21. Tätigkeitsbericht (1999)


6.

Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung

6.1

Das "Jahr-2000-Problem" - und was das mit dem Datenschutz zu tun hat

Die Schwierigkeiten bei der Anpassung der Computersysteme zeigen, daß die Ursachen vieler Sicherheitsrisiken systematischer Natur sind. Werden die Systeme nicht transparenter, werden wir bald ein permanentes "Jahr-2000-Problem" haben.

Das Kernproblem der Computer mit Beginn des 1. Januar im Jahr 2000 besteht darin, daß ihre Programmierer in den letzten dreißig Jahren Speicherplatz sparen wollten, indem sie bei Jahreszahlen die ersten beiden Stellen wegließen. Damit können die Rechner das Jahr 2000 nicht von dem Jahr 1900 unterscheiden. Sie wissen nicht, ob jemand, für den als Geburtsdatum der 28.02.00 gespeichert ist, ein Greis oder ein Säugling ist, da für beide als Jahr nur "00" abgelegt wurde. Bei allen Rechenoperationen, die sich auf ein aktuelles Datum beziehen (Fristabläufe, Zinsberechnungen usw.), kommen die Rechner also "ins Schleudern", wenn sie in der verbleibenden Zeit bis zum 31.12.1999 nicht auf vierstellige Jahreszahlen umgestellt werden.

Nach unseren bisherigen Erkenntnissen ergeben sich aus dem Jahr-2000-Problem nur in wenigen Fällen unmittelbare datenschutzrechtliche Konsequenzen. Es ist allerdings nicht auszuschließen, daß nach dem Jahrtausendwechsel

  • Zugangs- und Kontrollsysteme nicht mehr bestimmungsgemäß arbeiten,

  • Paßwortwechsel nicht mehr angestoßen werden,

  • Löschungsfristen nicht eingehalten werden oder

  • Informationssysteme falsche Auskünfte geben, weil die Programme, die sie aktualisieren sollten, nicht funktionieren.

Das Jahr-2000-Problem zeigt darüber hinaus grundsätzliche Strukturmängel auf, die von erheblicher datenschutzrechtlicher Bedeutung sind. Seit Jahren warnen wir vor den Folgen der weitverbreiteten Nachlässigkeiten bei der Dokumentation automatisierter Verfahren. Bei den meisten Behörden stießen wir bisher allerdings auf taube Ohren. Selbst die einschlägigen Vorschriften der 1994 in Kraft getretenen Datenschutzverordnung haben nicht dazu geführt, daß für EDV-Programme genau so exakte Bauzeichnungen bzw. Schaltpläne angefertigt werden, wie sie für Häuser, Maschinen oder Elektroanlagen üblich sind.

Die Ignoranten bekommen jetzt die Quittung für ihre Unterlassungen. Mit einem riesigen zeitlichen Aufwand müssen sie Befehl für Befehl ihre Software durchforsten, um festzustellen, wo sie möglicherweise ab dem Jahr 2000 falsche Schlußfolgerungen aus einem gespeicherten Datum ziehen. Manche Berechnungen der Computerindustrie gehen davon aus, daß die Kosten für die "Reparaturarbeiten" weltweit höher sind als die Gesamtkosten des 2. Weltkrieges. Nun sorgen wir uns sicher nicht um die Überstunden der Programmierer. Vielmehr geht es um die Frage: Wenn die Systeme so schlecht dokumentiert sind, daß die Jahrtausendumstellung mit einem solchen Aufwand und so vielen Risiken behaftet ist, wie groß ist dann die Chance, zur Aufdeckung von Manipulationen, anläßlich von Rechtsstreitigkeiten oder zu Beweiszwecken nachträglich, möglicherweise nach Jahren, feststellen zu können, welche Daten zu welchen Zeitpunkten gespeichert waren bzw. welche programmgesteuerten Schlußfolgerungen aus welchen Informationen gezogen worden sind?

Es reicht nicht, resignierend festzustellen, daß die in automatisierten Verfahren eingesetzte Software in der Regel nur bedingt revisionsfähig ist. Aus der Jahr-2000-Problematik sind umgehend Konsequenzen zu ziehen. Zuallererst ist die Verantwortung für die Dokumentation der bestehenden informationstechnischen Systeme (Hardware, Software, Datenbestände, Organisationsregelungen) eindeutig festzulegen. Sodann sollten sich alle Aufsichtsbehörden und Behördenleitungen darin einig sein, daß es keine Entschuldigungen für Dokumentationsmängel gibt. Was in allen ingenieurwissenschaftlichen Bereichen als eine bewährte Grundregel angesehen wird, kann im Bereich der automatisierten personenbezogenen Datenverarbeitung nicht falsch sein. Alle nicht hinreichend dokumentierten Systeme sollten mit einem "Verfallsdatum" versehen werden. Ihr Einsatz ist zu stoppen, wenn nicht bis zu dem betreffenden Zeitpunkt eine aussagefähige Dokumentation erstellt worden ist.
Grundsätzlich ist zu bemängeln, daß IT-Systeme nicht in einer Weise geprüft werden, wie selbst die einfachsten elektrischen Geräte. Ein "Sicherheits-TÜV" im laufenden Betrieb existiert erst recht nicht. Ohne grundlegende Änderungen wird sich das Jahr-2000-Problem in einigen Jahren als ein "Peanut", im Verhältnis zu den Revisionsdefiziten, die die immer komplexer werdenden Informations- und Verarbeitungssysteme dann aufweisen, darstellen.

Was ist zu tun?
Den IT-Verantwortlichen sollten vom Gesetzgeber bezüglich der Anforderungen an die Innen- und Außentransparenz der Informations- und Verarbeitungssysteme "Daumenschrauben" angelegt werden. Die Novelle zum Landesdatenschutzgesetz gibt hierfür eine gute Chance.

6.2

Paßwortsicherheit - ein unterschätztes Problem

Die meisten Sicherheitskonzepte bauen darauf auf, daß verschlüsselt gespeicherte Paßwörter nicht geknackt werden können. Heute leicht erhältliche Hacker-Software mit komfortabler Benutzeroberfläche stellt dies in Frage. Die Paßwortgestaltung muß überdacht werden.

Man kann ohne Übertreibung feststellen: In den Paßwörtern tickt eine ebenso große Zeitbombe wie in den vor etwa 15 Jahren erstmals aufgetretenen Computerviren. Man ging bis vor kurzem nämlich davon aus, daß die von den Computerbetriebssystemen vorgenommenen Verschlüsselungen der Paßwörter mathematisch faktisch nicht zu knacken sind. Fast alle Sicherheitskonzepte bauen deshalb auf folgender Annahme auf: Wer sich selbst ein "gutes" Paßwort vergibt und es nicht verrät, kann sicher sein, daß niemand anders seine EDV-Systeme in Gang setzen, Programme aufrufen oder Datenbestände verändern kann. Weist ein Protokoll aus, daß Frau Müller bzw. Herr Meier eine Abfrage gestartet oder eine Veränderung vorgenommen hat, dann war es diese Person; wer sonst hätte unter der betreffenden (paßwortgesicherten) Kennung arbeiten können?

Diese Konstruktion gerät nun ins Wanken. Seit einiger Zeit sind Programme frei verfügbar, die mit Hilfe großer elektronischer Lexika und geeigneter Entschlüsselungstechnik zu einfach gewählte Paßwörter erkennen. Wessen Paßwort nicht lang und nicht kompliziert genug aufgebaut ist, muß also seit kurzem befürchten, daß andere unter seiner Identität Aktivitäten entfalten, für die er die Verantwortung trägt. Wir haben derartige Programme unter "Laborbedingungen" getestet: In der Zeit von Freitagabend bis Montagmorgen wurden 2 000 von 2 500 "echten" Paßwörtern (also 80 Prozent) entschlüsselt. Als Ergebnis ist festzustellen, daß Paßwörter mit weniger als sechs Zeichen, die nicht neben Buchstaben auch Ziffern und Sonderzeichen enthalten, zu unsicher sind. Es ist zu erwarten, daß in absehbarer Zeit acht Zeichen als Mindestlänge sicherer Paßwörter gelten wird.

Voraussetzung für das Entschlüsseln codierter Paßwörter ist allerdings der Zugriff auf die Systemdatei der verschlüsselten Paßwörter. Diese Befugnis haben faktisch alle Systemadministratoren. Sie werden somit automatisch in den Kreis der Verdächtigen geraten, wenn ein eines Fehlverhaltens verdächtigter Mitarbeiter behauptet, die protokollierten Aktivitäten stammten nicht von ihm (denkbares Szenario: Auf der lokalen Platte eines vernetzten PC, auf die nur ein bestimmter Mitarbeiter Zugriff hat, befinden sich kinderpornographische Daten; die Protokolle weisen aus, daß sie unter seiner Kennung aus dem Internet heruntergeladen worden sind. Niemand wird ihm glauben, daß er die Daten nicht gespeichert hat).
Einige Betriebssysteme gestatteten bisher selbst Systemadministratoren nicht, derartige Aktivitäten manipulativ vorzunehmen. Diese Zeiten sind vorbei. Für viele Betriebssysteme sind Crack-Programme erhältlich. Sie werden daher künftig sogar in den Verdacht geraten können, Dritten die Paßwörter von Vorgesetzten, Mitarbeitern von Personalabteilungen und sonstigen Personen, die vertrauliche Daten zu verarbeiten haben, verraten zu haben. Deshalb müssen sie selbst ein Interesse daran haben, daß Paßwörter so gestaltet werden, daß die jeweils "gängigen" Crack-Programme keine Chance haben. Hierauf haben wir ausführlich in einer Bekanntmachung im Amtsblatt hingewiesen (Amtsblatt 1998, S. 688). Die Veröffentlichung finden Sie auch auf unserer Homepage:

www.datenschutzzentrum.de
(Rubrik: Informationen speziell für Behörden)

Was ist zu tun?
Im Beisein der IT-Verantwortlichen sollten die Systemadministratoren regelmäßig die "Paßwortgüte" durch Einsatz von Crack-Programmen überprüfen. Kompromittierte Paßwörter sind durch die Benutzer sofort zu ändern.

6.3

Warum gibt es keine Verwaltungsinformatiker?

Die personenbezogene Datenverarbeitung in der öffentlichen Verwaltung unterliegt anderen Rechtsregeln als die in der Wirtschaft. Wer hochkomplexe Informations- und Kommunikationstechnik unter diesen spezifischen Bedingungen sicher und ordnungsgemäß einsetzen will, braucht eine fundierte Ausbildung. Trotzdem verzichtet die Verwaltung bislang darauf, ihren Nachwuchs und ihre potentiellen Führungskräfte entsprechend zu schulen.

Das zu Ende gehende dritte und das beginnende vierte Jahrzehnt des Computereinsatzes ist in Wirtschaft und Verwaltung dadurch gekennzeichnet, daß die hochspezialisierten Rechenzentren immer mehr an Bedeutung verlieren und an ihre Stelle eine Vielzahl unternehmens- und behördenspezifische dezentrale IT-Organisationseinheiten treten. Gleichzeitig erweitert sich das Spektrum der durch Informationstechnik unterstützten Arbeitsabläufe. Wurden in den vergangenen Jahren rechenintensive Aufgabenstellungen durch den Computereinsatz rationalisiert, verlagert er sich derzeit hin zum Informations- und Kommunikationsmittel.

Die Anforderungen und Ziele für die nächsten Jahre sind durch Begriffe wie E­Commerce auf der Basis digitaler Signaturen, Workflow-Management im Rahmen nahezu papierloser Verarbeitungsprozesse, individuelle E-Mail-Kommunikation für jedermann über offene, grenzüberschreitende Netze bei gleichzeitiger Gewährleistung der Vertraulichkeit durch allgemein verfügbare Verschlüsselungsverfahren, Data-Warehousing zur Optimierung der Datennutzung und zur Servicesteigerung gegenüber den Kunden gekennzeichnet (vgl. Tz. 7). Speziell in der öffentlichen Verwaltung spricht man von interaktiven Verwaltungsverfahren über öffentliche Netze, von einer transparenteren Verwaltung durch einen allgemeinen Informationszugang und von Verwaltung als Angebot von Produkten und Dienstleistungen.

Die Applikationen werden zunehmend anspruchsvoller, die Technik komplexer und die Anforderungen an die Verfügbarkeit der Systeme, die Integrität der Verfahren und die Vertraulichkeit der Datenbestände höher.

Die Leistungen dieser Systeme nutzbringend in Anspruch zu nehmen ist die eine Seite, sie zu gestalten und zu beherrschen eine andere. Dies hat die Wirtschaft nicht zuletzt auch aufgrund von Mißerfolgen und den damit verbundenen Imageverlusten sowie Umsatz- und Gewinneinbußen sehr schnell erkannt. Wer den aktuellen Stellenmarkt in den Tageszeitungen studiert, stellt fest, daß die Berufsbilder sich ständig verändern. Wer sucht heute noch "schlichte" Programmierer, Operatoren oder ganz allgemein EDV-Fachleute? Gebraucht werden Entwicklungsprojektleiter, Systemingenieure, Netz- und Systemadministratoren, Datenbankmanager, Objekt-Designer, Systemanalytiker, Organisationsprogrammierer usw. mit jeweils branchenspezifischen Kenntnissen. Dem haben sich die Universitäten und Hochschulen mit ihrem Ausbildungsangebot angepaßt. Wirtschaftsingenieurwesen, theoretische und angewandte Informatik, Wirtschaftsinformatik, Betriebswirtschaft mit Schwerpunkt DV, Kommunikationselektronik usw. sind Studiengänge, die vor wenigen Jahren noch nicht bekannt waren.

Diese Ausdifferenzierung scheint es in der Verwaltung nicht zu geben. Die Universitäten sahen sich bisher nicht veranlaßt, das Jurastudium, das in den meisten Verwaltungsbereichen Voraussetzung für die Übernahme von Managementpositionen ist, um die Komponente "Informatik" zu ergänzen. Desgleichen bilden die Verwaltungsfachhochschulen keine Verwaltungsinformatiker aus. Selbst diejenigen Absolventen der schleswig-holsteinischen Verwaltungsfachhochschule, die alle Lehrangebote in Richtung Informatik in Anspruch nehmen, erhalten nicht das erforderliche Rüstzeug, um die Verantwortung für die Konzipierung der IT-Systeme z. B. einer Kreisverwaltung übernehmen zu können. Nahezu alle kleineren und mittleren Organisationseinheiten, mit denen wir im Rahmen unserer Prüfungen Kontakt hatten oder in denen wir beratend tätig wurden, beklagen diesen Mangel. Die Folgen sind fatal. Mit großem Aufwand erhalten Informatiker eine verwaltungsrechtliche oder Verwaltungsspezialisten eine informationstechnische Nachschulung. Da dies in der Regel als "Training on the Job" geschieht, erzeugt man, es mag überzogen klingen, in beiden Fällen partielle Autodidakten. Das dürfte auf der sachbearbeitenden Ebene noch einige Zeit hinnehmbar sein. Eine systematische Ausbildung ist aber für Mitarbeiter, die Führungsverantwortung übernehmen sollen, unverzichtbar.
Aus dem IT-Gesamtplan der Landesregierung ergibt sich, daß allein das Land jährlich circa 120 Millionen DM in IT-Maßnahmen investiert und über 380 Mitarbeiter mit der Entwicklung und Pflege von Software sowie mit der Administration der technischen Systeme betraut hat. Ein etwa gleichgroßes Volumen dürfte für den Bereich der Kommunen und der sonstigen öffentlichen Stellen im Lande anzusetzen sein. Es ist für die Gewährleistung der Sicherheit und Ordnungsmäßigkeit einer personenbezogenen Datenverarbeitung dieser Größenordnung und "Sensibilität" unabdingbar, daß das Management und die Administration in den Händen speziell und systematisch ausgebildeter Mitarbeiterinnen und Mitarbeiter liegt. Denn offenbar können nur auf diesem Wege die auch in diesem Jahr wieder festgestellten datenschutzrechtlichen Unzulänglichkeiten und Defizite (vgl. z. B. Tz. 6.7) behoben werden. Wir haben erste Kontakte mit der Verwaltungsfachhochschule aufgenommen; die entscheidende Initiative wird jedoch von den Behörden kommen müssen.

Was ist zu tun?
Man sollte alle Beteiligten und Interessierten zu einem "runden Tisch" einladen und Schleswig-Holstein auch auf diesem Gebiet zu einem Vorreiter auf dem Weg in die Informations- und Kommunikationsgesellschaft werden lassen.

6.4

Innenministerium läßt sich bezüglich der Gestaltung seiner IT-Services beraten

Auf dem Gebiet der Informations- und Kommunikationstechnik wird der Innenminister mehr und mehr zur Servicestelle für die anderen Ressorts. Die damit verbundenen Zuständigkeits- und Verantwortungsverlagerungen dürfen nicht zu Sicherheitslücken führen. Das Innenministerium läßt sich neuerdings von uns beraten.

In den letzten beiden Tätigkeitsberichten (vgl. 19. TB, Tz. 7.9; 20. TB, Tz. 6.7.6) haben wir darüber berichtet, welche unterschiedlichen Auffassungen zwischen dem Innenministerium und uns bezüglich der datenschutzrechtlichen Bewertung des CAMPUS-Netzes bestanden haben. Da sich in den vergangenen Jahren immer mehr bestätigt hat, daß das Innenministerium den anderen Ressorts nicht nur Leitungswege zur Verfügung stellt, sondern ihnen gegenüber mit steigender Tendenz auch sehr spezifische Dienstleistungen erbringt, haben wir keinen Anlaß gesehen, von unserer Forderung nach einer uneingeschränkten Anwendung der Sicherheits- und Ordnungsmäßigkeitskriterien der Datenschutzverordnung abzugehen.

Dieser Sicht hat sich der Innenminister nunmehr angeschlossen und uns gebeten, ihn bei der Neugestaltung der Zusammenarbeit der Ressorts auf dem Gebiet der Informationsverarbeitung und der Kommunikation über Netze beratend zu unterstützen. Wir haben eine Arbeitsgruppe aus Mitarbeitern beider Häuser gebildet, die ihre Tätigkeit Ende 1998 aufgenommen hat. Welches Pensum vor ihr liegt, mögen zwei Zahlen verdeutlichen: Der Arbeits- und Terminplan umfaßt insgesamt circa 80 Positionen, an circa 50 Aktivitäten werden wir beteiligt sein. Ein Abschluß des Projektes wird nicht vor Mitte 1999 zu erwarten sein.

Einen unserer wesentlichen Kritikpunkte am CAMPUS-Netz hat der Innenminister zwischenzeitlich aufgegriffen. Die von der Datenzentrale als externem Dienstleister konzipierte und betriebene Schnittstelle zum Internet (die sogenannte Firewall) ist inzwischen von unabhängigen Dritten getestet worden. Das Gutachten ist uns kurz vor Redaktionsschluß dieses Berichtes zugegangen. Wir werden es analysieren und die Ergebnisse in die Sicherheitsüberlegungen einfließen lassen.

6.5

Noch keine konkreten Fortschritte beim Schleswig-Holstein-Netz der Datenzentrale

Als die Datenzentrale ihren Rechenzentrumsbetrieb in Altenholz aufnahm, hat sie ihre Kunden und Besucher selbstverständlich eingehend über ihre Arbeit und die getroffenen Sicherheitsmaßnahmen informiert. Es ist nicht nachzuvollziehen, warum sie in ihrer neuen Rolle als Kommunikationsdienstleister (Provider) so wenig auf Transparenz und Sicherheit bedacht ist.

Seit drei Jahren üben wir Kritik an den vertraglichen Vereinbarungen zwischen der Datenzentrale und ihren Kunden, soweit sie das Schleswig-Holstein-Netz zur Kommunikation untereinander, mit dem Rechenzentrum der Datenzentrale oder mit dem Internet benutzen. Außerdem sind unseres Erachtens von der Datenzentrale die Bestimmungen der Datenschutzverordnung über den Test, die Freigabe und die Dokumentation dieser Systeme nicht hinreichend beachtet worden (vgl. 19. TB, Tz. 7.8; 20. TB, Tz. 6.7.7).

Im Verlaufe des Jahres sind zwar wieder mehrere Gespräche geführt worden; konkrete Fortschritte hat es aber nicht gegeben. Allerdings konnte in einem "Chefgespräch" am Jahresende vereinbart werden, daß von einer "Task Force", bestehend aus dem Datenschutzbeauftragten der Datenzentrale und einem Mitarbeiter unserer Dienststelle, detaillierte Lösungsvorschläge erarbeitet und Zeitpläne aufgestellt werden, deren Umsetzung vom Vorstand der Datenzentrale direkt überwacht werden soll. Es ist zu hoffen, daß im nächsten Tätigkeitsbericht von einem positiven Abschluß der Arbeiten gesprochen werden kann.

6.6

Datensicherheit à la EU - wenn es ums Geld geht II

Wenn es ums Geld geht, wird auch für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung viel getan. Die EU hat der Landwirtschaftsverwaltung drastische Sicherheitsvorschriften verordnet. Die Behörden setzen sie klaglos um, weil sie sonst viele Subventionen verlieren können. Den Datenschützern soll es recht sein.

Im letzten Jahr (vgl. 20. TB, Tz. 6.7.2) haben wir anhand der Test- und Freigabeprozedur des Landesbesoldungsamtes dargestellt, daß Behörden sehr wohl in der Lage sind, ihre automatisierten Verfahren zur personenbezogenen Datenverarbeitung sicher zu gestalten. Sie brauchen lediglich die richtige Motivation. Im Hinblick auf die hohen Geldbeträge, die im Rahmen der Berechnung und "Zahlbarmachung" der Gehälter, Löhne, Versorgungs- und Beihilfeleistungen monatlich bewegt werden, ist es für das Landesbesoldungsamt eine Selbstverständlichkeit, alle Änderungen an den Berechnungsprogrammen sorgfältig zu prüfen, bevor man in die Produktion geht. Auch die Arbeit der Datenzentrale, die als externer Dienstleister unterstützend tätig ist, wird penibel überwacht. Die datenschutzrechtlichen Anforderungen, die man anderenorts als völlig überzogen ansieht, werden hier "mit links" erfüllt, weil es eben ums Geld geht.

Wie die Motivlage sich gleicht: Weil es auch bei der Verteilung der EU-Mittel des gemeinsamen Agrarmarktes um viele Milliarden Euro geht, hat die Generaldirektion VI der Europäischen Kommission den sogenannten Zahlstellen (in Schleswig-Holstein ist Zahlstelle das Ministerium für ländliche Räume, Landwirtschaft, Ernährung und Tourismus) ein Sicherheitskonzept auferlegt, das jedem Datenschutzlehrbuch zur Ehre gereichen würde. Wenn eine Zahlstelle dieses Sicherheitskonzept nicht realisiert, muß sie bei eventuellen Fehlern oder Versäumnissen ohne nähere Prüfung der Ursachen zuviel ausgezahlte Beträge an die EU zurückzahlen. Ein Abweichen vom vorgeschriebenen Sicherheitsstandard wird als "schuldhaftes" Handeln angesehen. Dieser Standard hat es in sich. Ein Auszug:

  • Die EDV-Strategie ist von der Behördenleitung zu entwickeln, zu aktualisieren, zu genehmigen und zu lenken.

  • Auf dieser Basis sind die Standards und Verfahren festzulegen.

  • Die Datensicherheitsstatistik hat zu gewährleisten, daß die Informationen in bezug auf Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit eingeordnet werden.

  • Das Management hat für eine angemessene funktionale Abgrenzung zwischen den EDV- und den Anwenderbereichen zu sorgen.

  • Eine unabhängige interne Prüfstelle muß eine ausreichende Fachkompetenz und Authorität besitzen, um EDV-Kontrollen durchzuführen, zu dokumentieren und Verbesserungsvorschläge zu machen.

  • Dezidierte Anforderungen werden an die Zutritts- und Zugriffssicherungen, die Systementwicklung, Programmierung und Wartung, die Produktionsumgebung, die Datenfernübertragung und die Notfallvorsorge gestellt.

Das IT-Referat des Landwirtschaftsministeriums hat zur Umsetzung dieser Anforderungen eine Projektgruppe gebildet und läßt sich von uns beraten. Dabei erwies sich der durch die EU-Vorschriften ausgelöste Schock als heilsam. Bekannte Schwachstellen, deren Behebung unter dem Druck des Tagesgeschäftes bisher immer wieder verschoben worden waren, werden wohl nun endlich ausgemerzt - weil es eben ums Geld geht.

6.7

Kontrollen im Bereich der automatisierten Datenverarbeitung

6.7.1

Hier ist ein Computer - nun nutzt ihn mal schön!

Die Sicherheitsmaßnahmen für Informations- und Kommunikationssysteme, mit denen Sozialdaten verarbeitet werden, müssen besonders wirksam sein. Wer ein Netzwerk mit mehr als 2 500 Arbeitsplätzen in die "Produktion" gehen läßt, ohne ein präzises technisches und organisatorisches Regelwerk wirksam werden zu lassen, handelt fahrlässig.

Neben den unter Textziffer 4.7.2 dargestellten Mängeln in bezug auf die Wahrung des Sozialgeheimnisses wurden im Rahmen der Querschnittsprüfung bei der AOK Schleswig-Holstein auch erhebliche Sicherheitsdefizite beim Einsatz der Computersysteme festgestellt.

Die Ausgangslage glich der in der "papierenen Welt". Im Oktober 1996 hat die Direktionsabteilung "Organisationsentwicklung" vom Vorstand der AOK per Dienstanweisung den Auftrag erhalten, den Umgang mit den PC in einer speziellen PC-Dienstanweisung zu regeln. Bis zum September 1998, also im Verlaufe von zwei Jahren, ist jedoch diesbezüglich nichts geschehen. Es gab zum Zeitpunkt der Prüfung weder schriftliche Anweisungen noch Standards, obwohl zwischenzeitlich circa 2 500 Arbeitsplätze mit vernetzten PC ausgerüstet worden waren. Dementsprechend fanden wir zum Beispiel folgende Gegebenheiten vor:

  • Alle Arbeitsplatzrechner waren mit einer umfassenden Bürokommunikationssoftware ausgestattet. Nahezu allen Mitarbeitern standen damit die Funktionalitäten "Textbearbeitung", "Präsentationsgrafik", "Tabellenkalkulation", "Datenbankgenerator" und "Mail-System" zur Verfügung. Ihnen waren jedoch keine Weisungen erteilt worden, zu welchen Zwecken die umfangreichen Softwarepakete benutzt werden sollten. Es konnte zum Beispiel nicht geklärt werden, aus welchen Gründen an allen Arbeitsplätzen ein Datenbankgenerator verfügbar sein mußte.

  • Eine systematische und umfassende Schulung zur Benutzung der Softwarepakete war nicht durchgeführt worden. Auch den Vorgesetzten war der Sinn und Zweck der Installation nicht nahegebracht worden.

  • Faktisch konnte jeder Mitarbeiter mit den Programmen verfahren, wie er es für richtig hielt. Kontrollmöglichkeiten durch Vorgesetzte bestanden nicht.

  • Einige Geschäftsstellenleiter gingen davon aus, daß mit Hilfe des Mail-Systems keine Sozialdaten übermittelt würden, sicher war man sich aber nicht. Bei Stichproben sind tatsächlich personenbezogene Sozialdaten gefunden worden. Wie derartige Dokumente gegen unbefugte Zugriffe zu schützen sind und wie zu gewährleisten ist, daß sie ihren Niederschlag in den betreffenden Vorgängen finden, war nicht geregelt.

  • Die EDV-Sachbearbeiter in den Geschäftsstellen haben keine aufgabenspezifische Schulung erhalten. Das gleiche gilt für die Datenschutzverantwortlichen in den einzelnen Geschäftsstellen. Beiden Mitarbeitergruppen stellte sich nach dem im Rahmen der Prüfung gewonnenen Eindruck das Gesamtsystem als eine "Black Box" dar.

  • Ein Zugriffskonzept und eine für Dritte nachvollziehbare Darstellung der technisch realisierten Zugriffsberechtigungen auf die zentralen Verfahren (vgl. Tz. 4.7.2) konnten nicht vorgelegt werden. Mehrfach wurde von den Verantwortlichen eingeräumt, daß dies ein seit langem bekannter Mangel sei. Es sei nicht zu bestreiten, daß viele Zugriffsberechtigungen zu weitgehend seien.

  • Weiterhin fehlten Regelungen zur Löschung von Datenbeständen, die mit Hilfe der Bürokommunikationssoftware erstellt worden waren. Die Mitarbeiter entschieden selbst, wie lange welche Daten gespeichert blieben. Vorgesetzte hatten faktisch keine Möglichkeit, die Speicherdauer zu kontrollieren, da sie hierfür die Kennung der Mitarbeiter hätten benutzen müssen.

  • Sicherheitskonzepte, Verfahrensdokumentationen sowie Test- und Freigabeunterlagen konnten weder von der zuständigen Abteilung der Direktion noch von einer der Geschäftsstellen vorgelegt werden.

  • Dateibeschreibungen sind nur für die Datenbestände, die im Rahmen der zentralen Verfahren geführt werden, erstellt worden, nicht für Datenbestände, die mit Hilfe der Bürokommunikationssoftware aufgebaut worden sind.

  • Geräteverzeichnisse gemäß den Anforderungen des Landesdatenschutzgesetzes konnten nicht vorgelegt werden.

Die von uns beanstandeten Defizite waren dem Vorstand aufgrund der Berichte der eigenen Sozialdatenschutzbeauftragten bekannt. Für Abhilfe war nicht gesorgt worden, so daß wir hierüber das Ministerium für Arbeit, Gesundheit und Soziales als die zuständige Aufsichtsbehörde unterrichtet haben. Unsere Beanstandungen hat die AOK ausnahmslos als berechtigt akzeptiert. Sie beabsichtigt, sie im Rahmen der unter Textziffer 4.7.2 dargestellten Vorgehensweise zu beheben. Ein Abschluß der Arbeiten soll ebenfalls bis Ende September 1999 erreicht sein.

Was ist zu tun?
Die AOK wird ein neues Grundverständnis für den Technikeinsatz im Sozialleistungsbereich entwickeln müssen. Die Verantwortlichen werden die Maxime "Was nicht genehmigt ist, darf auch nicht möglich sein" technisch und organisatorisch umsetzen müssen.

6.7.2

Wer trägt die Verantwortung für den Computereinsatz in den Finanzämtern?

Das weitgehend automatisiert ablaufende Besteuerungsverfahren verlagert sich schrittweise von der "Rechenzentrale" in der Oberfinanzdirektion zurück in die Finanzämter. Die damit verbundenen Schnittstellen- und Sicherheitsprobleme sind bisher unzureichend gelöst worden.

Bis vor wenigen Jahren wurden die 20 Finanzämter im Lande in informationstechnischer Hinsicht von der Oberfinanzdirektion quasi am Gängelband geführt. Ihre gesamte Hardware- und Softwareausstattung wurde zentral von Kiel aus verwaltet. Die Vorsteher der Finanzämter hatten nur dafür zu sorgen, daß ihre Steuerfachleute das notwendige EDV-Wissen hatten, um auf den Vordrucken bzw. Bildschirmmasken die richtigen Werte in die richtigen Kästchen zu übertragen. Alle Aspekte der Sicherheit und Ordnungsmäßigkeit der sich an die Erfassung anschließenden automatisierten Verarbeitung der Daten waren von den hierfür zuständigen Referaten in der Oberfinanzdirektion mit insgesamt mehr als 150 Mitarbeitern zu lösen.

Diese sehr einfache Organisationsstruktur hat sich zwischenzeitlich entscheidend geändert. In dem Maße, wie die Verarbeitungsprozesse aus der "Rechenzentrale" in die Finanzämter zurückverlagert wurden, mußten ihnen auch eigene Zuständigkeiten übertragen werden. Wie sich in der bereits unter Textziffer 4.10.4 angesprochenen sicherheitstechnischen Überprüfung eines Finanzamtes zeigte, ist die Synchronisation der Schnittstellen zwischen den Verantwortungsbereichen der Finanzämter und denen der Oberfinanzdirektion bisher noch nicht so gelungen, wie es im Hinblick auf die Sensibilität der verarbeiteten Daten als erforderlich und angemessen anzusehen wäre.

Zunächst muß man sich die Größenordnungen vor Augen führen. In dem betreffenden Finanzamt waren fünf Rechnersysteme mit insgesamt sieben Betriebssystemen bzw. betriebssystemähnlichen Komponenten installiert. Circa 190 Arbeitsplatzsysteme waren direkt mit den Zentralrechnern in der Oberfinanzdirektion bzw. in der Datenzentrale verbunden. Über 100 weitere Arbeitsplatzrechner (PC) waren mit den Rechnersystemen im Finanzamt vernetzt. Circa 80 Mitarbeiter benutzten für ihre Arbeit Einzelplatzsysteme, teilweise in der Form von Notebooks im Außendienst.

Für den reibungslosen Ablauf der automatisierten Datenverarbeitung im Finanzamt waren vier Personen zuständig. Die wesentlichen Administrationsfunktionen wurden allerdings von Mitarbeitern der Oberfinanzdirektion gelegentlich vor Ort, in der Regel jedoch im Wege der Fernwartung durchgeführt. Hierbei waren folgende Schwachstellen zu beanstanden:

  • In der Oberfinanzdirektion erfolgte die Administration durch 16 Mitarbeiter, die alle die gleiche Benutzerkennung und das gleiche Paßwort benutzten. Alle verfügten über einen uneingeschränkten Zugriff auf die IT-Systeme und Dateien in den Finanzämtern. Diese Verfahrensweise muß unter Sicherheitsaspekten als "riskant" eingestuft werden. Ein Gruppenpaßwort ist nach allen Erfahrungen nicht lange geheimzuhalten. Außerdem kann nicht protokolliert werden, welche Aktivitäten von welchem Mitarbeiter zu verantworten sind.

  • Daneben war noch eine größere Anzahl von sogenannten File-Administratoren tätig. Eine Dokumentation über deren Befugnisse und Zugriffsberechtigungen konnte nicht vorgelegt werden.

  • Die Administration der IT-Systeme des Finanzamtes durch Mitarbeiter der Oberfinanzdirektion wurde nicht protokolliert und systematisch überwacht. Das Finanzamt war in der Regel über die Aktivitäten nicht informiert. Eine unbefugte Kenntnisnahme von Steuer- oder Personaldaten durch Administratoren wäre also nicht nachzuvollziehen gewesen.

  • Den Mitarbeitern des Finanzamtes war es gestattet, Datenbestände anzulegen, auf die die Vorgesetzten keine unmittelbaren Zugriffsmöglichkeiten hatten. Welche Steuer- oder Personaldaten in diesen Dateien wie lange gespeichert wurden, hätten die Sachgebietsleiter nur im Beisein der Mitarbeiter überprüfen können. Deshalb ist auf derartige Kontrollen bislang verzichtet worden. In die papierene Welt übertragen, würde dieser Zustand dem Führen von "schwarzen" Akten entsprechen.

  • Die Zugriffsberechtigungen für die Mitarbeiter des Finanzamtes wurden zentral von der Oberfinanzdirektion vergeben. Eine Dokumentation der Rechtevergabe konnte vom Finanzamt nicht vorgelegt werden. Die Verantwortlichen im Finanzamt konnten mithin nicht überprüfen, ob die von ihnen gewollten Befugnisse bzw. Beschränkungen auch tatsächlich realisiert worden sind.

Aufgrund der bereichsspezifischen Regelungen im Finanzverwaltungsgesetz ist die Steuerverwaltung recht frei in der Entscheidung, wo sie die Zuständigkeitsgrenzen zwischen den Finanzämtern und der Oberfinanzdirektion zieht. Dies darf aber nicht dazu führen, daß die Verantwortlichkeiten für die Handhabung der technischen Systeme und für die Wahrung des Steuergeheimnisses in den einzelnen Datenverarbeitungsabschnitten verschwimmen. Das Finanzamt hat - wie zu erwarten - darauf verwiesen, daß diese Probleme in die Zuständigkeit der Oberfinanzdirektion fallen. Diese hat unseren Beanstandungen nicht widersprochen und eine Behebung der Mängel zugesagt. Konkrete Ergebnisse lagen bis zum Ende des Berichtszeitraumes noch nicht vor. Es besteht die Absicht, sich von uns beraten zu lassen.

Was ist zu tun?
Die Dezentralisierung der Verarbeitungsprozesse in der Steuerverwaltung muß von aufbau- und ablauforganisatorischen Maßnahmen begleitet werden, die die Sicherheit und Ordnungsmäßigkeit gewährleisten und die jeweiligen Verantwortlichkeiten transparent machen.

6.7.3

Computer im Krankenhaus - keiner weiß, wo es lang geht

Von den Verantwortlichen eines großen Krankenhauses muß man ein besonderes Sicherheitsbewußtsein und Durchsetzungsvermögen bei der Umsetzung der gesetzlichen Vorschriften erwarten. Ein weiteres Mal hat eine Prüfung gezeigt, daß zwischen den berechtigten Ansprüchen der Patienten und den konkreten Maßnahmen der Ärzte und Verwaltungschefs große Lücken klaffen.

Wer sich in ein Krankenhaus begibt, ist in der Regel mit so vielen Sorgen um seine Gesundheit belastet, daß er bei seinen Gesprächen mit den Mitarbeitern der Krankenhausverwaltung, den Schwestern und Pflegern, den Ärzten usw. nicht mit erhöhter Aufmerksamkeit darauf achtet, daß sein informationelles Selbstbestimmungsrecht bei der Verarbeitung seiner höchst sensiblen personenbezogenen Daten gewahrt wird. Mit Recht wird er davon ausgehen, daß das Krankenhaus nicht nur alles tut, um ihm eine optimale Behandlung angedeihen zu lassen, sondern die dabei anfallenden Informationen auch höchst sorgsam und vertraulich behandelt. Die Wahrung des Patientengeheimnisses gehört zu den Qualitätsstandards, die bei einem guten Krankenhaus vorausgesetzt werden können.

Damit diesem Anspruch in der Praxis Rechnung getragen wird, richten wir seit Jahren unser Augenmerk in besonderem Maße auf die personenbezogene Datenverarbeitung in Krankenhäusern (vgl. z. B. 16. TB, Tz. 6.6.4; 17. TB, Tz. 6.2.2; 18. TB, Tz. 4.8.3; 19. TB, Tz. 6.6.2; 20. TB, Tz. 4.8.1 und Tz. 6.7.1).

Bei all diesen Prüfungen haben wir feststellen müssen, daß es mit der Sorgfalt beim Umgang mit den Patientendaten nicht zum Besten bestellt ist. Das gilt nicht nur für die "papierene Welt" der Patientenakten, sondern besonders auch für den Computereinsatz. Das Städtische Krankenhaus in Kiel machte hiervon keine Ausnahme. Das Krankenaktenarchiv war zwar straffer organisiert, als wir es in anderen Krankenhäusern angetroffen haben, aber die Unzulänglichkeiten in bezug auf die Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung müßten aber jedem Patienten die Zornesröte ins Gesicht steigen lassen. Einige von uns beanstandete Sachverhalte mögen dies verdeutlichen:

  • Konzepte für die Gestaltung der automatisierten Patientendatenverarbeitung, Sicherheitskonzepte, Dienstanweisungen für die Administratoren und die Benutzer usw. lagen nicht vor.

  • Es fehlte eine Dokumentation über die Zugriffsrechte der einzelnen Mitarbeiter. Die Rechte wurden von den EDV-Stellen vergeben, ohne daß die Fachabteilungen beteiligt waren.

  • Die vielfältigen Verfahren waren nicht so dokumentiert, daß sie für außenstehende Fachleute nachvollziehbar waren.

  • Die Arbeiten der Systemadministratoren wurden nicht protokolliert.

  • Die Befugnisse externer Fernwartungsunternehmen waren nicht vertraglich geregelt, ihre Arbeiten wurden nicht hinreichend überwacht.

  • Alle Arztbriefe, Befundberichte usw. wurden in Form von Textdokumenten seit Jahren außerhalb der Patientenakten elektronisch gespeichert. Dies geschah nicht, um den Ärzten die Anamnese zu erleichtern, sondern um für den Fall, daß in den nächsten Jahren digitale Patientenakten eingeführt würden, einen Ausgangsbestand zu besitzen. Über Zuordnungs-, Aktualitäts- und Richtigkeitsprobleme machte man sich aber keine Gedanken. Wenn sie auch nicht auf alle Datensätze zugreifen konnten, so verfügten die Mitarbeiterinnen und Mitarbeiter des ärztlichen Schreibdienstes doch auf diese Weise über den umfassendsten Überblick über die Patientendaten im ganzen Krankenhaus. Es ist zu hoffen, daß ihr Pflichtbewußtsein sie daran gehindert hat, von ihren Zugriffsmöglichkeiten Gebrauch zu machen.

  • "Selbstverständlich" konnten die meisten Mitarbeiter auf ihren PC eigene Datenbestände anlegen, auf die die leitenden Ärzte, Vorgesetzte usw. keinen Zugriff hatten. Auch hier macht ein Vergleich mit der papierenen Welt die Brisanz deutlich: Wer würde einem ärztlichen Mitarbeiter die Führung "schwarzer" Patientenkarteien gestatten?

  • Obwohl man einen absoluten Diebstahlschutz für PC in einem so großen Krankenhausbetrieb nicht realisieren kann, wurden bei vielen PC personenbezogene Daten auf der lokalen Festplatte abgelegt. Sein schlechtes Gewissen wegen dieses Sicherheitsrisikos beruhigte ein Mitarbeiter dadurch, daß er seinen PC mit einem Stahlseil am Heizungsrohr angekettet hatte, seitdem nebenan zwei PC gestohlen worden waren.

Die Sicherheitsproblematik wird dadurch gesteigert, daß von verschiedenen Abteilungen in eigener Verantwortung praktisch vier voneinander unabhängige Informationssysteme entwickelt und betrieben werden. Es sind dies die Verwaltung, das Zentrallabor, die Radiologie und die II. Medizinische Klinik, die durch ein unklares Vertragsverhältnis zwischen der Stadt Kiel und der Christian-Albrechts-Universität zu Kiel in das Städtische Krankenhaus "eingebettet" ist. Eine Koordination dieser vier Datenverarbeitungsinseln besteht nicht. Die daraus resultierenden Defizite werden von den Fachbereichen durchaus gesehen. Dies wird exemplarisch aus den nachfolgenden Aussagen des Direktors der II. Medizinischen Klinik deutlich (Zitate):

  • Fast alle Beanstandungen beruhen auf tatsächlichen Defiziten im IT-Bereich der Abteilung. Die angemahnten Veränderungen erscheinen im Interesse einer optimalen Datensicherheit berechtigt.

  • Warum die Arztbriefschreibung in der II. Medizinischen Klinik in einem gesonderten Verfahren abläuft, ist auch uns nicht klar.

  • Die PC der Mitarbeiter sind "frei" nutzbar, weil sie aus Mitteln für Forschungszwecke beschafft worden sind und auch hierfür genutzt werden.

  • Eine sachgerechte Regelung der IT-Aufgaben ist mit den zur Zeit vorhandenen Mitarbeitern schon allein aufgrund der fehlenden Qualifikation nicht möglich. Der Umfang der durchzuführenden Maßnahmen zur Datensicherheit setzt zusätzliches Personal voraus.

  • Die Protokollierung der Aktivitäten der Systembetreuer kann mit dem vorhandenen Personal nicht gewährleistet werden.

  • Die Entwicklung eines an den Bedürfnissen der Klinik orientierten IT-Konzeptes wird als dringend erforderlich angesehen, um eine hinreichende Datensicherheit zu gewährleisten.

  • Die Einhaltung der datenschutzrechtlichen Bestimmungen im Klinikbereich fällt eindeutig in den Verantwortungsbereich der Ärzte. Die Situation stellt sich so dar, daß zwar die Verpflichtung zur Erteilung entsprechender Anordnungen eindeutig gegeben ist, jedoch niemand vorhanden ist, der diese Anordnungen ausführen kann, da entsprechend qualifiziertes Personal lediglich im Bereich der Klinikverwaltung vorhanden ist. Wir sehen in dieser Situation ein Dilemma, das keiner einfachen Lösung zugänglich ist.

Die Stadt Kiel als verantwortlicher Träger des Krankenhauses hat uns diese Ausführungen kommentarlos übersandt. Offenbar teilt sie diese Auffassungen. Unserer Kritik an den Verhältnissen in den anderen Bereichen des Städtischen Krankenhauses hat sie ebenfalls nicht widersprochen und darauf verwiesen, daß der Gesamtkomplex der personenbezogenen Informationsverarbeitung in den nächsten Jahren neu gestaltet werden soll. Hierbei will sie sich durch uns beraten lassen. Als Termin für erste Gespräche ist uns das 1. Halbjahr 1999 genannt worden.

Was ist zu tun?
Die Stadt Kiel muß die personenbezogene Datenverarbeitung in ihrem Krankenhaus dringend "auf Vordermann" bringen. Nicht die "Bauchschmerzen" der Mitarbeiter und Manager des Krankenhauses, sondern die der Patienten, d. h. ihr Interesse an der Wahrung des Patientengeheimnisses, müssen das Handeln bestimmen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel