20. Tätigkeitsbericht (1998)


6.

Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung

6.1

30 Jahre EDV in der Verwaltung - und kein bißchen weise?

Seit langem bekannte gravierende sicherheitstechnische Problemstellungen sind von den Behörden auch im Verlaufe der letzten 10 Jahre nicht gelöst worden. Der Drang nach immer mehr Informationstechnik vergrößert die Risiken.

In einem Schreiben mit Datum vom 21.10.1968 teilte der damalige Ministerpräsident seinen Kabinettskollegen mit, daß die Datenzentrale Schleswig-Holstein nunmehr ihre Arbeit in vollem Umfang aufgenommen habe, um die Erledigung von Aufgaben der öffentlichen Verwaltung im Lande durch Computer zu ermöglichen. Die damaligen EDV-Entscheidungsträger dürften zwischenzeitlich aus dem aktiven Dienst ausgeschieden sein und ihre Erfahrungen an die nächste Generation der Datenverarbeiter weitergegeben haben, in vielen Verwaltungen haben bereits die "Enkel" die Verantwortung übernommen. Vor dem Hintergrund, daß das Datenschutzrecht zwanzig dieser dreißig Jahre "regelnd und steuernd" begleitet hat, sollte man annehmen, daß alle wesentlichen und grundsätzlichen sicherheitstechnischen Problemstellungen, die beim Einsatz von Computern zur Bewältigung der personenbezogenen Datenverarbeitung in der Verwaltung auftreten und einer allseits befriedigenden Lösung zugeführt worden sind. Dreißig Jahre Erfahrung mit den technischen Systemen und zwanzig Jahre Erfahrung mit den Datensicherheitsvorschriften sollten ausreichen, um Kinderkrankheiten zu überwinden und um im Tagesgeschäft der Praxis Datensicherheit und Ordnungsmäßigkeit der Datenverarbeitung auf einem hohen Niveau zu gewährleisten, auch wenn ständig technische Neuerungen einzubinden sind.

Das Ende einer Dekade gibt Anlaß zu einer vergleichenden Betrachtung und einem Resümee. So ist es vor zehn Jahren geschehen (vgl. 10. TB, Tz. 1) und das Fazit lautete 1987: Das Datenschutzrecht hat in zehn Jahren mehr bewirkt als zunächst zu erwarten war. Es sind aber nicht alle Probleme gelöst worden, die bei konsequenter Umsetzung der gesetzlichen Bestimmungen lösbar gewesen wären.

Weitere zehn Jahre später stellt sich erneut die Frage nach Defiziten inhaltlicher und methodischer Art. Deshalb soll die nachfolgende Darstellung der kritischen Anmerkungen aus den Tätigkeitsberichten der Jahre 1986 bis 1988 den Vergleich mit der heutigen Situation ermöglichen. Einige der damaligen Schlagzeilen lauteten:

  • Vorgesetzte stehlen sich aus der Verantwortung für die technischen Systeme
    (9. TB, Tz. 5.3)

  • Es mangelt an der Beherrschbarkeit und Revisionsfähigkeit der EDV-Systeme
    (9. TB, Tz. 5.3)

  • Mangelhafte Tests und unklare Verantwortlichkeiten bei Verfahrensfreigaben
    (10. TB, Tz. 7.2)

  • Ungelöste Rechtsprobleme bei der Abrechnung von Krankenhausleistungen in externen Rechenzentren
    (9. TB, Tz. 4.5.3)

  • Technische Systeme schaffen vollendete Tatsachen, die Datensicherheit wird erst später und dann meist unzulänglich aufgepfropft
    (9. TB, Tz. 5.3)

  • Der Funkverkehr der Polizei und der Rettungsdienste ist nicht abhörsicher
    (9. TB, Tz. 4.1.5.3)

  • Krankenhausinformationssysteme versus ärztliche Schweigepflicht
    (10. TB, Tz. 5.2)

  • Probleme bei der Nutzung privater PC für dienstliche Zwecke
    (11. TB, Tz. 5.6)

  • Sicherheitsmängel bei (unausgereiften) Pilotprojekten
    (11. TB, Tz. 7.1)

  • Computer-Viren und unkontrollierter PC-Einsatz gefährden die Datensicherheit
    (11. TB, Tz. 7.2)

Betrachtet man das Inhaltsverzeichnis des vorliegenden Tätigkeitsberichtes und das der Tätigkeitsberichte der letzten Jahre, wird man feststellen, daß die Verantwortlichen kaum eines der vorstehenden - immerhin zehn Jahre alten - Probleme zwischenzeitlich in den Griff bekommen haben. Dies muß als ein Alarmsignal betrachtet werden. Zu den bekannten Defiziten kommen nämlich offensichtlich immer neue hinzu. Zu nennen sind in diesem Zusammenhang:

  • Nutzung unsicherer Netze,

  • Einschaltung von immer mehr externen Dienstleistern,

  • fehlende technische Ausbildung von Systembetreuern,

  • Undurchschaubarkeit technischer Lösungen,

  • Allmacht der Anbieter von Standard-Software,

  • Infiltration von IT-Systemen durch unbefugte externe Benutzer,

  • Kontrolldefizite bei grenzüberschreitendem Datenverkehr und

  • Dokumentations- und Protokollierungsmängel bei komplexen IT-Systemen.

Wer nur den Ausstattungsgrad der Behörden mit PC an den Arbeitsplätzen als Maßstab sieht, der wird stolz auf die zurückliegenden zehn Jahre blicken können. Wer sich aber die Kriterien "Beherrschbarkeit", "Sicherheit" und "Revisionsfähigkeit" der Informationstechnik auf die Fahnen geschrieben hat, der wird auch nach dreißig Jahren EDV-Entwicklung und nach zwanzig Jahren Datensicherheitsrecht mit dem gleichen, wenn nicht gar mit größeren Sorgen als vor zehn Jahren die Tagesaktualität und die künftigen Entwicklungen betrachten. Dies ist aus der Sicht der von der Datenverarbeitung der öffentlichen Verwaltung betroffenen Bürger kein beruhigendes Fazit. Sie werden zu Recht die Frage nach der Verantwortung für diese Situation stellen.

Was ist zu tun?
Die Entscheidungsträger sollten einen neuen Kurs bei der Planung und Realisierung von Informationssystemen steuern: weg von der Masse - hin zur Klasse, aber auch: weg vom hektischen Aktionismus - hin zu soliden und dauerhaften Lösungen.

6.2

Automationskommission der kommunalen Landesverbände - gute Vorsätze drohen zu verwässern

Das Konzept für ein effektives Testverfahren für Kommunalsoftware ist seit einem Jahr fertig. Es schmort in der Schublade, weil man sich nicht über die Finanzierung einigen kann.

Das Thema "Test von Hard- und Softwareprodukten für den kommunalen Bereich" ist bereits in vielen Tätigkeitsberichten angesprochen worden (vgl. 13. TB, Tz. 6.3, 19. TB, Tz. 6.3). Es geht dabei seit Jahren um immer die gleiche Frage: Wie kann man erreichen, daß sich nicht jede kleine Amtsverwaltung erneut von der richtigen Funktionsweise der von der Datenzentrale oder anderen Anbietern erworbenen Programme oder Paketlösungen überzeugen muß? Allen Beteiligten ist klar, daß es viel effektiver wäre, wenn einige kompetente Kommunen diese Prüfungen vornehmen und hierüber Testate erstellen würden, auf die sich die anderen dann verlassen könnten.

Wie im letzten Tätigkeitsbericht dargestellt, hat die Automationskommission der kommunalen Landesverbände hierzu ein in sich schlüssiges, alle derzeitigen Defizite behebendes Konzept erarbeitet, an dem wir beratend mitgewirkt haben. Die Entscheidungsgremien der kommunalen Landesverbände haben dieses auch zustimmend zur Kenntnis genommen. In einem Punkt halten sie sich aber nun schon ein ganzes Jahr "bedeckt": Das Verfahren funktioniert nur dann, wenn eine zentrale Überwachung erfolgt. Die Anbieter von Hard- und Software brauchen eine Ansprechstelle; die ordnungsgemäße Durchführung der Tests muß kontrolliert werden, die Testate und Freigabeempfehlungen müssen dokumentiert werden, es muß überwacht werden, daß die Anbieter die Freigabeempfehlungen nicht unbefugt verwenden usw.

Dies alles ist der Automationskommission und den Kommunen seit langem klar, weil die erheblichen Arbeitsersparnisse bei den einzelnen datenverarbeitenden Stellen selbstverständlich an einer anderen Stelle einen (natürlich sehr viel geringeren) hohen Aufwand erzeugen. Kurz und gut: Die Automationskommission braucht einen hauptamtlichen Geschäftsführer und keiner will ihn bezahlen. Solange aber kein Geld zur Verfügung steht, bleibt auch das schöne Konzept in der Schublade liegen, und die Kommunen setzen weiterhin Software ein, die nicht ausreichend getestet worden ist. Die Bürgermeister und leitenden Verwaltungsbeamten ärgern sich darüber. Sie schimpfen und fragen nach dem Sinn und Zweck der Automationskommission. Der Datenschutzbeauftragte legt bei allen Beratungsgesprächen und Überprüfungen sowie in seinen Tätigkeitsberichten erneut den Finger in die Wunde, aber ... nichts Entscheidendes passiert.

Vielleicht sind die Anbieter die einzigen, die sich (natürlich hinter verschlossenen Türen) die Hände reiben. Sie verkaufen ihre Produkte, auch ohne daß sie einer strengen Kontrolle unterzogen worden sind. Praktisch alle Verträge enthalten Klauseln wie: "Das Programm gilt als abgenommen, wenn binnen 30 Tagen keine Mängelreklamation erfolgt ist." Welcher Leiter eines Meldeamtes mit zwei bis drei Mitarbeitern kann z. B. ein komplexes Einwohnerinformationssystem (vgl. Tz. 9) innerhalb dieser kurzen Frist auf Herz und Nieren prüfen? Wer den Nutzen hat und wer den Schaden, braucht nicht näher erläutert zu werden.

Dabei geht es nicht nur um datenschutzrechtlich und sicherheitstechnisch relevante Verfahrensmängel. Wenn nicht schnell gehandelt wird, stehen die kleinen Kommunen auch bei der Umstellung auf den Euro und bei dem Jahrtausendwechsel programmtechnisch "allein und im Regen".

Was ist zu tun?
Das, was bereits vor einem Jahr hätte getan werden sollen. Deshalb ist unsere Forderung aus dem 19. Tätigkeitsbericht zu wiederholen: Zum eigenen Nutzen, insbesondere aber zum Nutzen der betroffenen Bürger, sollten die Empfehlungen der Automationskommission kurzfristig in die Tat umgesetzt werden.

6.3

PERMIS - wie die Technik den Weg diktiert

Während überall zentralisierte EDV-Verfahren abgelöst und die Datenbestände vor Ort vorgehalten werden, schwimmt man ausgerechnet bei der Personaldatenverwaltung gegen den Strom. Aus "Kostengründen" können diese sensiblen Daten nicht in den Personalstellen gespeichert, sondern "müssen" in ein zentrales Rechenzentrum übertragen werden.

Traditionell geht man in der Verwaltung mit den Personalakten eigentlich sehr sorgfältig um. Es mögen zwar häufig viel zu viele Daten erhoben und gespeichert werden, aber kaum ein Datenbestand wird so gut abgeschottet wie die Personalakten. Es fehlt nicht an verschließbaren Stahlschränken; Aktenböcke und Schreibtische werden bei Dienstschluß abgeräumt; selbst der Aktentransport innerhalb der Behörde erfolgt in der Regel in versiegelten Aktendeckeln. Da hätte es des neuerdings in § 106 a Landesbeamtengesetz (LBG) gesetzlich geregelten besonderen Personaldatengeheimnisses (vgl. 19. TB, Tz. 4.11.3) eigentlich gar nicht bedurft, wenn denn nicht auch in diesem Bereich zwischenzeitlich die Informationstechnik ihren Einzug gehalten hätte.

In den nächsten Monaten soll nämlich in allen Ressorts ein automatisiertes Verfahren zur Verwaltung von Personaldaten mit dem Namen PERMIS eingesetzt werden, das auch eine Schnittstelle zu einem Personalcontrollingsystem enthält, welches wiederum eine bessere Finanzkontrolle über die Personalkosten ermöglichen soll.

Man hätte eigentlich erwarten können, daß dieses Verfahren dem gleichen Abschottungsprinzip gehorcht wie die papierene Personaldatenverarbeitung. Folgendes Szenario wäre naheliegend gewesen: Im Zimmer des Personalreferenten steht ein Abteilungsrechner speziell für Personaldaten, dessen Administration durch Techniker nur in seinem Beisein möglich ist. Dieses Gerät ist nur mit den Arbeitsplatzrechnern der Personalsachbearbeiter vernetzt; alle Personaldaten sind zentral gespeichert; wer nicht Mitarbeiter der Personalstelle ist, bekommt keinen Kontakt mit den Datenbeständen.

Bei dem Verfahren PERMIS hat man sich allerdings für Programme entschieden, die eine sehr aufwendige Datenbanksoftware voraussetzen, obwohl die meisten Behörden nur wenige hundert Datensätze zu verwalten haben. Da diese Software außerdem noch hohe Lizenzgebühren kostet, lief das Verfahren Gefahr, für viele Behörden unwirtschaftlich zu werden. Dies wurde allerdings erst bemerkt, als die Programme bereits fertig waren. Um die Investitionen zu retten und um den kurzfristigen Einsatz des Personalmanagementsystems nicht zu gefährden, warf man das Abschottungsprinzip kurzerhand über Bord und wählte die Lösung "PERMIS-Zentral". Zentral bedeutet nichts anderes, als daß jeder zu speichernde Personaldatensatz zunächst über das Campus-Netz (vgl. Tz. 6.7.6) in den Bereich des Innenministeriums und von dort im Rahmen des Schleswig-Holstein-Netzes (vgl. Tz. 6.7.7) in die Datenzentrale übertragen wird. In der DZ stehen wiederum Server, die die Personaldaten in separaten Datenbeständen speichern. Bei jeder Auswertung werden die betreffenden Datensätze auf dem gleichen Wege zurückübertragen. Das ganze rechnet sich nur deshalb, weil nicht jede Behörde einzeln, sondern die DZ nur einmal die Lizenzgebühren für die Datenbank-Software zu zahlen hat. Hätte man von vornherein eine billigere Datenbank-Konzeption gewählt, wäre wohl keine Personalstelle auf die Idee gekommen, z. B. für zweihundert Datensätze eine Datenbank im Großrechenzentrum in Altenholz anzulegen, anstatt sie auf dem zumeist ohnehin vorhandenen Rechner des Personalreferenten zu speichern.

Selbst wenn man unserer Forderung nach einer Verschlüsselung der Daten auf dem Transportweg folgt und die Aktivitäten der Systemadministrationen im Innenministerium und in der Datenzentrale sorgfältig überwacht, es bleibt nur die zweitbeste Lösung. Jedenfalls ist es ein Musterbeispiel dafür, daß nicht die Logik, sondern vermeintlich technische Zwänge (oder "nur" eine Fehlentscheidung bei der Softwareauswahl?) das Ergebnis bestimmt haben.

Was ist zu tun?
Es sollte noch einmal geprüft werden, ob die Lösung "PERMIS-Zentral" wirklich der Weisheit letzter Schluß ist. Zumindest sollte bei künftigen Projekten nicht dieselbe "Methode" angewendet werden.

6.4

Datenschutzrechtliche Einordnung von Telearbeit

Im Zeichen des immer breiteren Einsatzspektrums der Informationstechnik wird die "Heimarbeit" wieder interessant. Unternehmen und Verwaltungen planen Telearbeitsplätze und sehen sich mit vielfältigen sicherheitstechnischen Problemen konfrontiert.

Immer mehr Behörden prüfen derzeit, ob mit der Einrichtung von Telearbeitsplätzen nicht zwei Fliegen mit einer Klappe zu schlagen sind. Zum einen könnten gut ausgebildete und erfahrene Mitarbeiter davon abgehalten werden, aus dem Berufsleben auszuscheiden, wenn sie z. B. aus familiären Gründen nicht mehr in der Lage sind, täglich ihren Arbeitsplatz in der Behörde aufzusuchen. Zum anderen bräuchte man für Telearbeiter keinen Büroraum vorzuhalten, was Kosteneinsparungen verspricht. Obwohl es typische "Heimarbeiter" bereits seit langem auch in der Verwaltung gibt (z. B. Gerichtsvollzieher, Lehrer, Betriebsprüfer), besteht bei den Behörden offenbar eine große Verunsicherung darüber, wie man speziell technikgestützte Arbeitsplätze so ausgestalten kann, daß neben dienstlichen Aspekten auch die datenschutzrechtlichen und sicherheitstechnischen Anforderungen erfüllt werden.

Auf Einladung der Technologie-Transfer-Zentrale haben wir uns deshalb an sogenannten Workshops beteiligt, in denen sich Unternehmensberater, Hard- und Softwareanbieter sowie interessierte Wirtschaftsunternehmen und Verwaltungen zusammenfinden und die vielfältigen betriebswirtschaftlichen, arbeitsrechtlichen, mitbestimmungsrechtlichen und eben auch sicherheitstechnischen Fragestellungen diskutieren. Wir haben in diesen Gesprächen geraten, für die Telearbeitsplätze die Vorschriften über die Auftragsdatenverarbeitung analog anzuwenden.

Es macht nämlich keinen gravierenden Unterschied, ob es sich bei dem "externen Dienstleister" um einen selbständigen Unternehmer oder um einen Mitarbeiter handelt. Entscheidend ist, daß in beiden Fällen die datenverarbeitende Stelle die unmittelbare Verfügungsgewalt über die Daten verliert. Die Organisationshoheit eines Dienststellenleiters endet nun einmal an der Haustür seiner Behörde. In den häuslichen Bereich seines Mitarbeiters kann er nur auf der Basis einer ausdrücklichen vertraglichen Vereinbarung hineinwirken. Andererseits muß kein Bürger dulden, daß sein Recht auf eine hinreichend abgesicherte Verarbeitung seiner personenbezogenen Daten deshalb eingeschränkt wird, weil aus Kostengründen die Behörde nur noch "virtuell" besteht und die Daten tatsächlich "in den Wohnzimmern der Bediensteten herumschwirren".

Aus den gesetzlichen Regelungen zur Auftragsdatenverarbeitung lassen sich für Telearbeitsplätze zum Beispiel die folgenden grundsätzlichen Sicherheitsanforderungen ableiten:

  • Die Pflichten der betreffenden Mitarbeiter sind schriftlich in Verträgen und Dienstanweisungen zu definieren.

  • Die benutzten IT-Geräte sollten grundsätzlich im Eigentum der Verwaltung stehen und von ihr konfiguriert sein.

  • Verändernde Zugriffe auf die Betriebssystemebene und auf Programme sollten nur der zentralen Systemadministration möglich sein.

  • Sofern Datenbestände vor Ort vorgehalten werden müssen, sind sie zwangsweise zu verschlüsseln. Die Verschlüsselungsmethode und die Schlüssel sind von der Zentrale vorzugeben.

  • Nicht mehr erforderliche Daten sind automatisch zu löschen.

  • Die Benutzung der IT-Geräte ist nur demjenigen zu ermöglichen, der durch Paßworteingabe seine Legitimation nachweisen kann. Eingeschaltete Geräte sind automatisch zu sperren, wenn die Benutzer in einem bestimmten Zeitraum keine Aktivitäten entwickeln.

  • Der Datenaustausch mit der Zentrale sollte nur in verschlüsselter Form erfolgen. Das gilt insbesondere für den Datenträgeraustausch per Disketten.

  • Zur Verwahrung von Datenträgern, insbesondere papierener Unterlagen, sind verschließbare Behältnisse zur Verfügung zu stellen.

  • Der Arbeitgeber muß für sich selbst und für den Landesbeauftragten für den Datenschutz ein Kontrollrecht in der Wohnung des Mitarbeiters ausbedingen.

  • Entsprechende Kontrollen sollten für beide Seiten eine Selbstverständlichkeit sein.

  • Gravierende Verstöße gegen die Vereinbarungen sollten eine fristlose Beendigung des Arbeitsverhältnisses zur Folge haben.

Bei allen Sicherheitsüberlegungen darf aber nicht übersehen werden, daß in bestimmten Bereichen eine Heimarbeit aus Rechtsgründen von vornherein ausscheidet bzw. von der Einwilligung der Betroffenen abhängig ist. Das gilt z. B. für die Verarbeitung medizinischer Daten, die der ärztlichen Schweigepflicht unterliegen (vgl. 18. TB, Tz. 4.8.3), für Verschlußsachen und für sonstige vertrauliche Datenbestände.

Was ist zu tun?
Bereits bei der Planung von Telearbeitsplätzen sind Sicherheitskonzepte zu erstellen, die die tatsächlichen, örtlichen und personellen Gegebenheiten berücksichtigen.

6.5

Wenn externe Berater das Konzept für das IT-System machen

Wer einen externen Berater einschaltet, um sich ein IT-Konzept entwickeln zu lassen, kann nicht immer auf zufriedenstellende Ergebnisse vertrauen. In vielen Fällen resultieren die Verfahrensmängel nicht aus der schlechten Arbeit der Berater, sondern aus fehlenden Vorgaben und Abstimmungen.

Wenn es um die Planung von neuen IT-Systemen geht, stehen viele Verwaltungen mangels hinreichenden Fachwissens "auf verlorenem Posten". Einige versuchen, sich mit dem Mut zum Risiko durchzulavieren, die Vorsichtigeren engagieren externe Berater, die für entsprechende Honorare sogenannte IT-Konzepte erstellen. Verständlicherweise geht man in diesen Fällen aber allzuhäufig davon aus, daß etwas, was viel Geld kostet, auch gut sein muß. Wenn dann die Planungs- in die Realisierungsphase und diese dann schließlich in den Echtbetrieb übergeht, stellt man nicht selten fest, daß viele der dann auftretenden Probleme nicht oder nur unzulänglich in dem IT-Konzept behandelt worden sind. Besonders überrascht ist man, wenn wir im Rahmen von Prüfungen (vgl. Tz. 6.7) Sicherheitslücken entdecken, deren Vermeidung der externe Berater gerade gewährleisten sollte.

Das Bestehen derartiger Defizite deutet allerdings nicht in jedem Fall auf eine schlechte Arbeit der Berater hin. In vielen Fällen liegt die Ursache in ungenauen Vorgaben, in Mißverständnissen oder in einer völlig unkritischen Übernahme der Vorschläge. "Da beißt sich die Katze in den Schwanz" wurde einem unserer Prüfer von einem Behördenleiter vorgehalten: "Ich hole mir den Berater doch gerade deshalb ins Haus, weil bei uns keiner Ahnung von der Technik hat; wer von uns soll denn die Frage klären, ob der verstanden hat, was wir von ihm wollen und das Ergebnis seiner Arbeit überprüfen?"

Das Dilemma ist in der Tat nicht so einfach zu beheben, allerdings ist es auch nicht ganz neu. Auch bei der Planung und Realisierung von öffentlichen Gebäuden, von Klärwerken, Straßen usw. befinden sich gerade die kleineren Verwaltungsbehörden in der Situation, daß sie sich nicht auf die Vorschläge eines einzelnen Beraters verlassen können. Sofern ihnen nicht Normen und Standards bzw. Vergleichsobjekte zur Verfügung stehen, bedarf es bis zu einem gewissen Grade des eigenen Sachverstandes oder aber der Einschaltung einer Art von "Prüfstatiker".

Dies wird natürlich teuer. Deshalb schlagen wir den Behörden im Lande immer und immer wieder die gemeinsam von mehreren Organisationseinheiten getragene Entwicklung von IT-Musterlösungen vor. Einen ersten, allerdings dornenreichen Einstieg in diese Vorgehensweise hat das Innenministerium mit der Gestaltung der IKOTECH-Arbeitsplätze vollzogen. Trotz vieler Rückschläge in den vergangenen Jahren ist ein De-facto-Standard entwickelt worden, der die Risiken für die einzelne Behörde heute weitgehend behebt. Im kommunalen Bereich ist man noch lange nicht so weit. Es ist zu hoffen, daß sich die Automationskommission der kommunalen Landesverbände auch dieser Problematik kurzfristig annehmen wird (vgl. Tz. 6.2).

Was ist zu tun?
Blindes Vertrauen in die Vorschläge von externen Beratern bei der Planung von IT-Systemen sollte ersetzt werden durch einen kritischen Dialog und den Vergleich mit Musterlösungen.

6.6

Wird der Siegeszug der Informationstechnik zu einem Waterloo für die Revisionsfähigkeit der Verwaltungsabläufe?

Die neuen Informationssysteme führen dazu, daß sich das Verwaltungshandeln mehr und mehr "im Computer abspielt". Die papierenen Akten verlieren im gleichen Maße ihre Funktion als Grundlage für Kontrollmaßnahmen. Noch fehlen verbindliche Protokollierungsregelungen für IT-Systeme.

Das Datenschutzrecht hat auf die bisherigen Erscheinungsformen der personenbezogenen Datenverarbeitung mit zwei Grundforderungen reagiert:

  • Die Verarbeitungsprozesse müssen dem geltenden Recht entsprechen.

  • Sie müssen so gestaltet sein, daß eine unbefugte bzw. mißbräuchliche Nutzung der Daten mit einem hinreichenden Maß an Sicherheit ausgeschlossen werden kann.

Nur wenige gesetzliche Bestimmungen wie z. B. die Pflicht zur Protokollierung von Dateneingaben und -übermittlungen und die Pflicht zur Dokumentation automatisierter Verfahren bringen den Aspekt der Revisionsfähigkeit des Verwaltungshandelns ins Spiel. Das hat historische Gründe. Solange sich das Datenschutzrecht lediglich auf die Regelung der dateimäßigen Datenverarbeitung beschränkte, unterstellte es de facto eine Zweischichtigkeit der Datenbestände. Es gab die Originaldaten in den Akten und die "Arbeitsbestände" in Dateien. Wurde das Verwaltungshandeln einer aufsichtsbehördlichen oder richterlichen Kontrolle unterzogen, ließ man sich die Akte vorlegen; was darin dokumentiert war, galt als authentisch.

Hier tritt seit einigen Jahren mit zunehmender Geschwindigkeit ein gravierender Wandel ein. Die neuen Verfahren sind nicht nur bei weitem komplexer als alles, was bisher realisiert wurde, sie sind auch dadurch gekennzeichnet, daß immer mehr Teile des Verwaltungshandelns sich nur noch in den elektronischen Datenspeichern der Rechnersysteme nachvollziehen lassen. In diesem Zusammenhang sind insbesondere die neuen Verfahren der Justizverwaltung (MEGA, MESTA, automatisiertes Grundbuch), der Polizei (INPOL-Neu, COMPAS), der Katasterverwaltung (ALK, ALB), der Steuerverwaltung (FISKUS), der Kommunen (EIS, FIS) und der Umweltverwaltung (Umweltinformationssysteme) zu nennen. Auf den Punkt gebracht: Wer in diesen Bereichen künftig wissen will, was zu einem zurückliegenden Zeitpunkt über eine bestimmte Person wo bekannt war, wird diese Frage bestimmt nicht nach Aktenlage beantworten können.

Dies mag ein einfaches Beispiel verdeutlichen. Immer mehr Behörden gestatten ihren Mitarbeitern, innerhalb der Behörde, aber auch mit anderen Behörden per elektronischer Post (E-Mail) zu kommunizieren. Das bedeutet, daß Informationen in einem PC erzeugt und auf einen anderen PC übertragen werden. Sie können sowohl beim Absender wie auch beim Empfänger zu jedem beliebigen Zeitpunkt "rückstandsfrei" gelöscht werden, so daß die Tatsache der Datenübermittlung dann nicht mehr nachvollziehbar ist. Andererseits können die Daten aber auch in den PC endlos gespeichert bleiben, ohne daß aus der Akte hervorgeht, daß weitere Informationen zum betreffenden Vorgang vorliegen und wo sie sich befinden.

Überträgt man diesen Effekt auf die ins Haus stehenden großen Informationssysteme, läßt sich ermessen, welche Bedeutung die Forderung nach einer umfassenden Revisionsfähigkeit automatisierter Verfahren in Zukunft erlangen wird. Werden insoweit nicht stringente Protokollierungs- und Dokumentationsvorschriften erlassen, ist letztlich die Rechtswegegarantie des Art. 19 Abs. 4 Grundgesetz gefährdet. Denn diese setzt voraus, daß der Bürger überhaupt eine Chance hat, sich über die mögliche Verletzung seiner Rechte zu informieren.

In die Überlegungen zur Novellierung der Datenschutzgesetze wird man folgenden Gedanken mit einfließen lassen müssen: Eine Speicherung personenbezogener Daten ausschließlich in automatisierten Dateien ist nur zu akzeptieren, wenn alle Aktivitäten der technischen Systeme, die den Zugriff auf die betreffenden Daten realisieren, protokolliert werden und die Systeme selbst detailliert dokumentiert sind. Außerdem müssen die Möglichkeiten der digitalen Signatur genutzt werden, damit die Protokolldaten unverfälschbar sind und sicher zugeordnet werden können.

Dieses wird zwar zu sehr umfangreichen Protokollbeständen führen. Jedoch nur die Vollständigkeit der Protokollierung und die strikte Zweckbindung der Daten zu Revisionszwecken wird gewährleisten, daß elektronisches Verwaltungshandeln auch bezogen auf den Einzelfall wirklich transparent gemacht werden kann. Leider sind diese Überlegungen in die Konzeption der o. a. neuen Informationssysteme bisher nur unzulänglich eingeflossen.

Was ist zu tun?
Die zur Zeit in der Entwicklung befindlichen elektronischen Informationssysteme dürfen von den verantwortlichen Stellen nur dann zum Einsatz freigegeben werden, wenn ihre Revisionsfähigkeit durch umfassende Dokumentations- und Protokollierungsmaßnahmen gewährleistet wird.

6.7

Kontrollen im Bereich der automatisierten Datenverarbeitung

6.7.1

Zögerliche Behebung von Sicherheitsmängeln in einem Kreiskrankenhaus

Selbst die landesweite Publizität aufgrund der im letzten Jahr festgestellten gravierenden Mängel haben die Leitung und den Träger eines Kreiskrankenhauses nicht zu einer unverzüglichen und konsequenten Behebung der Schwachstellen bewogen. Angeblicher Grund: die finanziellen Rahmenbedingungen.

Die im 19. Tätigkeitsbericht (Tz. 6.6.2) dargestellten Mängel im Kreiskrankenhaus Elmshorn haben in der Öffentlichkeit und in der Presse eine breite kritische Resonanz hervorgerufen. Da die Krankenhausleitung und der Kreis Pinneberg als Träger der geprüften Stelle die datenschutzrechtlichen Beanstandungen weitestgehend als berechtigt akzeptiert haben, hätte man also erwarten können, daß kurzfristig für Abhilfe gesorgt worden wäre.

Leider ist dies nicht der Fall. In einer ersten Stellungnahme machte das Kreiskrankenhaus geltend, daß die geforderten EDV-technischen und organisatorischen Maßnahmen nicht nur differenzierte, sorgfältige interne Überlegungen und Abstimmungsprozesse voraussetzen, sondern auch die Einbeziehung des Softwarehauses erfordern würden. Dabei müßten auch die finanziellen Rahmenbedingungen im Krankenhausbereich berücksichtigt werden. Bei jedem Kritikpunkt sei abzuwägen, was zwingend erforderlich und was wünschbar, aber vor diesem finanziellen Hintergrund nicht kurzfristig machbar sei.

Dieser "Auslegung" der datenschutzrechtlichen Bestimmungen haben wir widersprochen und darauf hingewiesen, daß datenschutzrechtlich bedenkliche Zustände gerade in einem Bereich, der einem besonderen Berufs- und Amtsgeheimnis unterliegt, unverzüglich behoben werden müßten. Das gelte insbesondere für Maßnahmen, die keine größeren finanziellen Investitionen, sondern lediglich organisatorische Neuregelungen oder die Nutzung bereits bestehender technischer Möglichkeiten bedingen. Auf unsere detaillierten Fragen nach dem Stand der Arbeiten zur Umsetzung unserer Vorschläge zur Verbesserung des Datenschutzes erhielten wir ein Jahr nach Durchführung der Prüfung lediglich einen weiteren Zwischenbericht. Ihm ist zum Beispiel zu entnehmen:

  • daß die automatisierte Datenverarbeitung nach wie vor noch nicht durch konkrete Dienstanweisungen geregelt ist,

  • daß der Zugang zum Krankenblattarchiv noch nicht hinreichend abgeschottet und das Archiv personell unterbesetzt ist,

  • daß Mitarbeiter der Systemadministration wie bisher auf medizinische "Echtdaten" zugreifen können,

  • daß nichtanonymisierte Patientendaten als Testbestände benutzt werden,

  • daß noch immer nicht geklärt ist, wer innerhalb des Krankenhauses für welche Datenbestände die Verantwortung trägt und

  • daß die Patientenstammdatensätze wie bisher unbegrenzt im Krankenhausinformationssystem gespeichert bleiben, obwohl die papierenen Akten als authentischer Datenbestand angesehen werden.

Vor diesem Hintergrund stellt sich die Frage, ob es überhaupt einen Sinn macht, dem Krankenhaus wiederholt unsere Beratung bei der Lösung der Probleme anzubieten. Wenn finanzielle Überlegungen zum Maß aller Dinge erklärt werden, wird offensichtlich die strafrechtliche Seite der Angelegenheit außer acht gelassen. Aber noch steht die abschließende Stellungnahme des Kreises Pinneberg ja aus.

Was ist zu tun?
Es sollte endlich nach einem überzeugenden Konzept gehandelt werden. "Allgemeine Leitlinien" sind durch klare Vorgaben und konkrete aufbau- und ablauforganisatorische Maßnahmen zu ersetzen.

6.7.2

Tja, wenn's ums Geld geht

Viele fehlerhafte Verarbeitungsvorgänge und Sicherheitsrisiken resultieren aus unzureichenden Tests. Immer wieder wird behauptet, das Fehlerrisiko müsse man eingehen, Tests seien zu teuer. Das Landesbesoldungsamt hingegen ist ausgesprochen "risikoscheu". Aus gutem Grund.

Datensicherheit bedeutet auch, daß sich die datenverarbeitenden Stellen vor dem Echteinsatz ihrer automatisierten Verfahren davon überzeugen, daß sie in allen Einzelheiten so funktionieren, wie es geplant war. Diese Tests werden von vielen Behörden seit jeher nur unzulänglich durchgeführt, weil sie mühsam und personalaufwendig sind und somit viel Geld kosten (vgl. z. B. 19. TB, Tz. 6.3). Da hält man es häufig mit der fragwürdigen Erkenntnis: "Nach jedem im Echtbetrieb gefundenen und dann ausgemerzten Fehler ist das Programm doch besser als vorher."

Wenn viel Geld auf dem Spiel steht, geht es offenbar auch anders. Das zeigte unsere Prüfung beim Landesbesoldungsamt, das mittels der automatisierten Verfahren PERS-SH und BABSY Monat für Monat viele Millionen an Gehältern, Löhnen, Versorgungsleistungen und Beihilfen auszahlt. Programmfehler hätten mithin fatale finanzielle Folgen. Das Testverfahren läuft so perfekt ab, als hätte das Landesbesoldungsamt aus einem Lehrbuch über Datenschutz und Datensicherheit abgeschrieben:

  • Modifikationen an der bestehenden Software werden jeweils durch einen Auftrag an die Datenzentrale angewiesen.

  • Die Details werden vorher in Arbeitsgruppensitzungen festgelegt, an denen Mitarbeiter des Landesbesoldungsamtes Schleswig-Holstein, des Landesbesoldungsamtes Mecklenburg-Vorpommern und der Datenzentrale Schleswig-Holstein teilnehmen. Sie werden fixiert in Ergebnisprotokollen und gelten als Bestandteil des jeweiligen Auftrages.

  • Über den Test wird von der Datenzentrale und dem Landesbesoldungsamt ein gemeinsames Protokoll erstellt, aus dem sich folgende Teilaspekte ergeben: Auftragsnummer, Projekt, Testinhalt, Namen der getesteten Programme, Zeitpunkt des DZ-Tests und der Übergabe der geänderten Module an das Landesbesoldungsamt, Zeitpunkt des Abschlußtests durch das Landesbesoldungsamt, Namen der Tester der DZ, Namen der Tester des Landesbesoldungsamtes, Testergebnis, Freigabetestat ("die Programme werden zur Anwendung im Rechenzentrum Altenholz freigegeben"), Unterschriften der verantwortlichen Mitarbeiter der DZ und des Landesbesoldungsamtes.

  • Die Durchführung der Tests erfolgt durch sechs (!) qualifizierte Sachbearbeiter des Landesbesoldungsamtes, die jeweils auf einen unterschiedlichen Teilbereich der Verfahren spezialisiert sind. Durchschnittlich verfügt jeder Tester über einen Bestand von 600 anonymisierten Testfällen. Die ca. 3 600 (!) Testdatensätze werden kontinuierlich an die geänderte Rechtslage angepaßt.

Nach Aussage des Landesbesoldungsamtes hat diese seit Jahren praktizierte Verfahrensweise dazu geführt, daß gravierende Softwarefehler und sonstige Unregelmäßigkeiten weitestgehend vermieden wurden. Wen wundert's?

Was ist zu tun?
Zur Nachahmung empfohlen!

6.7.3

Wenn die automatisierte Datenverarbeitung wirklich Chefsache ist

Es ist selten, daß sich Behördenleiter tatsächlich für die automatisierte Datenverarbeitung in ihrem Haus verantwortlich fühlen. Ist dies der Fall, entstehen zwar nicht automatisch perfekte Lösungen, aber in der Regel führt es zu Konzepten "aus einem Guß".

Seit mehreren Jahren führen wir schwerpunktmäßig im kommunalen Bereich sicherheitstechnische Überprüfungen durch, um Schwachstellen aufzudecken, und insbesondere auch, um im konkreten Einzelfall durch Beratung zu einer Problemlösung beizutragen (vgl. 19. TB, Tz. 6.6.1). Bei den meisten dieser Prüfungsmaßnahmen finden wir vergleichbare Sachverhalte vor, einige Verwaltungen fallen allerdings "aus dem Rahmen", im positiven wie auch im negativen Sinne. Bemerkenswert waren z. B. im abgelaufenen Jahr die Verhältnisse in der Stadtverwaltung Plön: Hier war der "EDV-Macher" nicht - wie sonst häufig anzutreffen - ein zeitlich und fachlich überforderter Mitarbeiter im Hauptamt, der das "Geschäft" nebenbei mitzuerledigen hatte, sondern das "EDV-Team" bestand aus dem Bürgermeister selbst und dem büroleitenden Beamten sowie einem Sachbearbeiter, der die Weisungen der Entscheidungsträger umzusetzen hatte.

Während der gesamten Prüfung standen dementsprechend der Bürgermeister und der Büroleiter Rede und Antwort und konnten die Gründe für ihre Hardware-, Software- und Organisationsentscheidungen der letzten Jahre im Detail erläutern. Nicht ein einziges Mal bekam unser Prüfer die sonst übliche Antwort zu hören: "Darum habe ich mich nicht gekümmert, da müssen Sie unseren Techniker oder das Softwarehaus fragen."

Das bedeutete nicht, daß wir keine sicherheitstechnischen Mängel vorgefunden haben. Die schwierige Abschottung der Benutzerebene der Systeme zur Administrationsebene hatte man z. B. auch hier nicht voll in den Griff bekommen. Auch fehlte die Dokumentation der Verfahren, was fast schon verständlich war, hatten die beiden Chefs ihr Gesamtsystem doch im Kopf. Dabei handelte es sich bei ihnen durchaus nicht um EDV-Freaks, die im Dienst ihrem Hobby frönten. Es waren vielmehr gestandene Verwaltungsprofis, die nur nicht bereit waren, die Entscheidungen über den Einsatz von Informationstechnik in ihrer Verwaltung aus der Hand zu geben. Wenn sich einzelne Maßnahmen im nachhinein als nicht zweckmäßig oder sachgerecht herausstellten, wurden die Korrekturen mit der selben "Souveränität" vorgenommen, wie man die ursprünglichen Entscheidungen getroffen hatte. Entsprechend schnörkellos wurden die Beanstandungen, die aus unserer Prüfung resultierten, abgearbeitet.

Was ist zu tun?
Behördenleiter sollten sich nicht scheuen, die automatisierte Datenverarbeitung zur Chefsache zu erklären. Das hierzu erforderliche "Fachwissen" besteht zu einem großen Teil aus der Sturheit, nur verwaltungstechnisch überzeugende Lösungen zu akzeptieren und Datensicherheit als "Bringschuld" der Anbieter zu betrachten.

6.7.4

Der Inhalt eines typischen Prüfberichts

Die Diskrepanz zwischen den gesetzlichen Anforderungen und der Wirklichkeit in bezug auf die Datensicherheit und die Ordnungsmäßigkeit der Datenverarbeitung ist gravierend. Das zeigen immer wieder die im Rahmen von Prüfungen vorgefundenen Sachverhalte. Sie müßten selbst die schärfsten Datenschutzkritiker nachdenklich stimmen.

In den Diskussionen um die Datensicherheit und die Ordnungsmäßigkeit der personenbezogenen Datenverarbeitung in der Verwaltung wird uns immer wieder vorgehalten, unsere Forderungen seien zu puristisch und berücksichtigten nicht die "Sachzwänge der Praxis". Es erscheint daher angebracht, einmal transparent zu machen, welche Sachverhalte wir typischerweise bei unseren Prüfungen vorfinden. Bei dem nachfolgenden Text handelt es sich um einen lediglich redaktionell gekürzten wörtlichen Auszug aus dem Abschnitt "Einzelfeststellungen" einer Prüfungsniederschrift:

  • Ablauforganisatorische Regelungen konnten nicht vorgelegt werden. Ein IT-Konzept, das die Vorgaben für die Entwicklung der Hard- und Software beschreibt, besteht nicht. Dienstanweisungen für den Betrieb der EDV-Systeme sowie für die Systembetreuer wurden nicht erstellt.

  • Besondere Zugangsregelungen für die Server im Bau- und Sozialamt wurden nicht getroffen. Sie sind nicht in gesicherten Räumen, sondern unmittelbar in den Mitarbeiterbüros installiert.

  • Die Administration der Hard- und Software wird zum Teil von den jeweiligen Mitarbeitern der Fachabteilungen durchgeführt. Bei technischen Schwierigkeiten werden im Einzelfall Fremdleistungen von externen Dienstleistungsfirmen in Anspruch genommen. Eine Kontrolle der Dienstleister wird nicht durchgeführt.

  • Die von den Fachämtern verarbeiteten Daten werden überwiegend auf den Einzelplatz-PC gespeichert. Eine Anweisung, die den Umgang mit personenbezogene Daten regelt, existiert nicht.

  • Im zentralen Schreibdienst sind auf einem PC über 2 000 Dokumente festgestellt worden. Das älteste Dokument wurde am 27.10.1992 zuletzt bearbeitet, das ist vermutlich der Zeitpunkt, an dem der PC erstmalig zum Einsatz gelangte. Eine ähnliche Situation wurde auf dem PC im Vorzimmer des Bürgermeisters vorgefunden. Auch hier konnten 2 597 zum Teil sehr brisante Dokumente aus folgenden Bereichen festgestellt werden: Sitzungsdienst, Protokolle (834 Dokumente), Vorlagen für den Sitzungsdienst (648 Dokumente), Schriftverkehr des Bürgermeisters (1 097 Dokumente).

  • Die Löschung der Daten wird nicht durch die Fachvorgesetzten angewiesen. Die Mitarbeiter verwalten ohne Kontrolle der verantwortlichen Ebene die Daten nach eigenem Ermessen.

  • Die Löschung der nicht mehr benötigten Daten ist aufgrund der unstrukturierten Speicherverwaltung sehr umständlich.

  • Die inhaltliche Kontrolle der gespeicherten Daten ist durch die Fachvorgesetzten kaum möglich. Die Benutzer sind somit in der Lage, Datenbestände aufzubauen, ohne daß die Amtsleitung die Erlaubnis hierzu erteilt hat.

  • Die Datensicherung auf den PC und den Servern liegt in der Verantwortung der Benutzer. Die Art und Weise der Durchführung der Datensicherung wurde jedoch nicht geregelt. Zum Beispiel wird im Vorzimmer des Bürgermeisters die Datensicherung nur unregelmäßig von der Sekretärin durchgeführt. In anderen Fachbereichen wurden vergleichbare Gegebenheiten festgestellt.

  • Eine Dokumentation über die berechtigten PC-Benutzer und die ihnen zugewiesenen Rechte konnte nicht vorgelegt werden. Im Bereich des Bauamtes wurden die Benutzerrechte auf dem Server von dem Lieferanten offenbar ohne Weisung des Fachamtsleiters eingerichtet. Die Supervisor-Kennung war dem Systembetreuer des Bauamtes nicht bekannt. Es konnte deshalb nicht festgestellt werden, welche Benutzer eingerichtet und welche Rechte zugewiesen wurden. Ebensowenig konnte geklärt werden, für welche konkreten "dienstlichen" Aufgaben der Server im einzelnen eingesetzt wurde.

  • Es wurden folgende Mängel in der technischen Konfiguration der Arbeitsstationen und der Server festgestellt: Die Benutzer haben Zugriff auf die Betriebssystemebene ihrer Arbeitsstationen und der Server. Die Diskettenlaufwerke sind für den Datenaustausch offen. Auf den Arbeitsstationen befindet sich umfangreiche Software, die nicht zur Ausführung der für das betreffende Gerät zugelassenen Verfahren erforderlich ist. Auf den Arbeitsstationen ist die Windows-Oberfläche durch die Benutzer veränderbar. Beispielsweise ist das Entfernen oder Hinzufügen neuer Programmgruppen möglich. Zugriffsrechte können auf den Arbeitsstationen aufgrund fehlender Sicherheitssoftware nicht anwenderbezogen erteilt werden. Aufgrund dieser Gegebenheiten ist nicht ausgeschlossen, daß Daten unbefugt verändert oder gelöscht werden, ein Virenangriff erfolgreich wäre, Daten außerhalb eines zugelassenen Verfahrens gespeichert, Daten auf Disketten kopiert und für andere Zwecke verwendet, Zuständigkeiten für bestimmte Aufgaben nicht erkannt werden, die Server bei auftretenden Fehlern für längere Zeit ausfallen.

  • Für keines der eingesetzten Verfahren wurde bislang eine Dokumentation, bestehend aus einer Aufgabenbeschreibung, einer Programm- und Verfahrensbeschreibung sowie Test- und Freigabeunterlagen erstellt. Es konnte keine Bestandsliste für die verwendeten Programme und Verfahren vorgelegt werden.

  • Für die EDV-Systeme wurde keine Zusammenstellung über die in der Verwaltung eingesetzte Hardware erstellt.

  • Die durchgeführten Systemarbeiten werden nicht in einem System-Logbuch "protokolliert". Bei Hardwarestörungen administrieren auch Techniker von Dienstleistungsfirmen die Systeme. Diese Systemarbeiten werden ohne Aufzeichnungen ausgeführt. Es ist deshalb nicht feststellbar, zu welchem Zeitpunkt welche Personen welche Arbeiten durchgeführt haben.

  • Schulungen auf dem Gebiet des Datenschutzrechts, insbesondere zur Umsetzung von gesetzlichen Regelungen in konkrete technische und organisatorische Maßnahmen, wurden nicht durchgeführt.

Diese Ergebnisse sprechen unseres Erachtens für sich. Es muß nochmals betont werden, daß es sich um übliche Prüfungsergebnisse handelt, die im vergangenen Jahr in ähnlicher Form mehr als einem halben Dutzend Behörden "ins Stammbuch geschrieben" werden mußte. Daß derartige Gegebenheiten nicht unbeanstandet bleiben können, dürfte ebenso einleuchten wie die nachdrückliche Forderung nach einer unverzüglichen Behebung der Mängel.

Was ist zu tun?
Solange eine derartige Diskrepanz zwischen den gesetzlichen Anforderungen an die Datensicherheit und die Ordnungsmäßigkeit der personenbezogenen Datenverarbeitung und der Realität besteht, muß den Überprüfungen und Beratungen vor Ort weiterhin eine hohe Priorität beigemessen werden.

6.7.5

Wer überwacht die Fernwartung?

Den Fernwartungsunternehmen wird oft blindes Vertrauen entgegengebracht, obwohl deren Aktivitäten sich im sensibelsten Bereich eines Computersystems vollziehen. Bindende Sicherheitsvorschriften werden dabei mißachtet.

Der Zugang zur Betriebssystemebene eines Computers ist unter sicherheitstechnischen Aspekten zu vergleichen mit der Übergabe der Verfügungsgewalt über den Tresorschlüssel einer Bank. Diese Erkenntnis hat ihren Niederschlag auch in der von der Landesregierung im Jahr 1994 erlassenen Datenschutzverordnung gefunden.

Die Gründe hierfür liegen auf der Hand und sind in ausführlichen Hinweisen im Amtsblatt 1994, Seite 140, dargelegt worden. Wer auf die Betriebssystemebene eines Computers gelangt, kann nämlich meist "ohne Fingerabdrücke zu hinterlassen", Daten löschen, Daten hinzufügen, Daten inhaltlich verändern, Protokollbestände modifizieren, Benutzerrechte erweitern und die Verarbeitungslogik von Programmen beeinflussen. Dies alles kann erforderlich und sinnvoll sein, es kann aber auch versehentlich und ungewollt passieren, letztlich sind auch Absicht und kriminelle Energie nicht auszuschließen. Auch die Konsequenzen sind höchst unterschiedlich. In dem einen Fall werden fehlerhafte Systemzustände korrigiert. In dem anderen Fall Ergebnisse verfälscht, Daten unbefugt offenbart oder wichtige Informationen unwiederbringlich vernichtet.

Bei der Systemadministration handelt es sich also um eine so wichtige Schlüsselfunktion, daß sie kein EDV-Verantwortlicher ohne Grund aus der Hand geben dürfte. Was aber, wenn man selbst nicht über die Kenntnisse verfügt, die erforderlich sind, um ein kompliziertes Computersystem zu steuern? Man kauft sich das nötige Know-how bei einem externen Dienstleister ein. Und damit der nicht bei jeder Kleinigkeit ins Haus kommen muß, vereinbart man eine sogenannte Fernwartung. Über eine Telefonleitung werden dabei der Computer der Behörde und der des Wartungsunternehmens zusammengeschaltet, und der Dienstleister kann alle Systemsteuerungsaktivitäten vom eigenen Schreibtisch aus vollziehen.

Da stellt sich natürlich das Problem der Überwachung durch die Behörde. Wie nachlässig dabei verfahren wird, haben in jüngster Zeit mehrere Prüfungen gezeigt. Selbst bei Fernwartungen durch die Datenzentrale waren die Sicherheitsmängel so gravierend, daß sie in diesem Bericht nicht alle detailliert dargestellt werden können. Es ist nicht auszuschließen, daß sie bei einigen Behörden nach wie vor bestehen und eine Publizierung zu unvertretbaren Risiken führen würde. Daher nur ein Auszug aus der Mängelliste:

  • Schriftliche Verträge mit verbindlichen Leistungsbeschreibungen und Sicherheitskonzepten bestanden nicht.

  • Es erfolgte nicht nur die Behebung technischer Fehler, sondern auch die Behebung von Mängeln in der Software, die sich bereits im Echteinsatz befand.

  • Teilweise wurden sogar die Datenbestände inhaltlich korrigiert.

  • Die Systemadministratoren hatten wegen anderweitiger Aufgaben keine Zeit, die Arbeiten der Datenzentrale zu überwachen.

  • Es wurden zwar Protokolle erstellt, für die Behörden waren sie jedoch mangels entsprechender Kenntnisse nicht lesbar.

  • Die Notwendigkeit der Systemzugangs ergab sich so häufig (110mal in 50 Arbeitstagen, teilweise 6mal an einem Tag), daß die Zugangsmöglichkeit für die Datenzentrale (z. B. durch Abschalten des Modems) über längere Zeiträume gar nicht unterbrochen wurde.

  • In der Datenzentrale waren mehrere und häufig wechselnde Personen mit der Fernwartung des betreffenden Rechnersystems betraut. Das Zugangspaßwort war allen Mitarbeitern bekannt. Die Paßworte für alle Fernwartungskunden wurden nach dem gleichen einfachen Algorithmus generiert.

Zusammengefaßt kann festgestellt werden, daß sowohl die betreffenden Behörden wie auch die Datenzentrale massiv gegen die datenschutzrechtlichen Sicherheitsbestimmungen verstoßen haben. Alle Beteiligten haben dies eingesehen und Besserung gelobt. Ob sie dies auch einhalten, werden die nächsten Prüfungen zeigen.

Was ist zu tun?
Behörden, die Fernwartungen oder andere Wartungsmaßnahmen von externen Dienstleistern durchführen lassen, sollten ihre Verfahrensweisen kritisch überprüfen. Auf eine Überwachung der Wartungsarbeiten kann in keinem Fall verzichtet werden.

6.7.6

Noch immer nicht alle Sicherheitsprobleme im IKONET/Campus-Netz gelöst

Gerade wenn Ministerien über Computersysteme miteinander kommunizieren wollen, müssen hinreichend sichere sicherheitstechnische Rahmenbedingungen geschaffen werden. Dies kann nicht gewährleistet werden, wenn sich niemand als Netzbetreiber verantwortlich fühlt.

Die Überprüfung der Sicherheitskomponenten im internen Datennetz der Landesregierung hat bereits im Oktober 1996 stattgefunden. Auf die Grundsatzprobleme und die Sicherheitslücken haben wir im Dezember 1996 schriftlich hingewiesen (vgl. 19. TB, Tz. 7.9). Im abgelaufenen Jahr sind zwar im Detail sicherheitstechnische Verbesserungen vorgenommen worden. Die grundsätzlichen Problemstellungen wurden aber noch immer nicht angepackt. Der Grund hierfür liegt darin, daß nach wie vor Unklarheit darüber besteht, wer als der verantwortliche Betreiber des Netzes anzusehen ist. Zudem bestreitet das Innenministerium, daß es sich bei dem Netz um ein automatisiertes Verfahren im Sinne des Datenschutzrechts handelt.

Die Verantwortungsfrage ist nach unserer Auffassung vorrangig zu klären (vgl. hierzu auch Tz. 6.7.7). Wenn ein Ministerium sich entscheidet, z. B. personenbezogene Daten über dieses Netz in ein anderes Ministerium zu übertragen, muß es wissen, welche Sicherheitsmaßnahmen unterwegs greifen. Bevor der Ministeriumscomputer mit dem Netz verknüpft wird, um über das Internet mit der Welt zu kommunizieren, muß geklärt sein, welche Abschottungen die Netz-Firewall übernimmt und welche Aktivitäten man selbst ergreifen muß, um zu verhindern, daß "angriffslustige Hacker" nachweisen, wie man Behördenrechner manipulieren kann. Wenn der Zugang zu externen Netzen nur über einen einzigen, gesicherten Ein- und Ausgang erfolgen soll, müssen sich alle Teilnehmer verpflichten, keine eigenen Öffnungen einzurichten.

Wer definiert aber diese Regeln, und wer überwacht ihre Einhaltung? Vor allem wer entscheidet, ob sich alle Teilnehmer "netzkonform" verhalten, und wer möglicherweise wegen der Verletzung der "Spielregeln" von der Netzbenutzung ausgeschlossen wird? Wer definiert und erweitert kontinuierlich die einzelnen Filterfunktionen der Firewalls an der Schnittstelle zum Internet, und wer testet die gewünschte Funktionsweise dieser von externen Softwarehäusern generierten Software? Wer gewährleistet letztlich die Ordnungsmäßigkeitskriterien der Datenschutzverordnung (Sicherheitskonzept, Dokumentation, Test, Freigabe, Administrationsüberwachung usw.)? Zur Zeit geschieht dies alles auf der Basis einer lockeren interministeriellen Zusammenarbeit der IT-Leitstellen. Das Innenministerium schafft Regelungen für das eigene Haus und gibt sie den IT-Leitstellen der anderen Ressorts mit der Anregung zur Nachahmung weiter. Die Verantwortung für das Datennetz tragen die beteiligten Ministerien also praktisch "zur gesamten Hand" bzw. nach der Devise "Vertrauen gegen Vertrauen".

Es wird zudem bestritten, daß im Campus-Netz personenbezogene Datenverarbeitung stattfindet. Das Netz sei nur die technische Voraussetzung für die gesondert zu betrachtenden Verarbeitungsprozesse, vergleichbar der Strom-, Wasser- und Wärmeversorgung. Diese Auffassung verkennt, daß ein solches Netz Hard- und Softwarekomponenten enthält, die so modifizierbar sind, daß die Ergebnisse der Verarbeitung beeinflußt werden. Niemand käme beispielsweise auf die Idee, den Botendienst eines Ministeriums aus den Sicherheitsüberlegungen auszublenden, weil die Mitarbeiter in diesem Bereich keine Daten "verarbeiten", oder das Innenministerium aus der datenschutzrechtlichen Pflicht zu entlassen, die gemeinsame Telefonanlage der Ministerien und des Landtages so zu konfiguieren, daß z. B. das Fernmeldegeheimnis der Abgeordneten gewährleistet wird.

Wir haben deshalb das Innenministerium nochmals darauf aufmerksam gemacht, daß

  • die Entscheidungen über die Anwendung von Verschlüsselungstechniken,

  • die Aktivitäten zur Virenabwehr und zur Abwehr "aktiver Inhalte",

  • die Maßnahmen zur Vermeidung des unbeabsichtigten Absendens von Dokumenten,

  • die Vorkehrungen zum Ausschluß einer programmgesteuerten Auswertbarkeit der zwischengespeicherten Daten,

  • die Fortentwicklung und Optimierung der Firewalls usw.

nur in einem definierten und dokumentierten Abstimmungsprozeß zwischen allen Ressorts verbindlich festgemacht werden können. Das gleiche gilt für die Frage, ob die Fortentwicklung des Netzes künftig der Datenzentrale im Wege der Auftragsdatenverarbeitung übertragen werden kann. Nach unserer Auffassung sind schriftliche und bindende Vereinbarungen unverzichtbar.

Was ist zu tun?
Alle Beteiligten müssen sich an einen Tisch setzen, eine "Netzgeschäftsordnung" definieren, gemeinsam die Sicherheitslücken schließen und ein verantwortliches und weisungsberechtigtes Ressort "küren". Dies liegt im Interesse aller Beteiligten und ist datenschutzrechtlich unverzichtbar.

6.7.7

Nachbesserungen im Schleswig-Holstein-Netz - "nur auf freiwilliger Basis"?

Der Datenzentrale fällt es schwer, ihr Schleswig-Holstein-Netz als "normales" automatisiertes Verfahren zu betrachten. Sie reklamiert hierfür einen Sonderstatus und will das "zu strenge" Datenschutzrecht nur analog anwenden.

Im Tätigkeitsbericht für das Jahr 1996 haben wir von der Datenzentrale gefordert, das von ihr betriebene Schleswig-Holstein-Netz sicherheitstechnisch nachzubessern und die Datensicherheitsmaßnahmen zu dokumentieren. Ihre Kunden haben wir aufgefordert, darauf zu achten, daß in den Nutzungsverträgen das erforderliche Sicherheitsniveau festgeschrieben ist (vgl. 19. TB, Tz. 7.8).

Wie berechtigt unsere Forderungen waren, machte die Prüfung bei einer größeren Kommune deutlich, die den Datentransfer in das Rechenzentrum der Datenzentrale über das Schleswig-Holstein-Netz abwickelt. Zum Zeitpunkt der Prüfung (März 1997) stellte sich die Situation dort wie folgt dar: Die Datenzentrale hatte der Stadtverwaltung die Nutzung des Schleswig-Holstein-Netzes mit den Argumenten angeboten, es werde bereits von mehr als 80 Kunden benutzt; es erfülle vor allem die Anforderungen der öffentlichen Verwaltung an Datensicherheit und Datenschutz; in den Netzknoten seien Komponenten der DZ installiert, die von ihr selbst administriert und gewartet würden; der besondere Vorteil des Schleswig-Holstein-Netzes liege in der Geschlossenheit, die als Basis für den Datenschutz und die Datensicherheit eine günstige Voraussetzung biete.

Die Inanspruchnahme des Netzes erfolgte daraufhin ohne weitere Prüfung. Ein schriftlicher Vertrag zwischen der DZ und der Stadtverwaltung wurde nicht geschlossen. Das Verfahren ist bezüglich der Sicherheitskriterien nicht getestet und freigegeben worden. Die Stadtverwaltung wurde von der DZ zum Beispiel nicht über den Ort des Einwahl- bzw. Netzknotens, die Konfiguration der Leitungen für die Datenkommunikation, die Abschottung der Daten vor unbefugten Zugriffen auf dem Übertragungswege sowie die Absicherung der Netzknoten bzw. der Datenvermittlungsstellen informiert. Erst im Rahmen unserer Prüfung wurde der Kommune klar, wo sich z. B. die technischen Komponenten des Netzknotens befinden und daß die dort getroffenen Sicherheitsmaßnahmen keineswegs den "Anforderungen an den Datenschutz und die Datensicherheit" entsprachen.

Die Datenzentrale reagierte auf diese Feststellungen mit einer an sich nicht gebotenen Gelassenheit. Zwar wurden den Kunden ab Oktober 1997 schriftliche Verträge ausgehändigt und ein Sicherheitskonzept erstellt. Insgesamt ist man allerdings, wie auch das Innenministerium bezüglich des Campus-Netzes (vgl. Tz. 6.7.6), der Auffassung, daß ein solches Netz nicht nach datenschutzrechtlichen Kriterien zu beurteilen sei, weil es sich bei dem Transport von Daten nicht um eine Datenverarbeitung im Auftrag handele. Die Daten würden nicht zweckgerichtet genutzt. Die Übertragung oder der Transport von Daten seien nur Mittel, um einen bestimmten Zweck zu erfüllen. Man sei aber gleichwohl bereit, das Datenschutzrecht analog anzuwenden, gleichsam auf freiwilliger Basis.
Das Datenschutzrecht kennt keinen Datentransport als Datenverarbeitung "sui generis". Deshalb können die von der Datenzentrale bedauerten "strengen Anforderungen an die Organisation einer Auftragsdatenverarbeitung mit schriftlichen Weisungen und den Folgen hohen Aufwandes bei Änderungen im Leistungsumfang oder in den Abläufen" nicht dazu führen, daß das Datenschutzrecht auf das Schleswig-Holstein-Netz nur auf freiwilliger Basis angewendet wird. Im Vordergrund der Betrachtungen muß vielmehr das Rechtsverhältnis zwischen den Betroffenen und den datenverarbeitenden Stellen stehen. Wenn sich eine Behörde aus ökonomischen Gründen entscheidet, Teile des Verarbeitungsprozesses in die Hände externer Dienstleister zu geben, muß durch konkrete Weisungen in schriftlichen Verträgen und durch entsprechende Kontrollmaßnahmen gewährleistet werden, daß das datenschutzrechtlich gebotene Sicherheitsniveau auch außerhalb der unmittelbaren Einflußsphäre der verantwortlichen Stelle gewahrt wird.

Was ist zu tun?
Datenschutz wird nicht zur reinen Gefälligkeit, wenn dem Dienstleister die Daten zur Auftragsdatenverarbeitung über ein eigenes Netz übermittelt werden. Dies muß die Datenzentrale akzeptieren.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel