23. Tätigkeitsbericht (2001)


7

Systemdatenschutz

7.1

Sicherheits- und Ordnungsmäßigkeitsregelungen im neuen Datenschutzrecht

Die über 20 Jahre alten Datensicherheitsvorschriften sind durch die Neuregelungen im LDSG 2000 und in der Datenschutzverordnung (DSVO) "ad acta" gelegt worden. Das neue Datensicherheitsrecht schafft für die Daten verarbeitenden Stellen konkretere und der aktuellen technischen Situation angepasste Rahmenbedingungen. Das Echo der Datenverarbeiter hierauf ist durchweg positiv.

Die Bestimmungen zu den "technischen und organisatorischen Maßnahmen" des bis 2000 geltenden Landesdatenschutzgesetzes sind in ihrer Grundstruktur bereits Anfang der 70er-Jahre entwickelt worden. Die damaligen Überlegungen wurden als die "10 Gebote zur Datensicherheit" erstmals im Bundesdatenschutzgesetz von 1977 als Rechtsnormen formuliert und sind 1978 nahezu unverändert in das schleswig-holsteinische Datenschutzrecht übernommen worden. Sie reflektierten die Sicherheitsprobleme bei der automatisierten Datenverarbeitung in zentralisierten Großrechenzentren und waren recht abstrakt formuliert. Zudem gab es zwischen den einzelnen "Sicherheitsgeboten" Abgrenzungs- und Überschneidungsprobleme, sodass ihre Zielrichtung vielfach nur durch umfangreiche Kommentierungen und anhand von Beispielen deutlich gemacht werden konnte. Dabei zeigte sich zunehmend das Problem, dass die heutigen informationstechnischen Systeme und automatisierten Verfahrensabläufe ganz andere Sicherheitsanforderungen stellen als die vor 30 Jahren.

Eine Reorganisation des Datensicherheitsrechts war mithin seit langem überfällig und ist in den §§ 5 bis 7 LDSG 2000 und den §§ 3 bis 8 der DSVO vollzogen worden. Aus diesen neuen Regelungen zum Systemdatenschutz lassen sich die folgenden konkreten Grundforderungen ableiten:

  • Für jedes automatisierte Verfahren sind seine Zweckbestimmung und die Rechtsgrundlagen für Datenverarbeitung festzulegen, damit zweckwidrige und rechtlich bedenkliche Nutzungen erkennbar werden.

  • In Sicherheitskonzepten ist unter Berücksichtigung der tatsächlichen personellen und organisatorischen Gegebenheiten für jedes Verfahren zu beschreiben, wie Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, verwehrt werden soll, wie verhindert werden soll, dass personenbezogene Daten unbefugt verarbeitet oder Unbefugten zur Kenntnis gelangen können, und wie gewährleistet wird, dass die Daten verarbeitenden Personen, der Zeitpunkt und der Umfang der Datenverarbeitung festgestellt werden können.

  • Die Nutzung von informationstechnischen Systemen darf erst ermöglicht werden, nachdem die betreffenden Benutzer ihre Berechtigung hierzu nachgewiesen haben (in der Regel erfolgt die Authentifizierung durch ein Passwort).

  • Das Recht, Veränderungen auf der Betriebssystemebene der informationstechnischen Systeme vorzunehmen (Systemadministration), darf nur wenigen Personen eingeräumt werden. Ihre Aktivitäten sind zu protokollieren und zu kontrollieren.

  • Datenbestände, die auf Datenträgern von informationstechnischen Systemen gespeichert sind, die außerhalb des gesicherten Bereiches einer Daten verarbeitenden Stelle, z. B. im Rahmen von Telearbeit oder beim Außendienst, eingesetzt werden, müssen verschlüsselt werden (Schadensbegrenzung bei Diebstahl).

  • Werden Datenbestände ausschließlich in automatisierten Dateien gespeichert, so sind die Bestandsveränderungen und die veranlassenden Personen/Stellen (in Ermangelung papierener Unterlagen) in den Dateien selbst umfassend zu protokollieren.

  • Die in einer Daten verarbeitenden Stelle eingesetzten automatisierten Verfahren sowie die Hard- und Softwarekomponenten sind in Verfahrens-, Geräte- und Softwareverzeichnissen zu registrieren, damit "illegale" Komponenten erkannt werden können (was nicht registriert ist, muss deaktiviert werden).

  • Es ist zu protokollieren, welchen Personen von wann bis wann welche Nutzungsrechte an welchen Hard- und Softwarekomponenten tatsächlich gewährt worden sind, um einen nachträglichen Abgleich mit den entsprechenden Vorgaben der Verantwortlichen zu ermöglichen.

  • Die automatisierten Verfahren sind vor ihrem "Echteinsatz" zu testen und von der Leitung der Daten verarbeitenden Stelle zum Einsatz freizugeben. Um dies zu ermöglichen, sind sie so zu dokumentieren, dass ihre Funktionsweise für sachkundige Personen in angemessener Zeit nachvollziehbar ist.

  • Während des "Echteinsatzes" der automatisierten Verfahren ist laufend zu überwachen, ob die mit der Freigabe verbundenen Weisungen der Leitung der Daten verarbeitenden Stelle zur ordnungsgemäßen Anwendung der Verfahren eingehalten werden; unzulässige Abweichungen sind zu korrigieren.

Interessant waren die Reaktionen der Datenverarbeiter im Lande (Softwareentwickler, Administratoren, EDV-Leiter, Benutzer von IT-Systemen) nach dem In-Kraft-Treten der einschlägigen Regelungen. Die überwiegend positiven Beurteilungen gipfelten in der Aussage: "Endlich hat auch der Gesetzgeber erkannt, wodurch Datensicherheit tatsächlich erreicht werden kann." Geäußert wurden allerdings auch völlig ablehnende Auffassungen.

Die Gründe für derartig divergierende Ansichten sind in folgendem Phänomen zu finden: Soweit die öffentliche Verwaltung ihre Datenbestände in Papierform (also in Akten) führt, wird es als eine Selbstverständlichkeit betrachtet, dass alles, was zu einem "Fall" vorliegt, in die betreffende Akte gehört, dass es keine "privaten" Zweit- und Drittakten geben darf und dass nur die jeweils Zuständigen die Akten führen dürfen. Diese althergebrachten Grundsätze werden auch eingehalten, wenn ganze Akteninhalte oder Teilmengen in Datenbanken übertragen werden, um die Verarbeitungsprozesse zu beschleunigen. Man weiß genau, wo die Daten gespeichert sind und wer den Zugriff auf sie hat. Eine völlig neue Situation entsteht, wenn man den Mitarbeiterinnen und Mitarbeitern an ihren computergestützten Arbeitsplätzen Softwarewerkzeuge an die Hand gibt, mit denen sie große Datenbestände kopieren, zusammenführen, selektieren, umspeichern, auf andere Systeme übertragen, Zugriffsberechtigungen verändern oder gar ganze Datenbanken neu anlegen können. Derartige Aktionen kosten weder viel Zeit noch erzeugen sie Kosten. Werden die von den technischen Systemen (Client-Server-Systeme, Netzwerke, mobile Systeme) und den Softwarepaketen (Bürokommunikationssysteme, Datenbankgeneratoren, Falltransfer- und Mail-Systeme) angebotenen Optionen nicht durch technische und organisatorische Maßnahmen kanalisiert, entsteht - wie wir bei vielen unserer Prüfungen feststellen mussten - nach kurzer Zeit ein Wildwuchs an Datenbeständen, der sich jedem Sicherheitskonzept und jeder Kontrolle entzieht (vgl. 21. TB, Tz. 4.1.2, Tz. 6.7.1; 22. TB, Tz. 4.12; Tz. 7.5 dieses Berichtes).


Die neuen Regelungen im LDSG 2000 und in der Datenschutzverordnung fangen zum Vergnügen der meisten IT-Verantwortlichen die "vergessenen", "vagabundierenden" und "privat-dienstlichen" Datenbestände und Rechnersysteme wieder ein und unterwerfen sie dem gleichen Sicherheitsreglement, das für alle Akten und die "offiziellen" Dateien gilt. Mancher PC-Freak in der Verwaltung, dem dies nicht passt, übersieht, dass die Verarbeitung von personenbezogenen Daten von Bürgerinnen und Bürgern, aber auch von Personalaktendaten der eigenen Kollegen bereits aus Rechtsgründen nicht der Dispositionsfreiheit einzelner Mitarbeiter unterliegt, sondern dass für den Umgang mit ihnen die Behörde die Verantwortung trägt. Wenn eine Mitarbeiterin oder ein Mitarbeiter einer Behörde ohne eine Freigabe durch eine hierzu befugte Person personenbezogene Datenbestände anlegt, begeht sie oder er unter Umständen eine Ordnungswidrigkeit im Sinne des LDSG. Sollte das den Kritikern der neuen Sicherheitsregelungen noch nicht aufgefallen sein?

Was ist zu tun?
Die Verantwortlichen in den Behörden sollten die neuen Bestimmungen über die Datensicherheit und Ordnungsmäßigkeit der Datenverarbeitung auch als einen Leitfaden zur Rückgewinnung ihrer Datenherrschaft erkennen. Wer nicht einmal weiß, wo welche personenbezogenen Daten in "seiner" Behörde zu welchen Zwecken gespeichert werden, wird schwerlich in der Lage sein, rechtlich fragwürdige Verfahrensweisen oder Sicherheitslücken zu entdecken und abzustellen.

7.2

Outsourcing der Systemadministration

Einige Dienstleistungsunternehmen suggerieren ihren Kunden, sie könnten die Kosten für die Ausbildung und die Tätigkeit eigener Systemadministratoren sparen, wenn sie diese Arbeiten outsourcen. Sie verschweigen, dass damit die Fremdadministration unkontrollierbar wird und dass die Behörden mangels eigenen Wissens auf Dauer jedwede Entscheidungskompetenz auf dem Gebiet der Informationstechnik verlieren.

Die Kosten für die Einrichtung und den laufenden Betrieb von computergestützten Arbeitsplätzen sind nach wie vor sehr hoch. Der Löwenanteil entfällt dabei auf die Personalkosten für die Administration der Hardware, der Software und der Datenbestände, für die Schulung und Betreuung der Benutzer sowie für das Trouble-Management bei fehlerhaften Nutzungen oder Ausfällen der technischen Systeme.

Zwei neue Begriffe haben deshalb im letzten Jahr in der IT-Szene für Aufsehen und Euphorie gesorgt. Sie lauten "Terminal-Server-Systeme" und "Application-Service-Providing". Die Begeisterung für die diesen Begriffen zugrunde liegenden Konzepte resultiert aus folgenden Überlegungen: Wenn die Kosten für die Ausbildung und die laufende Bezahlung von Systemadministratoren so hoch sind und wenn ein unverhoffter Weggang dieser besonders qualifizierten Mitarbeiter die betreffenden Behörden in größte Nöte stürzt, warum versucht man nicht, dieses Wissen und die Arbeitskraft bei externen Dienstleistern einzukaufen? Den ersten Schritt in diese Richtung ging man folgerichtig bereits vor einigen Jahren mit der so genannten Fernadministration (vgl. 20. TB, Tz. 6.7.5; 22. TB, Tz. 6.2 und Tz. 6.3). Die eigenen Administratoren müssen bei dieser Verfahrensweise nur über Grundfähigkeiten verfügen. Reichen ihre Kenntnisse für die Durchführung bestimmter Konfigurationsmaßnahmen bzw. für Fehlerbereinigungen nicht aus, wird der externe Dienstleister auf das System "aufgeschaltet" und führt die Arbeiten unter Aufsicht durch. Anschließend wird die Verbindung wieder gekappt. Diese Methode hat aber den Nachteil, dass die Experten meistens erst dann mit ihrer segensreichen Tätigkeit beginnen, wenn "das Kind bereits in den Brunnen gefallen ist". Ein solches "Trouble-Shooting" ist natürlich aufwändiger, als wenn die Fehler gar nicht erst gemacht worden wären.

Deshalb verfolgt man mit den Terminal-Server-Systemen und dem Application-Service-Providing das Ziel, die Rechnersysteme in den Daten verarbeitenden Stellen nur mit einfach strukturierten Betriebssystemen auszurüsten und alle wesentlichen Teile der Software sowie alle Datenbestände auf zentralen Servern (möglichst noch in den Räumlichkeiten des Dienstleisters) zu platzieren. Dort findet dann die gesamte Administration statt, die Programme und Daten kommen aus dem Netz. Die Rechner der Behörde müssen faktisch nicht mehr administriert werden, denn wenn sie nicht funktionieren, werden sie ausgetauscht. Die Leistungsentgelte für diesen Service sind so kalkuliert, dass sie unter den Personalkosten eigener Systemadministratoren liegen.

Ist damit das Problem der Ausbildung und Bezahlung eigener Systemadministratoren gelöst und trotzdem die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung auf Dauer gewährleistet? Keineswegs, da ein totales Outsourcing der Systemadministration dazu führt, dass der sicherheitskritischste Bereich der automatisierten Datenverarbeitung von der Daten verarbeitenden Stelle nicht mehr überwacht werden kann (vgl. Tz. 7.4).

Die modernen informationstechnischen Systeme sind nämlich schon lange mehr als nur schnelle Schreib- und Rechenmaschinen, in die man Daten hineinwirft und die Ergebnisse (Ausdrucke) in die Verwaltungsverfahren übernimmt, wenn sie für richtig befunden worden sind. Heute werden informationstechnische Systeme als Organisations- und Steuerungsinstrumente eingesetzt, deren entscheidende Elemente die Benutzer- und Zugriffsverwaltung, das Softwareversionsmanagement, die Arbeitsprozesssteuerung sowie das Datenmanagement sind. Dabei geht es um die Entscheidung, wer z. B. auf Textdokumente mit ärztlichen Gutachten aus dem Bereich eines Gesundheitsamtes oder auf Personaldaten zugreifen darf, wie mit E­Mail-Attachments verfahren wird, wer überwacht, dass nur vorübergehend erforderliche Datenbestände auch tatsächlich zeitnah gelöscht werden und nicht ein Eigenleben entfalten, wer den termingerechten Einsatz neuer Softwareversionen steuert, wer überprüft, dass rechtlich erforderliche Zugriffsrestriktionen auch tatsächlich technisch umgesetzt worden sind usw.

Wenn die hierfür erforderlichen Revisionskriterien bzw. Sicherheitsmaßnahmen ausschließlich von den externen Dienstleistern gemanagt werden und die Daten verarbeitenden Stellen keine technischen Möglichkeiten haben, ihnen "in die Karten" (d. h. nichts anderes als in ihr eigenes System) zu schauen, und wenn ihr eigenes Personal zudem nicht einmal über das Fachwissen verfügt, kritische Fragen zu stellen, dann haben sie faktisch die Verfügungsgewalt über ihre automatisierten Verfahren verloren. Hinzu kommt, dass in diesen Fällen auch gegen die Bestimmungen des Landesdatenschutzgesetzes zur Auftragsdatenverarbeitung und zu den Sicherheitsmaßnahmen für automatisierte Verfahren verstoßen wird.
Der Traum vieler Behördenleiter von dem Computer, der alles macht und der ohne eigenes Zutun alles "mit Sicherheit" auch richtig macht, weil man monatlich einen bestimmten Geldbetrag an ein Dienstleistungsunternehmen überweist, wird ein Traum bleiben. Terminal-Server-Systeme und das Application-Service-Providing werden gleichwohl die Datenverarbeitungsmethoden der Zukunft sein. Sie werden, wenn sie durch qualifiziertes Personal auf der Basis von ausgereiften IT-Konzepten eingesetzt werden, wesentlich effektivere und sicherere automatisierte Verfahren als bisher ermöglichen. Sie sind aber trotz gegenteiliger Versprechungen einiger Dienstleistungsunternehmen kein Wundermittel, das ein Maximum an Produktivität und Sicherheit bei einem Minimum von Investitionen in Personal und Wissen erzeugt.

Was ist zu tun?
Wer sich dafür entscheidet, auf jegliche eigene Administrationskompetenz zu verzichten und den Zusicherungen externer Dienstleister vertraut, begibt sich in fremde Hände. Verantwortungsbewusste Behördenleitungen sorgen dafür, dass in ihrem Haus zumindest so viel IT-Know-how vorhanden ist, dass die eingesetzten technischen Systeme und automatisierten Verfahren durch sie beherrschbar bleiben und die Arbeit externer Dienstleister überwacht werden kann.

7.3

Datensicherheit beim Betrieb der privatisierten Telekommunikationsrechner des Landes

Das Land hat mehr als 250 Telekommunikationsrechner privatisiert und lässt sie von externen Dienstleistern administrieren. Die dadurch entstehenden Sicherheits- und Revisionsprobleme sind immer noch nicht abschließend analysiert. Das Sprachnetz läuft zurzeit noch ohne ein verbindliches Sicherheitskonzept. Die Teilnehmer sind über die Konsequenzen der Nutzung sicherheitskritischer Leistungsmerkmale nicht informiert.

Der Austausch der alten Telekommunikationsrechner der Behörden im Lande gegen neue Rechner der Telekom und die Übernahme der Gesamtadministration aller Rechner durch das Firmenkonsortium Telekom/Siemens im Rahmen des integrierten Sprach- und Datennetzes (vgl. 22. TB, Tz. 6.3) bleibt ein schwieriges Geschäft. Nicht dass die neuen Rechner nicht funktionieren und die externen Administratoren nicht kompetent wären, das Telefonieren in der schleswig-holsteinischen Landesverwaltung funktioniert nach wie vor prächtig, und billiger als früher ist es wohl obendrein.

Trotzdem kann noch immer keine datenschutzrechtliche und sicherheitstechnische Entwarnung gegeben werden. Auf zu viele offene Fragen können das Ministerium für Finanzen und Energie und ihre externen Dienstleister Telekom und Siemens auch 18 Monate nach dem Start des Echtbetriebes noch keine abschließenden Antworten geben bzw. fertige Lösungen präsentieren. Untätig ist man in der Zwischenzeit nicht gewesen, aber andere Probleme hatten offensichtlich eine höhere Priorität. So liegen zurzeit die "baulichen und technischen Sicherheitsanforderungen an die Betriebsräume und die Kabelnetze" sowie die "Verfahrensanweisungen für die TK-Anlagenverantwortlichen" erst als Entwürfe vor. Die darin enthaltenen Regelungen definieren allerdings durchweg einen recht hohen Sicherheitsstandard. Werden diese Konzepte nach der Klärung einiger Detailfragen für verbindlich erklärt und wird ihre Einhaltung konsequent überwacht, dürften die in den Behörden installierten Hardwarekomponenten vor Manipulationen und sonstigen missbräuchlichen Aktivitäten hinreichend geschützt sein.

Die entscheidenden Defizite bestehen nach wie vor darin, dass das Ministerium für Finanzen und Energie die Administration der Telekommunikationsrechner aus der Hand gegeben hat, bevor in einem nachvollziehbaren Sicherheitskonzept festgelegt war, welche Sicherheitsprozeduren von den externen Dienstleistern Telekom und Siemens erwartet werden und wie man die konkrete Arbeit der Dienstleister zu überwachen gedenkt. Dabei sind zwei Fragenkomplexe von besonderer Bedeutung:

  • Wie wird mit den Leistungsmerkmalen umgegangen, die die Vertraulichkeit der Kommunikation beeinträchtigen können? Hierzu gehören z. B. "Aufschalten", "Raumhören" und "Konferenz". An welchen Stellen in dem Gesamtsystem entstehen Datenbestände, die das Kommunikationsverhalten der Teilnehmer sichtbar werden lassen? Wer außer den betreffenden Teilnehmern hat Zugriff auf diese Bestände? Wo und wie lange werden z. B. Voicemail- und Faxmail-Inhalte gespeichert? Wer kann sie löschen? Erfolgt eine "rückstandsfreie" oder nur eine "logische" Löschung? Können (vorher) Sicherungskopien angefertigt werden? Ähnliche Fragen stellen sich auch in Bezug auf die Anruferlisten und die sonstigen Kommunikationsprotokolle. Umfassende Antworten erwarten insbesondere die Teilnehmer, deren Telekommunikationsverhalten unter bestimmten Konstellationen von "öffentlichem" Interesse sein könnte.

  • Wie will das Ministerium für Finanzen und Energie seine Betreiberfunktion wahrnehmen? Es ist zwar avisiert, dass im Gebäude der Telekom eine Revisionsschnittstelle eingerichtet wird, von der aus ein Zugriff auf alle Protokolldaten aller Telekommunikationsrechner möglich sein soll, und es ist auch die personelle Besetzung geregelt. Unklar ist aber nach wie vor, mit welchem Aufwand welche Revisionsfragen mithilfe welcher Softwarekomponenten beantwortet werden können. Konsequent wäre es, den gesamten Protokolldatenbestand nach Data-Warehouse-Prinzipien aufzubereiten, um auch Ad-hoc-Anfragen beantworten zu können. Dabei geht es nicht nur um den Nachweis, dass alle Administrationsaufträge korrekt ausgeführt wurden, sondern auch darum, dass keine Aktivitäten erfolgten, für die kein Auftrag vorlag.

Zurzeit findet eine systematische Kontrolle der Arbeiten der externen Administratoren noch nicht statt. Wie wichtig es ist, dass sich das Ministerium für Finanzen und Energie seiner Betreiberfunktion bewusst ist, zeigte sich bei der Übermittlung der PIN an die einzelnen Teilnehmer. Nicht nur dass wohl nur Insider etwas mit dem Absender "Customer-Service-Center Kommunikationsnetz Schleswig-Holstein" anfangen konnten. Entgegen allen Sicherheitsregeln war die PIN auf einem Merkblatt abgedruckt, das eine "Zusatzinformation zur Bedienung der Endgeräte" enthält, eine Unterlage also, die ständig gebraucht wird. Die Aufforderung, die PIN vertraulich zu behandeln, erscheint unter diesen Bedingungen kurios. Alle sicherheitsbewussten Teilnehmer werden sie mühsam geschwärzt haben, um das Merkblatt für den täglichen Gebrauch nutzbar zu machen. Bei den weniger sicherheitsbewussten Teilnehmern liegt die PIN wahrscheinlich entweder unter dem Apparat oder im Fernsprechverzeichnis.

Im Rahmen der parlamentarischen Beratungen des 22. Tätigkeitsberichtes waren die entsprechenden Sicherheitskonzepte für November 2000 angekündigt worden. Dieser Termin wurde vom Ministerium für Finanzen und Energie um ca. drei Monate verschoben. Die dann vorgelegten Entwürfe konnten noch nicht akzeptiert werden, weil sie in vielen Punkten noch zu überarbeiten sind.

Was ist zu tun?
Der von allen Beteiligten bedauerte Zustand, dass die Telekommunikationsrechner im Land ohne definierte Sicherheitsmaßnahmen betrieben werden, muss kurzfristig abgestellt werden. Von Woche zu Woche fällt es schwerer, eine Rechtfertigung für die Nichtbeachtung klarer datenschutzrechtlicher Regelungen zu finden. Das Ministerium für Finanzen und Energie sollte seinen externen Dienstleistern feste Fristen für die Entwicklung von Sicherheitskonzepten setzen.

7.4

Startschuss für das Landesnetz vor der Klärung aller Sicherheitsfragen?

Das Grundkonzept des Landesnetzes sorgt erfreulicherweise für eine klare Trennung zwischen den Verantwortungsbereichen des Innenministeriums als dessen Betreiber und den einzelnen Teilnehmergruppen. Es besteht allerdings die Gefahr, dass mit dem Betrieb des Netzes bereits begonnen wird, bevor die Sicherheitsfragen im Detail geklärt sind. Die Methode "Pilotprojekt" wird möglicherweise aus Termingründen wieder einmal dazu herhalten müssen, die Verlagerung der Testphase in den Echtbetrieb zu rechtfertigen.

Als wir im Jahr 1996 den Vorläufer des Landesnetzes, das so genannte CAMPUS-Netz, einer datenschutzrechtlichen Überprüfung unterzogen (vgl. 19. TB, Tz. 7.9; 20. TB, Tz. 6.7.6), war insbesondere zu beanstanden, dass selbst die dem Netz angeschlossenen Behörden nicht im Einzelnen wussten, welche Dienstleistungen das Innenministerium als Netzbetreiber ihnen gegenüber erbrachte und welche Netzsicherheit gewährleistet wurde. Bis heute sind die schriftlichen Unterlagen hierüber fragmentarisch geblieben, konkrete Vereinbarungen zwischen den beteiligten Behörden gibt es noch immer nicht. Da sich etwa zwei Jahre nach der Prüfung abzeichnete, dass das CAMPUS-Netz durch das leistungsfähigere Landesnetz ersetzt werden würde, haben wir unsere Bemühungen eingestellt, das Innenministerium zu einer "Generalüberholung" des CAMPUS-Netzes zu bewegen, und sind der Bitte gefolgt, die Arbeiten an der Grundkonzeption des Landesnetzes beratend zu begleiten (vgl. 21. TB, Tz. 6.4). Diese Arbeiten sind im letzten Jahr einen großen Schritt vorangekommen und haben ihren Niederschlag in den "Landesnetz-Rahmenbedingungen (Organisation, Technik und Betrieb)" - Version 17 - und "Landesnetz-Anschlussbedingungen" - Version 14 -, beide vom 20.12.2000, gefunden. Die recht hohen Versionsnummern der unmittelbar vor der Testphase geltenden Fassungen der Papiere weisen darauf hin, wie aufwändig der Entwicklungsprozess dieses Projektes bis jetzt war. Unser "Investment" an Personal und Zeit war jedenfalls beträchtlich.

Aus datenschutzrechtlicher und sicherheitstechnischer Sicht sind die folgenden bislang getroffenen konzeptionellen Festlegungen von besonderer Bedeutung:

  • Verantwortlicher Betreiber des Landesnetzes ist das Innenministerium. Es bedient sich für die technische Realisierung der Deutschen Telekom AG und der Datenzentrale Schleswig-Holstein als externe Dienstleister. Das ursprünglich zuständige Ministerium für Finanzen und Energie ist "nur" noch für die das Landesnetz nutzenden Telekommunikationsrechner verantwortlich, nicht mehr für das Netz an sich (vgl. Tz. 7.3 dieses Berichtes).

  • Die Standarddienstleistung des Landesnetzes besteht in dem "transparenten Transport von Voice- und Non-Voice-Daten mittels Standard-IP-Datenpaketen zwischen festgelegten Endpunkten". Welche Daten die angeschlossenen Behörden in welcher Form (verschlüsselt oder unverschlüsselt) übertragen, liegt also nach wie vor in deren Verantwortung.

  • Der Anschluss einer Behörde an das Landesnetz setzt eine schriftliche Vereinbarung mit dem Innenministerium voraus, in der die Rahmen- und Anschlussbedingungen akzeptiert und die ergänzenden Vereinbarungen festgelegt werden.

  • Möchten Behörden optionale Dienste (z. B. Übergänge in das Internet, Firewall-Funktionen, Verschlüsselungs-, Zwischenspeicherungs- und Weiterverarbeitungsfunktionen) in Anspruch nehmen, so haben sie hierüber Vereinbarungen unmittelbar mit der Datenzentrale zu treffen. Das Innenministerium hat diese Vereinbarungen zu prüfen und darf sie nur zulassen, wenn eine Beeinträchtigung der Kommunikation der anderen Benutzer des Netzes nicht zu befürchten ist.

  • Alle Teilnehmer sind bestimmten "geschlossenen Benutzergruppen" zugeordnet. Das Innenministerium gewährleistet durch softwaretechnische Maßnahmen, dass die über das Landesnetz übertragenen Datenpakete die jeweilige geschlossene Benutzergruppe nicht verlassen können. Geschlossene Benutzergruppen sind z. B. die Finanzämter einschließlich der OFD, die Polizeidienststellen, die Staatsanwaltschaften, die Gerichte und die anderen nachgeordneten Bereiche der Ministerien.

  • Sollen Datenpakete eine geschlossene Benutzergruppe verlassen und in eine andere "eingespeist" werden, ist hierüber eine Vereinbarung zwischen den beiden betroffenen Gruppen abzuschließen, die der Genehmigung durch das Innenministerium bedarf, um Schnittstellenprobleme auszuschließen. Die Verknüpfung der geschlossenen Benutzergruppen erfolgt ausschließlich in einer "Service-Area", die durch die Datenzentrale betrieben wird.

  • Den Abschluss des Landesnetzes zur Teilnehmerseite hin bilden so genannte Zugangsrouter. Auf deren Funktionalität haben die Teilnehmer keinen Einfluss. In ihnen werden die "Telefoniepakete" von den "Datenpaketen" getrennt. Erstere gelangen über ein so genanntes Voice-Over-IP-Gateway in die Telekommunikationsrechner (vgl. Tz. 7.3). Die Datenpakete werden über einen Übergaberouter in das lokale Netzwerk des Teilnehmers eingespeist. Die Funktionalität der Übergaberouter kann durch die Teilnehmer nur im Rahmen der (genehmigungspflichtigen) optionalen Dienste beeinflusst werden. Das Landesnetz hat keinen Einfluss auf das lokale Netzwerk des Teilnehmers.

  • Die Risiken, die entstehen, wenn Teilnehmer einer geschlossenen Benutzergruppe untereinander Datenpakete austauschen, deren Inhalt "schädliche" Wirkungen in den Rechnersystemen der lokalen Netze entfalten können (Computerviren, "Trojanische Pferde", "Würmer" und sonstiger ausführbarer Code), werden durch die Funktionen des Landesnetzes nicht wesentlich reduziert. Das Gleiche gilt auch für die Kommunikation zwischen den geschlossenen Benutzergruppen und für die Anbindung ganzer Benutzergruppen oder einzelner Teilnehmer an das Internet. Da sich die geschlossenen Benutzergruppen bzw. die einzelnen Teilnehmer nach dem Konzept gegenseitig nicht vertrauen können, sind sie verpflichtet, selbst "Vorsorge" zu treffen. In einem Sicherheitshinweis in den "Anschlussbedingungen" wird seitens des Innenministeriums ausdrücklich hierauf hingewiesen (vgl. nebenstehendes Zitat).

Diese durchaus positive Zwischenbilanz der bisherigen Entwicklung des Landesnetzes wird allerdings dadurch getrübt, dass zu befürchten ist, dass mit dem Pilotbetrieb des Netzes bereits begonnen wird, bevor die entsprechenden Sicherheitskonzepte erarbeitet und beschlossen worden sind. Pikant erscheint, dass gerade das Innenministerium, unter dessen Federführung die Ordnungsmäßigkeitskriterien für automatisierte Verfahren im letzten Jahr neu gefasst wurden (vgl. Tz. 7.1), sie damit möglicherweise selbst nicht uneingeschränkt beachten wird.

Die noch offenen Sicherheitsfragen beziehen sich im Wesentlichen auf die Abschottungsmechanismen, mit denen die Deutsche Telekom AG gewährleistet, dass die Grenzen der geschlossenen Benutzergruppe nicht unbefugt durchbrochen werden können. Weiterhin ist noch im Detail zu klären, welche "Beeinflussungsmöglichkeiten" sich im Bereich der Service-Area der Datenzentrale Schleswig-Holstein ergeben und wer die Administrationsaktivitäten dieses Dienstleisters aufgrund welcher Protokolle überwachen wird (vergleichbares Problem wie bei den Telekommunikationsrechnern; vgl. Tz. 7.3). Es scheint, dass befriedigende Antworten gefunden werden können, dies erfordert aber noch viel Kärrnerarbeit.

Was ist zu tun?
Ein Projekt dieser finanziellen Größenordnung und dieser sicherheitstechnischen Tragweite sollte bis ins Detail durchgeplant und eingehend getestet sein, bevor ein (Pilot)betrieb mit Echtdaten gestartet wird. Das Innenministerium sollte seine Terminplanung daher noch einmal überdenken. Die Teilnehmer am Landesnetz sollten erkennen, dass die Verantwortung für die Sicherheit der Rechnersysteme in den lokalen Netzen bei ihnen verbleibt. Deshalb sind für diesen Bereich nach wie vor eigene Sicherheitskonzepte erforderlich.

7.5

Prüfung automatisierter Verfahren

7.5.1

Polizeiliche Datenverarbeitung ist dringend reformbedürftig

Die sicherheitstechnische Überprüfung einer Polizeiinspektion zeigte auf, dass die gesamte polizeiliche Datenverarbeitung dringend reformbedürftig ist. Das Sicherheitsniveau ist in der Praxis unterschiedlich hoch, je nachdem welche informationstechnischen Systeme eingesetzt werden. Die durch das LDSG 2000 vorgeschriebenen Vorabkontrollen im Polizeibereich sind derzeit nicht realisierbar.

Im Rahmen der umfassenden rechtlichen und sicherheitstechnischen Überprüfung in der Polizeiinspektion Eutin (vgl. auch Tz. 4.2.4) trafen wir im Bereich der automatisierten Verarbeitung personenbezogener Daten auf drei "Welten": auf eine recht straff organisierte "COMPAS-Welt", eine kaum reglementierte "Arbeitsplatz-PC-Welt" und eine zwar genehmigte, aber faktisch nicht kontrollierte "Welt der privaten IT-Systeme".

Während der Teilkomplex "Vorgangsbearbeitung" im Bereich der vernetzten COMPAS-Systeme weitgehend den Ordnungsmäßigkeitskriterien der Datenschutzverordnung entsprach, galt dieses bereits für den Teilkomplex "Bürokommunikation" nicht uneingeschränkt. Die diesbezüglichen Nutzungsmöglichkeiten der Software sind so vielfältig, dass auf Dauer ein ordnungsgemäßer Betrieb nur auf der Basis konkreter Anweisungen erreichbar ist. Die Aufgaben- und Verfahrensbeschreibungen waren allerdings nicht so formuliert, dass die Grenze zwischen einer zulässigen und einer unzulässigen Nutzung dieser Standardprogramme erkennbar wurde.

Bezüglich der isolierten Arbeitsplatzrechner mangelte es durchweg an verfahrensbezogenen Sicherheitskonzepten, an Aufgaben- und Verfahrensbeschreibungen sowie an formellen Verfahrensfreigaben. Für Dritte war lediglich die tatsächliche Nutzung der Systeme nachvollziehbar, die gewollte Nutzung war nicht dokumentiert. Wegen der faktisch nicht nachvollziehbaren Nutzung der privat beschafften Systeme durch die sie bereitstellenden Mitarbeiter fehlten bereits die Grundlagen für ihren ordnungsgemäßen Einsatz.

Bezeichnend ist der hohe Detaillierungsgrad der Anweisungen und Dokumentationsunterlagen für den Bereich COMPAS im Verhältnis zu dem minimalen Umfang der entsprechenden Papiere für die PC-Welt. Inhalt und Zweck der personenbezogenen Datenverarbeitung rechtfertigen diese Unterschiede nicht. Auch bezüglich der Überwachung der ordnungsgemäßen Anwendung der DV-Programme bestand zwischen den einzelnen Organisationsformen der automatisierten Verfahren ein nicht unerhebliches Gefälle.

Die festgestellten technischen und organisatorischen Mängel waren vielfältig. Maßnahmen, die bei den vernetzten COMPAS-Systemen als Selbstverständlichkeit galten (z. B. zentral gesteuertes Datenmanagement und deaktivierte Diskettenlaufwerke), waren bei den Arbeitsplatz-PC nur teilweise realisiert und bei den privaten Systemen nicht einmal angedacht. Dass die als "Schreibmaschinenersatz" angeschafften Arbeitsplatz-PC schon lange über diese Funktion hinausgewachsen sind, zeigte sich daran, dass auf einem Rechner sogar ein datenbankgestütztes Spurendokumentationssystem vorgefunden wurde, das nie offiziell zum Einsatz freigegeben war und dessen Inhalte nur von einem einzigen Polizeibeamten sichtbar gemacht werden konnten. Bei der Brisanz der gespeicherten Daten war dies ein klarer Verstoß gegen die polizeirechtlichen Vorschriften im Landesverwaltungsgesetz.

Es kann davon ausgegangen werden, dass vergleichbar problematische Sachverhalte landesweit anzutreffen sind. Die Behebung der Mängel insgesamt und eine grundsätzliche Verbesserung des Datenschutzes dürfte nur erreichbar sein, wenn sich neben der geprüften Stelle auch die Polizeidirektionen, das Polizeiverwaltungsamt und das Innenministerium zur Änderung der bisherigen Verfahrensweisen aufgefordert fühlen. Über unsere Beanstandungen haben wir daher auch die vorgesetzten Behörden unterrichtet.

Das Innenministerium teilte uns als oberste Polizeibehörde zu den grundsätzlichen Problemstellungen kurz und bündig mit, dass die vorhandene IT-Struktur der Landespolizei in das "Konzept für den Einsatz der Informations- und Kommunikationstechnik in der Landesverwaltung" integriert werde. Die Regularien dieses Landessystemkonzeptes würden ab sofort auch für den Umgang mit Datenverarbeitungsanlagen durch die Polizei gelten. Die Polizeiabteilung des Innenministeriums werde sich vordringlich auf die Formulierung der fachlichen Anforderungen und auf die Gewährleistung der Systemsicherheit im praktischen Betrieb der automatisierten Verfahren konzentrieren. Vorabkontrollen, die Einführung aussagefähiger Test- und Freigabeprozeduren und die Revision sollten künftig Schwerpunkte ihrer Arbeit sein. Weiteren grundsätzlichen konzeptionellen Überlegungen seitens der Polizeiabteilung bedürfe es nicht. Im Übrigen seien im konkreten Fall die Verfahrensdokumentation für die Arbeitsplatzrechner ergänzt und die Privat-PC durch dienstliche Systeme ersetzt worden. Bezüglich der unterschiedlichen Regelungslage in den einzelnen Systemwelten vertrat das Innenministerium die Auffassung, dass es durchaus abweichende technische und organisatorische Regelungen geben könne. "Weil von übergeordneter Stelle abschließende Regelungen aufgrund der unterschiedlichen Gegebenheiten in den einzelnen Dienststellen nicht getroffen werden können, sind die Leiter der jeweiligen Dienststellen angewiesen, diese Regelungen zu ergänzen, wenn Angelegenheiten nur vor Ort geregelt werden können." Diese Argumentation widerspricht natürlich ganz erheblich dem Prinzip der Vorabkontrolle für sensible Datenbestände, wie sie im LDSG 2000 festgeschrieben ist.

Wir haben dem Innenministerium detaillierte Vorschläge zur Behebung der Mängel und zur Verbesserung der Datensicherheit unterbreitet. In sicherheitstechnischer Hinsicht sind drei Teilbereiche differenziert zu betrachten:

  • Strafverfolgung und Aufrechterhaltung der öffentlichen Sicherheit,

  • Personaldatenverarbeitung und Datenverarbeitung des ärztlichen Dienstes,

  • Verarbeitung sonstiger Verwaltungsdaten.

Während an die beiden erstgenannten Komplexe sehr hohe Sicherheitsanforderungen zu stellen sind, dürfte für den dritten Bereich nur ein mittlerer Schutzbedarf erforderlich sein. Wir haben daher empfohlen, die Aufbau- und Ablauforganisation bezüglich der Planung und Realisierung automatisierter Verfahren so umzugestalten, dass die Verantwortungsabgrenzungen und die Regelungsinhalte den unterschiedlichen Sicherheitsanforderungen entsprechen.

Mit hoher Priorität sollte ein grundlegendes IT-Konzept erstellt werden, das technikunabhängig beschreibt, welche Ziele durch welche Software in welchen Stellen erreicht werden sollen. Ihm sollte durch eine Genehmigung und Prioritätensetzung durch das Innenministerium der Charakter einer verbindlichen Sollregelung gegeben werden. Dabei wird zwangsläufig auch die Frage zu klären sein, ob die Polizeidirektionen auch weiterhin in eigener Verantwortung automatisierte Verfahren für ihren Zuständigkeitsbereich "kreieren" dürfen. Tendenziell sollte von einer solchen Verfahrensweise Abstand genommen werden. Gerade die Überlegungen zu INPOL-neu legen den Ansatz nahe, dass die Gleichartigkeit der Aufgabenstellungen der Polizeidienststellen auch gleichartige hard- und softwaretechnische Lösungsansätze erfordert. Die Folgen des nicht zu übersehenden bisherigen "PC-Nutzungwildwuchses" zeigen, dass die Gestaltung effizienter automatisierter Verfahren eine professionelle Systemanalyse und eine landesweite Koordination voraussetzt. Auch spezielle Anwendungen einzelner Dienststellen (z. B. Wirtschaftskriminalität) sollten ihren Niederschlag in dem IT-Konzept finden. Im Ergebnis sollten automatisierte Verfahren, die nicht im IT-Konzept verzeichnet sind, als "nicht gewollt" und damit als unzulässig gelten.

Im Ergebnis haben sich bislang mehrere "IT-Welten" entwickelt, die nur bedingt miteinander synchronisiert worden sind. Die entstandenen Defizite dürften nur behoben werden können, wenn die Planung, Entwicklung und Administration aller automatisierten Verfahren und technischen Systeme aufbau- und ablauforganisatorisch einer einheitlichen Struktur unterworfen werden. Dies schließt dezentrale Entscheidungsbefugnisse (z. B. welche Softwarekomponenten welchen Mitarbeitern zur Verfügung gestellt werden) nicht aus, zwingt aber zu einheitlichen konzeptionellen und technischen Standards. Wir haben außerdem dringend empfohlen, unabhängig von den Aktivitäten im Zusammenhang mit der Übernahme des Landessystemkonzeptes eine Bestandsaufnahme sämtlicher Geräte, mit denen zulässigerweise personenbezogene Daten verarbeitet werden dürfen, durchzuführen. Weiterhin sollte festgestellt werden, welche Softwarekomponenten auf welchen Systemen eingesetzt werden dürfen.
Vor dem Hintergrund der Regelungen des § 197 Landesverwaltungsgesetz und der weitgehenden Gestaltungsmöglichkeiten bei der Nutzung von Standardsoftwareprodukten kommt einer regelmäßigen Kontrolle der tatsächlich gespeicherten Datenbestände eine erhebliche Bedeutung zu. Auch im Hinblick auf die Anforderungen des Landesdatenschutzgesetzes handelt es sich hierbei um eine "Pflichtaufgabe" der weisungsbefugten Mitarbeiter. Ihre diesbezüglichen Aktivitäten sollten künftig protokolliert werden. Als nicht akzeptabel sollten Datenbestände angesehen werden, auf die Vorgesetzte keine Zugriffsmöglichkeiten haben. Die Zugriffs- und Löschungsberechtigungen sollten die sich aus der Geschäftsverteilung ergebenden Befugnisse widerspiegeln. Der Aufwand hierfür wird sich auf ein Minimum reduzieren, wenn ausschließlich vernetzte Systeme eingesetzt werden.

Was ist zu tun?
Da das Innenministerium ohnehin eine Reihe von automatisierten Verfahren im Bereich der Polizei an die INPOL-neu-Konventionen anpassen muss, dürfte der richtige Zeitpunkt für eine grundlegende aufbau- und ablauforganisatorische sowie sicherheitstechnische Reform der automatisierten personenbezogenen Datenverarbeitung im Bereich der Strafverfolgung und Gefahrenabwehr gekommen sein. Der erste Schritt in diese Richtung sollte in einer konstruktiven Erörterung unserer Vorschläge bestehen.

7.5.2

Das Behördenmanagement als Risikofaktor?

Bei Routineprüfungen "in der Fläche" werden relativ selten Sicherheitslücken entdeckt, die auf menschliches Versagen einzelner Mitarbeiter zurückzuführen sind. In den meisten Fällen werden strukturelle Sicherheitsmängel erkennbar, die von den Behördenleitungen zu verantworten sind. Nicht selten mangelt es auf dieser Ebene an Wissen und Engagement. Aspekte der Kostenvermeidung werden zumeist über alles andere gestellt.

Neben den umfassenden Schwerpunktprüfungen, wie z. B. im Polizeibereich oder zuvor bei der AOK Schleswig-Holstein, führen wir so viele Nachschauen "in der Fläche" durch, wie personell irgendwie realisierbar sind. Je mehr Daten verarbeitende Stellen wir besuchen und deren Datenverarbeitungsorganisation und Sicherheitsmaßnahmen begutachten, desto genauer ist unser Überblick über die aktuelle sicherheitstechnische Situation im Lande.

Wenn man am Ende des Jahres 2000 ein Fazit aus diesen Aktivitäten zieht, drängen sich zwei grundlegende Feststellungen auf:

  • Es gibt derzeit nur zwei Bereiche, in denen die Hard- und Softwareindustrie für die Anforderungen der Praktiker in den Daten verarbeitenden Stellen keine zufrieden stellenden Lösungen bereithält. Es sind dies die Komplexe "revisionsfeste Protokollierung verändernder Zugriffe auf die Betriebssystemebene" und "sichere Verknüpfung lokaler Netzwerke mit anderen Netzen auf der Basis der Internet-Protokolle". Für alle anderen verwaltungsspezifischen Problemstellungen sind Musterlösungen entwickelt, erprobt und in Form von Produkten oder Konzepten auf dem Markt verfügbar.

  • Die Gründe, dass die vorhandenen Lösungen nach wie vor nicht allgemein eingesetzt werden, liegen in dem Versuch vieler Behördenmanager, sich mit einem Minimum an personellem und finanziellem Investment durchzulavieren.

Unisono klagen z. B. die Anbieter hochwertiger (und damit etwas teurerer) Hard- und Softwarekonzepte, dass sie gegen die billigeren Anbieter von "Schmalspurlösungen" ausgespielt werden. Zitat: "Es reicht den Behörden, dass die Software Firewall heißt, ob sie wie eine Firewall funktioniert, ist denen doch völlig egal." Dieser Eindruck deckt sich mit unseren Prüfungserfahrungen. Die Fälle des menschlichen Versagens als Ursache für das Entstehen von Schwachstellen sind nicht besonders häufig, meist liegen die Ursachen im Desinteresse oder in Fehlentscheidungen der Behördenleitungen. Wie anders sind die folgenden, immer wieder auftauchenden Fragestellungen aus der Prüfungspraxis zu erklären:

  • Warum werden Systemadministratoren nur unzureichend ausgebildet? Allen Beteiligten müsste doch klar sein, dass ein "Einführungskurs" nicht ausreicht, wenn das Ausbildungspaket mehrere Aufbaukurse umfasst.

  • Warum werden sie verpflichtet, die Administrationsaufgaben neben ihrer normalen Tätigkeit zu erledigen, wenn das zur Verfügung stehende Zeitkontingent völlig unzureichend ist und die Hauptaufgabe die betreffenden Mitarbeiter praktisch voll auslastet?

  • Warum werden sie mit ihrer Verantwortung für die Auswahl der richtigen sicherheitstechnischen Komponenten allein gelassen? Warum setzt eine Behördenleitung Dienstanweisungen in Kraft, an die sie sich selbst nicht hält, und warum lässt sie damit allen Mitarbeitern deutlich werden, dass Abweichungen von Sicherheitsvorschriften billigend in Kauf genommen werden? Warum fehlt eine kritisch-konstruktive Unterstützung ihrer Arbeit? Wer erklärt z. B. einem Systemadministrator, dass Personaldaten gegenüber den übrigen Datenbeständen besonders abzuschotten sind, wenn nicht der "Personalchef"?

  • Was nutzt es, wenn für den Internet-Zugang ein Quarantäne-PC angeschafft wird, wenn auf ihm, um der besseren Ausnutzung willen, dann doch "sensible" Verwaltungsdaten gespeichert werden?

  • Warum erklärt eine Behörde, aus Sicherheitsgründen auf einen Internet-Anschluss verzichtet zu haben, wenn sie weiß bzw. wissen müsste, dass ausgerechnet die Systemadministratoren über einen solchen Zugang verfügen?

  • Warum muss ausgerechnet der Systemadministrator zum behördlichen Datenschutzbeauftragten ernannt werden, der sich damit selbst kontrollieren muss?

In diesem Zusammenhang treffen wir auf ein offenbar weit verbreitetes Missverständnis: Die Behebung der festgestellten Mängel wird als eine Obliegenheit zur "Befriedung" der Datenschutzkontrollinstanz und nicht zur Reduzierung von Risiken im eigenen Interesse angesehen. Allzu oft müssen wir der Behauptung widersprechen, "die Datenschützer" hätten ein Problem. Es gilt dann deutlich zu machen, dass das Problem aufseiten der Behörden(leitungen) liegt. Das ULD weist bei seinen Prüfungen nur auf technische und organisatorische Sicherheitslücken hin, die dadurch nicht zu unserem Problem werden.

Was ist zu tun?
Prüfungsmaßnahmen sind auch in der Zukunft unverzichtbar. Da ein flächendeckendes Aufspüren von Sicherheitsrisiken durch das ULD aber wohl in absehbarer Zeit nicht zu erreichen sein wird, müssen die Verantwortlichen in den Behörden Eigeninitiative entwickeln. Den Vorwurf, sie seien selbst ein Risikofaktor, sollten sie nicht auf sich sitzen lassen.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel