert.
  • Web-Seiten werden nach Text-Zensur-Skripten geprüft und ggf. für den Aufruf nicht zugelassen.
  • Das ”Herunterladen” ausführbarer Programme und Dateien ist auf den Arbeitsplätzen nicht zugelassen.
  • Vor der Darstellung personenbezogener Daten auf der Homepage ist die Einwilligung der Betroffenen einzuholen.
  • Alle Einstellungen auf den Internet-Komponenten werden nachvollziehbar dokumentiert.


2.4 Test des Internetanschlusses

Die Überprüfung des Internetanschlusses der Kreisverwaltung wurde von einer Firma durchgeführt. Die IT-Komponenten wurden seitdem nur geringfügig verändert. Die Produkte ”Mailmarshal” und ”Webmarshal” wurden in die Systemumgebung neu integriert, so dass nunmehr eine größere Flexibilität in Bezug auf die Nutzung der Internetdienste unter Einhaltung des festgelegten Sicherheitsniveaus gegeben ist.

Als Grundlage für die Durchführung der Tests diente ein vom Kreis festgelegter Anforderungskatalog. Aus dem ”Prüfbericht” ergeben sich folgende Sachverhalte:

Interner Test der Konfiguration:

  • Für die Analyse und den Test der Internetkomponenten wurden u.a. ”Security-Scanner” und”Netzwerk-Sniffer” eingesetzt.
  • Das interne Netzwerk ist über den Internetzugang des Providers von ”außen” nicht zugänglich.
  • Die in das Netzwerk integrierten IT-Systeme sind für jeden Mitarbeiter (z.B. über die”Netzwerkumgebung”) sichtbar.
  • Die Arbeitsplätze haben keinen direkten Zugriff auf die Internet-Dienste. Der Zugang erfolgt über zentrale Internetkomponenten.
  • Der Zugang auf das ”WWW” ist beschränkt. Nur gefilterte Web-Seiten können aufgerufen werden.
  • E-Mails werden zentral verarbeitet und auf unerlaubte Anhänge und Viren überprüft.
  • Auf den Arbeitsplatz-PC sind Systemfunktionen aktiv, die zur Manipulation und Umgehung von Sicherheitsmaßnahmen eingesetzt werden können.

Externer Test der Internetkomponenten:

  • Externe Kommunikationswege (Angriffspunkte) in das interne Netz der Kreisverwaltung führen ausschließlich über die Anbindung an den Einwahl-Server des Providers.
  • Ein ”Port-Scan” hat ergeben, dass die Firewall der Kreisverwaltung und der ”Mail-Server” des Providers keine Ansatzpunkte aufweisen, die ein ”Eindringen” in das interne Netz der Kreisverwaltung ermöglichen.

Die von der Firma festgestellten Mängel wurden zwischenzeitlich weitgehend beseitigt.

2.5 Freigabe

Der Anschluss des internen Netzes der Kreisverwaltung an das Internet wurde vom Landrat mit dem Inkraftsetzen des ”Sicherheitskonzeptes Verwaltung online- Teil I -Internet” am 06.08.2003 freigegeben. 

2.6 Administration und Überwachung der Internetaktivitäten

Für die dauerhafte Gewährleistung der Einhaltung des Sicherheitsniveaus sollen dieInternetaktivitäten in Bezug auf unerlaubte Aktionen überwacht werden. Es soll insbesondere sichergestellt werden, dass Angriffe auf das interne Netz der Kreisverwaltung erkannt und abgewehrtwerden können. Zu diesem Zweck erhält der zuständige Systembetreuer über das Intrusion Detection System IDS bei potentiellen Angriffen auf die Firewall aber auch schon bei versuchten Spionage-Attacken automatisch eine Warnmeldung per Mail. Die von ihm im einzelnen zu ergreifenden Maßnahmen ergeben sich sinngemäß aus Ziffer 10 der ”Dienstanweisung für die Anwender- und Systembetreuer im Rahmen der Technikunterstützten Informationsverarbeitung (TUI) beim Kreis Schleswig-Flensburg.” 

2.7 Datenschutz-Management im laufenden Betrieb

Zum Zeitpunkt der Begutachtung lag das Datenschutz-Management in der Zuständigkeit der von der Leitungsebene ausgewählten Personen der Organisations- und EDV-Abteilung der Kreisverwaltung (Projektgruppe).

Von ihnen wurden u.a. folgende Aufgaben erledigt: 

  • Umsetzung der Datenschutzziele und Dokumentation der Ergebnisse,
  • Schulung der Mitarbeiter in Bezug auf den Datenschutz und die Datensicherheit,
  • Überwachung der Einhaltung der im Datenschutzkonzept festgelegten Sicherheitsmaßnahmen,
  • Dokumentation des Verfahrens ”Internetanbindung” gemäß der DSVO (vgl. Tz. 2.8),

Mit Abschluss des Behördenaudits geht das Datenschutz-Management auf die behördliche Datenschutzbeauftragte über. In Zusammenarbeit mit dem Leiter des Fachdienstes EDV überwachtsie in regelmäßigen Abständen die Einhaltung der gesetzlichen Vorschriften. Änderungen am Verfahren werden ihr vom Leiter der EDV-Abteilung unverzüglich mitgeteilt, so dass sie ggf. rechtzeitig das Unabhängige Landeszentrum für Datenschutz wegen der Durchführung einer Nachzertifizierung informieren kann.

 

III. Datenschutzrechtliche Bewertung

Die automatisierte Verarbeitung personenbezogener Daten im Rahmen einer Internetkommunikationerfordert technische und organisatorische Maßnahmen, die die Datensicherheit bzw. die Ordnungsmäßigkeit der Datenverarbeitung gewährleisten. Des weiteren sind interne Regelungen zu treffen, die insbesondere personelle und organisatorische Aspekte mit einbeziehen. Es muss zudem gewährleistet sein, dass die datenschutzrechtlichen Anweisungen auch tatsächlich in konkreteDatensicherungsmaßnahmen umgesetzt werden und ihre Einhaltung durch das Datenschutz-Management kontrolliert wird. Dabei sind insbesondere folgende Rechtsvorschriften zu beachten: 

  • Landesdatenschutzgesetz (LDSG)
    • § 4 Datenvermeidung und Datensparsamkeit
    • § 5 Allgemeine Maßnahmen zur Datensicherheit
    • §6 Besondere Maßnahmen zur Datensicherheit bei Einsatz automatisierter Verfahren
    • § 7 Verfahrensverzeichnis, Meldung
    • § 9 Vorabkontrolle
  • Datenschutzverordnung (DSVO)
    • § 3 Verfahrensdokumentation
    • § 4 Verfahrenszweck
    • § 5 Verfahrensbeschreibung
    • § 6 Sicherheitskonzept
    • § 7 Test und Freigabe
    • § 8 Verfahrensübergreifende Dokumentation u. Protokolle

Es sind mithin folgende Grundbedingungen zu erfüllen: 

  • Es sind die Vorschriften über Berufs- und besonderen Amtsgeheimnisse unter Berücksichtigung der bereichsspezifischen Gesetze zu beachten (z.B. § 30 AO, § 35 SGB I, § 38 LMG, § 203 StGB).
  • Die Daten verarbeitende Stelle hat den Grundsatz der Datenvermeidung undDatensparsamkeit zu beachten (§ 4 Abs. 1 LDSG).
  • Unbefugten ist der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren (§ 5 Abs. 1 Nr. 1 LDSG).
  • Es ist zu verhindern, dass personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können (§ 5 Abs. 1 Nr. 2 LDSG).
  • Die sicherheitstechnischen Anforderungen an die automatisierte Datenverarbeitung sind in einemSicherheitskonzept festzulegen und umzusetzen (§ 5 Abs. 3 LDSG i.V.m. § 6 DSVO).
  • Die Verarbeitung personenbezogener Daten wird erst ermöglicht, nachdem systemseitig dieBerechtigung der Benutzer festgestellt worden ist (§ 6 Abs. 1 LDSG).
  • Die Befugnisse zur Systemadministration sind eindeutig festgelegt (§ 6 Abs. 2 LDSG i.V.m. § 8 Abs. 4 DSVO).
  • Die Arbeiten der Systemadministratoren werden protokolliert und kontrolliert (§ 6 Abs. 2 LDSG).
  • Die Hardware und die Software sind in einem Geräte- bzw. Softwareverzeichnis erfasst (§ 8 Abs. 1 u. 2 DSVO).
  • Es ist zu dokumentieren, welchen Personen welche Zugriffsbefugnisse auf Datenbeständegewährt wurden (§ 8 Abs. 3 DSVO).
  • Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen zu testen und durch die Leiterin oder den Leiter der Daten verarbeitenden Stelle oder eine befugte Personfreizugeben (§ 5 Abs. 2 LDSG i.V.m. § 7 DSVO).
  • Die automatisierten Verfahren sind so zu dokumentieren, dass sie für sachkundige Personen in angemessener Zeit nachvollziehbar sind und als Grundlage für die Überwachung der automatisierten Datenverarbeitung herangezogen werden können (§ 6 Abs. 5 i.V.m. § 3 DSVO).
  • Die ordnungsgemäße Anwendung der Datenverarbeitung ist zu überwachen (§ 6 Abs. 5 LDSG).

Das Audit hat aufgezeigt, dass die von der Kreisverwaltung getroffenen technischen und aufbau- und ablauforganisatorischen Maßnahmen diesen, durch das Datenschutzrecht definierten Grundbedingungen im besonderen Maße entsprechen. Hervorzuheben sind dieVerschlüsselungskomponente, das Intrusion Detection System, die Filterung von Web-Seitenund der Sicherheitscheck durch externe Spezialisten.

In sicherheitstechnischer Hinsicht sind nach Abschluss des Audits also keine Schwachstellenerkennbar, die die Rechte der betroffenen Bürger und der Mitarbeiter der Kreisverwaltung beeinträchtigen könnten.

Die modular aufgebauten Sicherheitskonzepte repräsentieren ein qualitativ hohes Niveau. Sie bilden die Grundlage für ein wirksames Datenschutzmanagement im laufenden Betrieb der automatisierten Verfahren. Die mit dieser Aufgabe betraute behördliche Datenschutzbeauftragte wird in die Lage versetzt, durch einen effektiven Soll-Ist-Vergleich auf Veränderungen in den tatsächlichen Abläufen zu reagieren und Fehlentwicklungen offen zu legen. Es ist zu erwarten, dass durch diese Rahmenbedingungen eine Steigerung der Effizienz und der Sicherheit der automatisierten Prozesse eintreten wird.

Die Verleihung des Datenschutz-Audits gemäß § 43 Abs. 2 LDSG SH ist damit gerechtfertigt.

Tags für diesen Artikel:
Artikel mit ähnlichen Themen: