24. Tätigkeitsbericht (2002)



7

Systemdatenschutz

7.1

Sicheres Surfen und Mailen - die Herausforderung

Würde in der öffentlichen Verwaltung das Wort des Jahres 2001 gewählt werden, käme ”E-Government” sicher in die engste Wahl. Kaum ein anderer Begriff ist in letzter Zeit so häufig benutzt wurden, um die zukünftige Entwicklung der öffentlichen Verwaltung zu umschreiben. Zu selten wird allerdings analysiert, welche Konsequenzen ein E-Government für die Sicherheit der IT-Systeme haben wird.

Unter dem Begriff ”E-Government” werden sehr unterschiedliche Verwaltungsaktivitäten zusammengefasst (vgl. Tz. 8.1), zwei Komponenten sind jedoch (neben der allgemein üblichen, in diesem Zusammenhang aber nicht so bedeutenden Präsentation der Behörden auf einer Homepage) in allen Konzepten auf Bundes-, Landes- und Kommunalebene besonders ausgeprägt. Es sind dies

  • die Informationsgewinnung über das Internet und

  • die Kommunikation über das Internet.

Kurz gesagt handelt es sich um das Surfen im World Wide Web und das Mailen. Die dazu erforderlichen hard- und softwaretechnischen Komponenten sind im privaten Bereich und in der Wirtschaft tausendfach erprobt. Warum sollte sich nicht auch die Verwaltung ihrer bedienen? Eine positive Antwort wäre selbstverständlich, gäbe es da nicht einige Haken: Das Internet ist unsicher: Es gibt keinen Netzbetreiber, der für den korrekten Datentransport die Gewähr übernimmt. Alle aus dem Netz empfangenen Daten, selbst die Absender- und Empfängerangaben, können manipuliert sein. Es ist sogar möglich, dass die an das Netz angeschlossenen Rechner zum Angriff gegeneinander genutzt werden, indem z. B. die Funktionsfähigkeit beeinträchtigt oder gespeicherte Daten ausgeforscht werden. Dies sind alles Merkmale, die dem Sicherheitsbedürfnis in einer öffentlichen Verwaltung grundsätzlich diametral entgegenstehen. Warum wird die Internet-Nutzung dann trotzdem so sehr forciert? Es sind die unschlagbar niedrigen Kosten für den Datentransport, die die objektiv bestehenden Risiken in einem milderen Licht erscheinen lassen. Die Verlockungen des nahezu kostenlosen Kommunikationszeitalters sind auch für die öffentliche Verwaltung zu groß.

In der Praxis treffen wir auf zwei unterschiedliche Grundansätze bei der Realisierung der Internet-Nutzung zu Verwaltungszwecken:

  • den Infrastrukturansatz und

  • den Bedarfsdeckungsansatz.

Beim Infrastrukturansatz wiederholt sich eine Verfahrensweise, die zu der explosionsartigen Verbreitung der PC geführt hat. Möglichst alle Mitarbeiter werden in die Lage versetzt, die neue Technik über die internen Verwaltungsnetze zu nutzen. Man erhöht die Akzeptanz dadurch, dass man ihnen größtmögliche Gestaltungsfreiheiten lässt. Das bedeutet, dass mit Ausnahme pornografischer und gewaltverherrlichender Seiten alles ”abgesurft” werden darf. Auch die Informationsgewinnung zu privaten Zwecken wird häufig begrüßt, weil es dem Surftraining dient. Die E-Mail-Adressen sind auf die einzelnen Personen bezogen. Der kollegiale Informationsaustausch und der persönliche Kontakt mit den Bürgerinnen und Bürgern wird ausdrücklich gefördert. Ähnlich wie beim Faxverkehr wird, wo immer es rechtlich vertretbar ist, auf das Vorhandensein von Unterschriften verzichtet, und die Authentizität von E-Mail-Adressen wird unterstellt. Neben der Nutzung einer Standard-Firewall und eines Virenscanners bestehen in der Regel nur organisatorische Sicherheitsmaßnahmen der Gestalt, dass die Mitarbeiter gehalten sind, alle Aktivitäten zu unterlassen, die zu einer Gefährdung des internen Netzes führen könnten. Das gilt insbesondere für das Herunterladen von Programmen aus dem Netz auf die lokalen Rechner und das Öffnen von Anhängen an E-Mails. Bezüglich der möglichen gezielten Angriffe aus dem Netz geht man davon aus, dass normale Verwaltungsbehörden ein für Hacker unattraktives Ziel darstellen.

Eine solche Vorgehensweise halten wir nicht für angemessen und dem Stand der Technik entsprechend. Es ist zu befürchten, dass der Infrastrukturansatz, der letztendlich zu einem PC-Wildwuchs geführt hat (der nach kurzer Zeit durch besser zu steuernde Client-Server-Systeme abgelöst werden musste), spätestens dann zu unbefriedigenden Ergebnissen führt, wenn sich das E-Government zu einem Instrument des (rechts)verbindlichen Verwaltungshandelns entwickelt. Dann wird auch ein noch so großes Vertrauen in das Verantwortungsbewusstsein der Mitarbeiter und in deren Wissen um die Risiken als Sicherheitsmaßnahme nicht mehr ausreichen.

Erfolg versprechender ist dagegen der Bedarfsdeckungsansatz, den eine Reihe von Verwaltungen in Schleswig-Holstein, allen voran die Kreise Ostholstein und Schleswig-Flensburg, verfolgen. Sie lassen ein ”freies Surfen” im WWW nur von PC aus zu, die nicht in das Verwaltungsnetz integriert sind und auf denen keine personenbezogenen Daten gespeichert werden. Aus dem Verwaltungsnetz heraus ist die Informationsgewinnung auf Websites beschränkt, die für dienstliche Zwecke sinnvoll erscheinen und deren Vertrauenswürdigkeit zuvor von dem betreffenden Fachbereich und der IT-Stelle gemeinsam geprüft worden ist. Ein Herunterladen von Software ist nur über einen speziellen PC in der IT-Stelle möglich. Die für die Fachämter wichtigen Informationsquellen stehen gleichwohl an den betreffenden Arbeitsplätzen zur Verfügung. Der mit PGP verschlüsselte Versand von E-Mails ist als Standard konfiguriert. Ein Verzicht auf die Verschlüsselung wird als zu begründende Ausnahme angesehen. Eingehende E-Mails werden zentral auf Viren untersucht und gegebenenfalls zuvor entschlüsselt. Nur einige ”risikoarme” Attachmentformate werden direkt in das interne Netz übernommen. Alle als risikobehaftet erkennbaren Formate werden durch eine spezielle Software ausgefiltert, ”in Quarantäne” genommen und die Absender und Empfänger über diese Tatsache per E-Mail informiert. Für alle ein- und ausgehenden E-Mails gilt, dass sie in Papierform zu den Akten zu nehmen und zum frühestmöglichen Zeitpunkt im System zu löschen sind.

Diese Maßnahmen machen die Verknüpfung des Verwaltungsnetzes um ein Vielfaches sicherer, als es beim Infrastrukturansatz erreichbar ist. Die Kreise haben, um Restrisiken erkennbar werden zu lassen, ihre Lösungen sogar einem Penetrationstest durch ein externes Sicherheitsunternehmen unterworfen. Der Test wurde von beiden erfolgreich bestanden. Der Kreis Ostholstein hat zusätzlich bei uns ein Behördenaudit für diesen Bereich beantragt. Das entsprechende Zertifikat konnte Anfang 2002 erteilt werden (Tz. 10.6).

Ein noch höheres Maß an Flexibilität und Sicherheit lässt sich nach dem derzeitigen Stand der Technik nur durch ein ”virtuelles Netz-Computing” erreichen. In diesem Fall wird das interne Netz völlig vom Internet getrennt. Alle internetbezogenen Aktivitäten finden auf dem in einer ”neutralen Zone” installierten Netzcomputer statt. Die Ergebnisse werden im internen Netz nur angezeigt (grafisches Interface). Dieses Konzept wird zurzeit in unserer Dienststelle im Rahmen eines Forschungsprojektes erprobt (vgl. 23. TB, Tz. 10.3). Sobald es die ”Produktionsreife” erreicht hat, werden wir es den interessierten Behörden vorstellen und sie bei einer eventuellen Installation unterstützen.

Was ist zu tun?
Die Behörden sollten bei der Informationsgewinnung und der Kommunikation mittels Internet erkennen, dass das unspezifizierte Ausnutzen aller technischen Möglichkeiten und das Vertrauen in den vorsichtigen Umgang ihrer Mitarbeiter mit diesen Gegebenheiten keine ausreichenden Sicherheitsmaßnahmen darstellen. Das Surfen und Mailen muss durch technische und organisatorische Regelungen zu einem sicheren ”Verwaltungshandwerkzeug” gemacht werden, damit die rechtlichen Herausforderungen, die sich aus einem E-Government ergeben, gemeistert werden können. Die Bürger werden ein E-Government ohne Sicherheit mit Sicherheit nicht akzeptieren.

7.2

Landesnetz in Betrieb - noch aber fehlen Sicherheitschecks

Die im letzten Tätigkeitsbericht geäußerten Befürchtungen haben sich bestätigt: Das Landesnetz ist tatsächlich im Laufe des Jahres 2001 in Betrieb genommen worden, noch bevor selbst die vom Innenministerium für erforderlich gehaltenen Sicherheitsmaßnahmen realisiert worden sind und eine offizielle Freigabe erfolgt ist.

Seit mehreren Jahren beraten wir das Innenministerium bei der Ausgestaltung der datenschutzrechtlichen und sicherheitstechnischen Konzepte für das Landesnetz (vgl. 23. TB, Tz. 7.4). Angesichts der grundlegenden aufbau- und ablauforganisatorischen Veränderungen, die mit der Schaffung einer verwaltungsübergreifenden, einheitlichen Kommunikationsinfrastruktur dieser Art verbunden sind, bedarf es nämlich sehr genauer Vereinbarungen zwischen den beteiligten Ministerien und detaillierter Vorgaben an die Datenzentrale Schleswig-Holstein und die Deutsche Telekom AG als die externen technischen Dienstleister. Das Innenministerium als Betreiber des Landesnetzes übernimmt nämlich Verantwortungen und Kompetenzen, die bisher bei den einzelnen Ressorts gelegen haben. Dies geschieht nun nicht wie in vergleichbaren Fällen durch eine formelle Änderung der Geschäftsverteilung der Landesregierung auf der Grundlage der Landesverfassung. Vielmehr akzeptieren die Ministerien so genannte Rahmen- und Anschlussbedingungen des Innenministeriums, in denen neue Zuständigkeitsabgrenzungen vorgenommen und Verantwortlichkeiten festgelegt werden. Diese werden wiederum spezifiziert in Betriebs- und Sicherheitskonzepten.

Es ist verständlich, dass derartig komplexe und von technischen Spezifikationen abhängige Regelwerke nicht nur am ”Grünen Tisch” entwickelt, sondern vor einer endgültigen Beschlussfassung auch in einem Pilotbetrieb auf ihre Wirksamkeit und Vollständigkeit hin überprüft werden. Während dieser Phase, die nur in einem eng begrenzten überschaubaren Umfang sowie unter einer besonderen ”Beobachtung” der beteiligten Stellen ablaufen darf, ist es vertretbar, noch nicht alle an sich erforderlichen Sicherheitsvorkehrungen zu aktivieren. Eine zeitliche Begrenzung und eine genaue Überwachung des Systems im Testbetrieb ist jedoch obligatorisch. Außerdem dürfen die ”weißen Flecke” in den Betriebs- und Sicherheitskonzepten nicht zu groß sein, weil sonst die Sicherheitsrisiken nicht mehr überschaubar sind. Nicht ohne Grund hat der Gesetzgeber den Echteinsatz automatisierter Verfahren von einem geordneten Test- und Freigabeverfahren abhängig gemacht.

Vom Innenministerium hätte man erwarten können, dass der Echtbetrieb eines sicherheitstechnisch so anspruchsvollen Projektes erst nach Festlegung aller Details und nach Abschluss aller Tests erfolgen würde. Bis zum Redaktionsschluss dieses Berichtes hatte jedoch noch niemand auf den berühmten roten Knopf gedrückt. Gleichwohl war bereits im Herbst 2001 in der Hauszeitschrift der Datenzentrale Schleswig-Holstein (bemerkenswerter Weise nicht in einer Publikation des Innenministeriums) zu lesen: ”Das Projekt Landesnetz ist lange aus der Visionsphase heraus. Gegenwärtig sind bereits über 200 Teilnehmeranschlüsse in Schleswig-Holstein realisiert ... Inzwischen ist beabsichtigt, stufenweise in den folgenden Jahren bis ca. 400 Organisationen anzuschließen.” Der Innenminister hat dieser Darstellung nicht widersprochen.

Das seit Ende 2001 gültige Sicherheitskonzept ist zwar von uns analysiert worden. Etwa ein Drittel der sich daraus ergebenden Fragestellungen wurden aber vom Innenministerium nur mit dem Hinweis auf noch nicht definierte Sicherheitschecks beantwortet bzw. als ”offene Punkte” bezeichnet. Technisch funktioniert das Landesnetz. Ob es allerdings nachweisbar mit der gebotenen Sicherheit funktioniert, können wir noch nicht beurteilen. Es kann gut sein, dass man nach einem genauen Durchleuchten aller technischen Komponenten und Abläufe zu dem Ergebnis kommt, dass das erforderliche und angemessene Sicherheitsniveau erreicht und das verbleibende Restrisiko vertretbar ist. Das im Verhältnis zu anderen IT­Maßnahmen dieser Größenordnung straffe Projektmanagement spricht durchaus dafür. Es kann aber auch sein, dass in den noch offenen Punkten bisher nicht erkannte Sicherheitslücken stecken, und vor allen Dingen, dass sich die revisionsfähige Überwachung des laufenden Betriebes des Landesnetzes als problematisch erweist.

Für eine detaillierte Darstellung der noch nicht aktivierten Sicherheitschecks ist ein der Öffentlichkeit zugänglicher Tätigkeitsbericht sicher nicht der geeignete Ort. Welche Bandbreite die derzeit erörterten Fragestellungen umfassen, mögen daher nur zwei Beispiele verdeutlichen:

  • An verschiedenen Stellen des Landesnetzes, insbesondere in den Parametern der Übergaberouter ist hard- und softwaretechnisch festgelegt, welche Kommunikationen für die betreffende Behörde möglich sein sollen. Die Konfiguration dieser Systeme kann nicht von den Teilnehmern selbst vorgenommen werden, sondern erfolgt auf deren Antrag durch die Datenzentrale bzw. die Deutsche Telekom AG als die Dienstleister des Innenministeriums. Es dürfte unbestritten sein, dass bei einem solchen Anweisungs- und Durchführungsprozess auch Fehler passieren. Solange diese dazu führen, dass eine bestimmte Kommunikationsmöglichkeit nicht freigeschaltet worden ist, hält sich das sicherheitstechnische Risiko in Grenzen. Werden aber ungewollte Kommunikationswege freigeschaltet oder missverständliche bzw. falsche Anweisungen erteilt, kann dies weit reichende datenschutzrechtliche Folgen haben. Standardmäßig gibt man bei dieser Konstellation daher der anweisenden Stelle einen lesenden Zugriff auf die generierten Parameter mit der Maßgabe, in regelmäßigen Abständen und nach jeder Änderung die Korrektheit der gespeicherten Werte zu überprüfen. Diese Möglichkeit ist im Landesnetz bisher noch nicht vorgesehen. Ursache hierfür sind offenbar technische Probleme.

  • Die Sicherheits- und Strafverfolgungsbehörden haben unter bestimmten rechtlichen Voraussetzungen, die z. B. im Telekommunikationsgesetz und im G10­Gesetz definiert sind, einen Anspruch darauf, dass der Inhalt von Kommunikationsvorgängen und die Tatsache, wer wann mit wem kommuniziert hat, aufgezeichnet werden. Die Betreiber von Telekommunikationseinrichtungen haben in ihren technischen Systemen entsprechende Schnittstellen einzurichten. Für das Landesnetz ist derzeit noch nicht geklärt, ob die Pflicht zur Einrichtung derartiger Mitschnittmöglichkeiten und zur Duldung von Abhörmaßnahmen der Deutschen Telekom AG obliegt, weil sie dem Innenministerium den so genannten Backbone zur Verfügung stellt, oder aber ob der Innenminister selbst aufgrund seiner Betreibereigenschaft als Telekommunikationsanbieter anzusehen ist. Hierbei handelt es sich nicht nur um eine Rechts-, sondern auch um eine Sicherheitsfrage. Wenn nämlich entsprechende technische ”Anzapfmöglichkeiten” vorgehalten werden, muss auch geklärt sein, wie eine missbräuchliche Nutzung wirksam unterbunden werden kann. Hierüber trifft das Sicherheitskonzept noch keine Aussagen.


Vor diesem Hintergrund wird mit dem Innenministerium zu klären sein, wie die Defizite bezüglich der Ordnungsmäßigkeit des Landesnetzes kurzfristig behoben werden können. Es ist unumgänglich, die noch ausstehenden Sicherheitsmaßnahmen kurzfristig zu realisieren und die Version 1.0 des Landesnetzes auch offiziell in Betrieb zu nehmen, damit die Anwender wissen, welche ergänzenden technischen und organisatorischen Voraussetzungen für eine sichere Kommunikation nach wie vor von ihnen selbst geschaffen werden müssen. Das gilt insbesondere für Verwaltungen mit einem hohen Schutzbedarf, wie z. B. die Polizei, die Staatsanwaltschaft oder die Steuerverwaltung.

Was ist zu tun?
Der Innenminister als Betreiber des Landesnetzes muss nicht nur den Nachweis erbringen, dass es funktioniert, sondern auch, dass es mit der gebotenen Sicherheit funktioniert. Dazu bedarf es der abschließenden Definition aller Sicherheitskomponenten und deren offiziellen Inbetriebnahme.

7.3

Sicherheitskonzept für das Sprachnetz immer noch nicht schlüssig

Auch im dritten Jahr des Betriebes des Sprachnetzes fehlt es noch an einem vom Finanzministerium als dem verantwortlichen Betreiber genehmigten Sicherheitskonzept. Da das Gesamtsystem einschließlich der Administration von der Deutschen Telekom AG als Paket übernommen wurde, ist das Ministerium darauf angewiesen, die ihm vorgelegten Unterlagen zu prüfen. Für die Erarbeitung eigener Konzepte fehlen die personellen Kapazitäten und das Know-how.

Die Besonderheit des Sprachnetzes besteht darin, dass der Betrieb der technischen Systeme und deren Administration auf der Grundlage vertraglicher Vereinbarung durch die Deutsche Telekom AG erfolgt. Das Finanzministerium ist zwar der verantwortliche Betreiber, hält aber wegen dieses Outsourcings nicht mehr die erforderliche Fachkompetenz vor, um selbst ein Sicherheitskonzept zu erstellen, und es dem Dienstleister als Vorgabe zu präsentieren (vgl. 23. TB, Tz. 7.3). Es ist darauf angewiesen, die ihm von dem externen Dienstleister vorgelegten Vorschläge für Sicherheitsmaßnahmen zu prüfen, sie zu akzeptieren oder zu verwerfen. Auch im dritten Jahr des Betriebs des Netzes ist dieser Prozess noch nicht abgeschlossen.

Nach einem immerhin einjährigem Verzug liegt nunmehr eine prüffähige Unterlage vor. Sie ist nach unserer Einschätzung (die vom Finanzministerium geteilt wird), noch nicht schlüssig und bedarf vielfältiger Konkretisierungen. Dies mögen folgende Beispiele für sicherheitstechnisch signifikante Problembereiche verdeutlichen:

  • Es ist der Deutschen Telekom AG erlaubt, zur Erbringung der vertraglichen Leistungen Subunternehmer einzusetzen. Von diesem Recht wurde in der Weise Gebrauch gemacht, dass von ihr die ”Siemens Business Services GmbH & Co. OHG” (SBS) mit der Bereitstellung der Telekommunikationsanlagen einschließlich der darin betriebenen Endeinrichtungen und dem dazugehörigenden Service beauftragt worden ist. Die SBS ist Eigentümer der eingesetzten Telekommunikationseinrichtungen und stellt die Hardware, Software und ihre Dienstleistungen der Deutschen Telekom AG zur Verfügung. Allerdings hat die Firma SBS mit der Abteilung ICN der Firma Siemens AG ihrerseits einen weiteren Subunternehmer eingeschaltet, der einen Teil der Aufbau- und Serviceleistungen erbringt. Ein anderer Teil wird von dem ”Service der Deutschen Telekom AG” in Subunternehmerfunktion für die Firma SBS erbracht. Der Subauftraggeber ist also gleichzeitig Subunternehmer seines Subunternehmers. Außerdem ist der Generalauftragnehmer des Finanzministeriums nicht Eigentümer der Hard- und Softwarekomponenten, die den wesentlichen Inhalt des Auftragsverhältnisses ausmachen. Diese Konstruktion ist so untypisch, dass es sehr detaillierter Einzelregelungen bedarf, um sicherzustellen, dass in rechtlichen Konflikt- und in technisch-organisatorischen Problemfällen die Beherrschbarkeit des Gesamtsystems durch das Finanzministerium gewährleistet ist. Die datenschutzrechtlichen Vorgaben können nur dann als erfüllt angesehen werden, wenn sich das Finanzministerium den vollen Durchgriff auf alle beteiligten externen Dienstleister vorbehält und diesen im Rahmen einer aktiven Revision auch wahrnimmt.

  • Das Customer-Service-Center (CSC) ist eine Organisationseinheit, die zwar in einem Gebäude der Deutschen Telekom AG untergebracht ist, deren Personal jedoch sowohl von ihr als auch von der Firma SBS gestellt wird. In die praktischen Abläufe sind offenbar außerdem auch Mitarbeiter der Firma Siemens AG eingebunden. Aus den vorgelegten Unterlagen geht nicht hervor, ob es den beteiligten Unternehmen außerdem gestattet ist, bestimmte Aktivitäten auch außerhalb der Räumlichkeiten des CSC abzuwickeln. Wir haben deshalb empfohlen, hierüber eindeutige Vereinbarungen zu treffen. Im Ergebnis muss vom Finanzministerium festgelegt werden, von welchen Orten wer auf welche Datenbestände zugreifen und welche Veränderungen vornehmen kann.

  • Die im CSC zwischengespeicherten Gebührendaten sind zwar in einer passwortgeschützten Datei abgelegt, das Konzept enthält jedoch keine Aussagen darüber, welche Personen im CSC dieses Passwort kennen und damit Zugriff auf die Datensätze haben. Weiterhin ist unklar, ob nach Abruf der Daten von den einzelnen Telekommunikationsanlagen dort eine ”echte” Löschung erfolgt.

  • Die bezüglich der Funktionen ”Voice-Mail” und ”Fax-Mail” von uns bereits mehrfach gestellte Frage, ob eine Löschung der gespeicherten Daten durch den Angerufenen tatsächlich eine spätere Rekonstruktion ausschließt, ist nach wie vor nicht geklärt. Die Zugriffe auf die Datenbestände sollen zwar passwortgeschützt sein. Da das Passwort allerdings vom CSC vergeben und die Zugriffe von dort überwacht werden sollen, bedarf es einer genauen Darstellung der dort bestehenden ”Gewaltenteilung”. Zu klären wäre auch die Frage, wie sich bei Abwesenheit des Angerufenen die Dienststelle bzw. der Vertreter die (dienstlichen) Daten verfügbar machen können.

  • Vergleichbare Unklarheiten bestehen nach wie vor bezogen auf das Rufjournal. Fakt ist, dass ein erfolgreicher Anruf von außen spurenlos durch das System durchgeleitet wird. Da bei eingeschaltetem Rufjournal jeder Anrufversuch registriert wird, entsteht jedoch ein Datenbestand, der sowohl für den Anrufer als auch für den Angerufenen rechtlich relevant werden kann. Besonders verwirrend ist in diesem Zusammenhang die Speicherung des vermeintlichen Namens des Anrufers. Es ist eine reine Fiktion, dass in jedem Fall nur der registrierte Nutzer des Anschlusses einen Anruf tätigt. Bei Anrufen von außen dürfte der Name des Anschlussinhabers ohnhin nicht bekannt sein.

  • Das Konzept konstatiert zwar, dass im CSC für einen Mitarbeiter des Finanzministeriums ein Arbeitsplatz eingerichtet wird, von dem aus die Einhaltung der Datenschutzbestimmungen kontrolliert werden kann, über den technischen Anschluss dieses Arbeitsplatzes, über die zur Verfügung stehenden Datenbestände, deren Auswertbarkeit, ihre Revisionsfestigkeit usw. enthält das Konzept jedoch keine detaillierten Angaben. Hier wird deutlich, dass die Vorschläge der Deutschen Telekom AG und der Firma SBS um konzeptionelle Vorgaben des Finanzministeriums ergänzt werden müssen. Wenn die gesamte operative Administration der Telekommunikationsanlagen von externen Dienstleistern abgewickelt wird, lässt sich die rechtliche und sicherheitstechnische Korrektheit des praktischen Betriebs nur gewährleisten, wenn die Einhaltung des Sicherheitskonzeptes revisionsfest protokolliert und systematisch überwacht wird. Zurzeit können daher über die Wirksamkeit der geplanten Revision noch keine Aussagen getroffen werden.

Was ist zu tun?
Die vorstehend beschriebenen Defizite müssen zeitnah behoben werden. Notwendig ist ein vom Finanzministerium genehmigtes Pflichtenheft, das die Verfahrensweise für den praktischen Betrieb des Sprachnetzes und die Verantwortlichkeiten des Finanzministeriums, der an das Sprachnetz angeschlossenen Behörden, der Deutschen Telekom AG, der Firma SBS und der anderen externen Dienstleister verbindlich festlegt. Hieran anschließen muss sich die für ”gemeinsame Verfahren” obligatorische Vorabkontrolle.

7.4

IKOTECH III - der neue Datenverarbeitungs- und Kommunikationsstandard

Nach der Inbetriebnahme des Landesnetzes mit den Teilkomplexen Sprach- und Datenkommunikation errichtet die Landesregierung nunmehr die dritte große Säule des Landessystemkonzeptes. Wiederum übernimmt das Innenministerium Funktionen und Verantwortungen, die bisher in den einzelnen Ressorts gelegen haben. Die sich daraus ergebenden aufbau- und ablauforganisatorischen sowie sicherheitstechnischen Konsequenzen bedürfen noch einer sorgfältigen Prüfung.

Die von der IT-Kommission des Landes im Dezember 2001 verabschiedeten ”Rahmen- und Anschlussbedingungen für Organisation, Technik und Betrieb von IKOTECH III” beschreiben folgende Zielrichtungen des Projektes: IKOTECH III soll einerseits dem Aus- und Aufbau einer weitestgehend zentral administrierbaren Servicelandschaft und andererseits der Entwicklung moderner, multimediafähiger Büroarbeitsplätze dienen. Um diese Arbeitplätze nutzen zu können, ist der Anschluss der betreffenden Landesbehörde an die zentralen IKOTECH III-Services verbindlich. Deshalb gliedert sich das Projekt in die drei Verantwortungsbereiche ”Organisation”, ”System” und ”Büro”.

Das Innenministerium übernimmt also sowohl eine Betreiberfunktion wie beim Landesnetz als auch die Rollen eines Softwarehauses und einer Serviceeinrichtung. Die Betreiberfunktion bezieht sich auf die Verwaltung des so genannten Verzeichnisdienstes, ohne den eine ressortübergreifende Kommunikation nicht möglich ist. Softwarehaus ist das Innenministerium insofern, als es den Behörden im Lande Standardkonfigurationen für die einheitlichen Betriebssystemkomponenten nach entsprechenden Tests zum Einsatz anbietet (ohne dass für die Behörden eine Installationspflicht besteht). Wenn einzelne Ressorts oder Behörden sich mit der eigenständigen Administration ihrer Systeme überfordert fühlen, können sie diese Arbeiten als Service vom Innenministerium erledigen lassen. Das Innenministerium bedient sich in allen drei Fällen der Datenzentrale als externem Dienstleister.

Diese vom Grundsatz zu begrüßende Konstruktion wirft eine Vielzahl sicherheitstechnisch relevanter Fragen auf, die in dem (derzeit noch im Entwurfsstadium befindlichen) Sicherheitskonzept beantwortet werden müssen. Einige Beispiele mögen dies verdeutlichen:

  • Die neuen Zuständigkeitsregelungen und Verantwortungsabgrenzungen sind im Hinblick auf die unterschiedlichen Kooperationsmöglichkeiten zwischen den Ressorts und dem Innenministerium noch nicht abschließend definiert.

  • Von zentraler Bedeutung ist, welche Eingriffsmöglichkeiten des Innenministeriums bzw. der Datenzentrale auf die Administrationsebene der ressorteigenen Systeme sich aus der Administration des zentralen Verzeichnisdienstes ergeben (gegebenenfalls sogar ergeben müssen).

  • Es muss allen Beteiligten transparent gemacht werden, welche Systemsteuerungsdaten, Informationen über Zugriffsrechte, Passwörter, Benutzerprofile usw. an welchen Stellen abgelegt und wem zugänglich sind.

  • Die Organisation des E-Mail-Verkehrs erscheint im Hinblick auf die Zwischenspeicherungsnotwendigkeiten noch klärungsbedürftig. Das Gleiche gilt für die Protokollierungsmöglichkeiten.

  • Der Innenminister sollte seinen ”Kunden” deutlich machen, welche Sicherheitsanforderungen er an seinen externen Dienstleister (Datenzentrale) gestellt hat.

  • Generell muss geklärt werden, wer die Betreiber- und Servicefunktion des Innenministeriums und die tatsächlichen Aktivitäten des externen Dienstleisters im Sinne einer Revision wie überwachen kann.

Das von der IT-Kommission ebenfalls im Dezember 2001 verabschiedete IKOTECH III-Einsatzkonzept trifft hierüber noch keine abschließenden Aussagen, sodass dem Sicherheitskonzept eine große Bedeutung beikommt.

Was ist zu tun?
Das Innenministerium sollte das Sicherheitskonzept für das Projekt IKOTECH III zügig erarbeiten und vor der endgültigen Beschlussfassung über die zu realisierenden technischen und organisatorischen Maßnahmen eine gründliche Prüfung durch die beteiligten Ressorts und gegebenenfalls auch durch uns veranlassen. Zumindest der zentrale Verzeichnisdienst ist als ein ”gemeinsames automatisiertes Verfahren” anzusehen, das einer Vorabkontrolle durch den behördlichen Datenschutzbeauftragten oder durch das Unabhängige Landeszentrum für Datenschutz unterliegt.

7.5

Prüfungen automatisierter Verfahren

7.5.1

Eine Verwaltung - drei IT-Welten

In der schleswig-holsteinischen Verwaltung gibt es nur wenige Organisationseinheiten mit mehr als 500 IT-gestützen Arbeitsplätzen. Sie sind in den vergangenen Jahren praktisch alle einer datenschutzrechtlichen und sicherheitstechnischen Überprüfung unterzogen worden. Da die ersten Kontrollen über 20 Jahre zurückliegen, haben wir mit systematischen Wiederholungsprüfungen begonnen.

Als wir uns vor mehr als zwei Jahrzehnten erstmalig mit der automatisierten Datenverarbeitung der Stadt Neumünster befasst haben, hatten die Rechner noch die Ausmaße großer Kleiderschränke, sie wurden wegen der immensen Kosten von den Stadtwerken, der Stadtsparkasse und der Stadtverwaltung gemeinsam betrieben, und ihre Funktionalität war auf die von schnellen Schreib- und Rechenmaschinen begrenzt. An den Arbeitsplätzen in den Fachämtern wurden für jeden Verarbeitungsprozess Erfassungsbelege ausgefüllt, die Ergebnisse stellten sich als Berge übergroßer papierener Bescheide und schwer zu handhabender Computerlisten dar. Andererseits war die Stadtverwaltung Neumünster als ein Pionier der automatisierten Datenverarbeitung im Land anzusehen.

Daher war zu erwarten, dass sich die Informationstechnik gerade unter diesen Vorzeichen zu einem umfassenden und homogenen Arbeitsmittel entwickelt hätte. Ersteres war zutreffend: Wir fanden eine Client-Server-Welt vor, die aus über 20 Zentralrechnern, ca. 550 Arbeitsstationen, fünf verschiedenen Betriebssystemen, fünf Datenbanksystemen, zwölf selbst konzipierten sowie aus ca. 40 auf Fremdprodukten basierenden automatisierten Verfahren bestand. Allerdings konnte von einer aufbau- und ablauforganisatorischen Homogenität der Datenverarbeitung keine Rede sein. Vielmehr hatten sich in der Stadtverwaltung drei höchst unterschiedliche IT-Welten entwickelt:

  • eine zentrale IT-Organisation,

  • verschiedene fachbereichsbezogene PC-Welten und

  • eine von der übrigen Stadtverwaltung abgekoppelte IT-Organisation im Bereich des Beschäftigungsbeauftragten.

Während die Gestaltung und der Betrieb der zentral gesteuerten automatisierten Verfahren nur wenig Anlass zu datenschutzrechtlichen und sicherheitstechnischen Beanstandungen gab (ihre Dokumentation war sogar außergewöhnlich vollständig und übersichtlich), ergab sich für die PC-Welt in den einzelnen Fachdiensten ein grundlegend anderes Bild. Es zeigte sich bereits bei punktuellen Überprüfungen, dass ein inhaltlich schlüssiges IT-Konzept im Jahr 1998 viel zu spät in Kraft gesetzt worden war. Bereits vorher hatten sich nämlich in den verschiedenen Organisationseinheiten Verfahrensweisen etabliert, die den Vorgaben dieses Konzeptes teilweise diametral entgegenstanden. Es macht z. B. für die Durchführung von ”IT-Projekten” die Vorgabe, dass eine gründliche Vorplanung bestehend aus einer Anwendungskonzeption, einem Pflichtenheft sowie der Darstellung von Realisierungsstufen vorzunehmen ist. Wäre dies in allen Fällen geschehen, hätten sich z. B. folgende Mängel verhindern lassen:

  • Die Verfahrensdokumentationen waren unvollständig, teilweise waren überhaupt keine Freigabeunterlagen vorhanden.

  • Gesundheits- und Beurteilungsdaten waren unverschlüsselt auf zentralen Servern abgelegt.

  • Die Passwörter wurden unverschlüsselt gepeichert, Passwortwechsel wurden nicht vorgenommen.

  • Nicht mehr erforderliche Sozialdaten konnten nicht gelöscht werden, weil in der Software diese Funktion nicht vorgesehen war.

  • Seit Jahren erfolgte keine Löschung der nicht mehr benötigten Textdokumente, selbst dann nicht, wenn sie sensible Personal-, Steuer- oder Sozialdaten enthielten.

  • Eine Dokumentation der Zugriffsberechtigungen auf die Vielzahl der Datenbestände bestand nicht, hieraus resultierten u. a. zu weit gehende Zugriffsrechte auf Sozialdaten.

  • Diese eher technischen Mängel korrespondierten mit organisatorischen Unzulänglichkeiten. So erfolgte selbst im Personalamt die Entsorgung von Schriftstücken mit personenbezogenem Inhalt über die Papierkörbe, weil es an Schreddern fehlte. Das ”Informationsbüro” im Sozialamt ist als ”Glaskasten” gestaltet, sodass man sogar von der Straße aus sehen kann, wer Sozialhilfe in Anspruch nimmt. Außerdem waren die Arbeitsplätze und Wartezonen so beengt, dass bei den Gesprächen zwischen den Mitarbeitern und den Sozialhilfeempfängern viele Menschen zwangsweise mithörten, sodass von einem Sozialgeheimnis nicht die Rede sein konnte.

Bemerkenswert ist allerdings, dass auf Betreiben des zentralen EDV-Dienstes darauf verzichtet worden ist, das interne Netz der Stadtverwaltung mit dem Internet zu verbinden. Aus Sicherheitsgründen findet die Internet-Kommunikation nur über unvernetzte PC in den einzelnen Fachbereichen statt. Das gilt jedoch nicht für den auch im Übrigen abgekoppelten Bereich des Beschäftigungsbeauftragten.

Die technischen und organisatorischen Sicherheitsmaßnahmen in diesem Bereich mussten angesichts der Schutzbedürftigkeit der verarbeiteten Daten als völlig unzureichend angesehen werden. Zu den Aufgaben des Beschäftigungsbeauftragten gehört es nämlich, Arbeitssuchende vorübergehend in Projekten zu beschäftigen, sie zu beraten, bei der Erstellung von Bewerbungsunterlagen zu unterstützen, weiter zu vermitteln und Hilfestellungen in persönlichen Problemsituationen zu geben. Aufgrund dessen werden Informationen über Lebensläufe, Arbeitsverträge, Zeugnisse, berufliche Werdegänge, familiäre Situationen, Gesundheitszustände und ”Vermittlungshemmnisse” gespeichert.

Die dazu erforderlichen Hard- und Softwarekomponenten sowie die Datenbanken wurden überwiegend von befristet beschäftigten oder sonstigen Hilfskräften ohne konkrete konzeptionelle Vorgaben betreut. Eine Koordination mit den anderen Stellen der Verwaltung insbesondere mit dem zentralen EDV-Dienst fand praktisch nicht statt. Es handelte sich im Ergebnis um eine Art ”Training on the Job”.

Dieses Konzept ist unter Sicherheitsgesichtspunkten als gründlich misslungen zu bezeichnen. Die Mängelliste nur in diesem Bereich umfasst immerhin 37 Positionen. Eine detaillierte Darstellung würde dem Umfang dieses Berichtes sprengen und wäre im Hinblick auf die Reaktion der Stadt auf unsere Beanstandungen auch nicht zweckdienlich. Sie hat nämlich mit einer außergewöhnlichen Konsequenz reagiert. Ohne die Dinge zu beschönigen, ist die Behebung der Mängel in Angriff genommen worden. Es wurde eine fachdienstübergreifende Arbeitsgruppe gebildet, die entsprechende aufbau- und ablauforganisatorische Änderungen ausarbeiten und umsetzen soll. Weiterhin fanden von uns moderierte Workshops statt, in denen die künftigen (richtigen) Verfahrensweisen mit den Verantwortlichen der einzelnen Bereiche diskutiert wurden. Über den Fortgang der Arbeiten sollen wir informiert werden.

Was ist zu tun?
Die Stadt Neumünster muss die datenschutzrechtlichen und sicherheitstechnischen Mängel zügig beseitigen.

7.5.2

Eine etwas andere Behörde

Die Behörden der Landes- und der Kommunalverwaltung sowie der anderen öffentlichen Stellen befassen sich zu einem weit überwiegenden Teil, teilweise sogar ausschließlich, mit der Verarbeitung personenbezogener Daten. Im Landesamt für Natur- und Umweltschutz spielen personenbezogene Daten nur eine untergeordnete Rolle. Wird der Datenschutz deshalb vernachlässigt?

Obwohl im Landesamt für Natur- und Umweltschutz (LANU) mehr als 300 Arbeitsplätze mit PC ausgerüstet und 15 Zentralrechner installiert sind, war es nicht ganz einfach, die personenbezogenen Datenbestände aufzuspüren. Im Verhältnis zu der Gesamtmenge der überwiegend wissenschaftlichen Daten nehmen sie nur eine untergeordnete Rolle ein. Es handelt sich im Wesentlichen um Personaldaten. Weitere personenbezogene Datenbestände fanden sich in den Bereichen der Umwelttoxikologie und des Natur-Umwelt-Informationssystems (NUIS), das sich aus dem landschafts- und dem wasserwirtschaftlichen Informationssystem sowie dem Bodenkataster, dem Abfallüberwachungs- und dem abfallwirtschaftlichen Informationssystem zusammensetzt.

Die einzelnen automatisierten Fachverfahren gaben keinen Grund zu größeren Beanstandungen. Als problematisch erwies sich jedoch das Management der mit den Bürokommunikationspaketen erzeugten Datenbestände. Mit ihnen wurden im Laufe der Jahre insgesamt ca. 180.000 Dateien mit einem Datenvolumen von ca. 23 Gigabyte erzeugt. Zu 99 % handelt es sich um nicht personenbezogene, wissenschaftliche Daten, für die keine Löschungsnotwendigkeit besteht. Der Rest von einem Prozent mit Personenbezug wurde aber nicht etwa separiert, sondern befindet sich als Einsprengsel in diesem riesigen Datenpool. Eine systematische Löschung der zweifelsfrei nicht mehr erforderlichen Dokumente und Dateien ist also praktisch unmöglich. Seiner Löschungsverpflichtung kann das LANU also nur dann nachkommen, wenn sie zufällig entdeckt werden. Eine Reorganisation der Datenhaltung wurde uns zugesagt.

Auch in einem zweiten Punkt unterscheidet sich die Datenverarbeitung des LANU von der anderer Behörden: Wegen der in vielen Teilbereichen wissenschaftlichen Ausrichtung wird von allen Mitarbeitern eine Informationsgewinnung und eine Kommunikation über das Internet erwartet. Dies führt täglich zu vielfältigen Internet-Aktivitäten. Downloads sind zwar nur dem IT-Dezernat gestattet, eingegangene E-Mails sind auf Viren zu überprüfen und ausgehende E-Mails mit personenbezogenem Inhalt sind zu verschlüsseln. Ansonsten sind den Nutzern aber keine Beschränkungen auferlegt, wenn die Internet-Nutzung denn dienstlichen Zwecken dient.


Die bewusste Öffnung des internen Netzes des LANU zum Internet hin warf die Frage auf, ob und mit welchem Aufwand ein Angriff auf die Vertraulichkeit der gespeicherten personenbezogenen Datenbestände erfolgreich sein könnte. Wir haben dies (soweit möglich) mit Wissen des LANU durch ”Angriffe” von außen getestet. Dabei stellten wir fest, dass die Einhaltung des Verbotes von Downloads aus dem Internet faktisch nicht zu überprüfen ist. Ob sich die Mitarbeiter an die Anweisung halten oder nicht, musste ebenso unbeantwortet bleiben wie die Frage, ob sie in unzulässiger Weise Kopien vertraulicher Unterlagen in den häuslichen Bereich mitnehmen. Faktisch kann beides technisch nicht überwacht werden.

E-Mail-Angriffe sind grundsätzlich dadurch möglich, dass man bekannte Softwarefehler, die nicht rechtzeitig durch entsprechende Korrekturen (Patches) behoben worden sind, ausnutzt oder dass man schädigenden Code auf den Rechner platziert, wenn die Mitarbeiter unvorsichtig mit E-Mails umgehen. Die von uns gestarteten Angriffe waren nicht erfolgreich. Dies lässt allerdings keine sicheren Rückschlüsse auf die Zukunft zu, weil die Tatsache unserer Überprüfung und der Tests den Mitarbeitern des LANU bekannt war. Man darf unterstellen, dass sie in dieser Zeit besonders vorsichtigt agiert haben.

Im Rahmen der Prüfung stellte sich heraus, dass das LANU eine Firewall der Datenzentrale einsetzt, deren Filterregeln es nicht im Detail kennt. Dies ist ein unbefriedigender Zustand, weil die Datenzentrale offenbar generell nicht bereit ist, ihren Kunden gegenüber dieses ”Geheimnis” zu lüften, angeblich aus Sicherheitsgründen. Wir haben dem Landesamt unsere Unterstützung bei der Lösung dieser Grundsatzfrage im Rahmen der Konzipierung des Landesnetzes (Tz. 7.2 und Tz. 7.4) zugesagt.

Was ist zu tun?
Das Landesamt für Natur- und Umweltschutz wird sein Datenmanagement grundlegend reorganisieren müssen. Die Absicherung des Verwaltungsnetzes gegenüber dem Internet wird sich nicht auf Dauer nur auf organisatorische Regelungen stützen lassen.

7.5.3

Verwirrende Systemadministration

Sicherheitstechnische Überprüfungen werden, wenn keine schriftlichen Unterlagen vorgelegt werden können, im Wesentlichen in Form von ”Interviews” der beteiligten Mitarbeiter vor Ort durchgeführt. Dabei ergaben sich bisher höchst selten nachträgliche Interpretationsschwierigkeiten. Das Landesamt für Gesundheit und Arbeitssicherheit stellte die Organisation der Systemadministration in ihren Außenstellen nachträglich allerdings ganz anders dar, als wir sie vorgefunden haben.

Die Errichtung des Landesamtes für Gesundheit und Arbeitssicherheit erfolgte 1998 im Zusammenhang mit einer Strukturreform der nachgeordneten Behörden in den Geschäftsbereichen mehrerer Ministerien. Es gliedert sich in sieben Dezernate am Standort Kiel und die zwei von uns geprüften unselbstständigen Außenstellen in Itzehoe und Lübeck. Die EDV-Ausstattung war bei der Gründung an allen drei Standorten unterschiedlich. Hieraus resultieren eine Reihe sicherheitstechnischer Unzulänglichkeiten, die nach Aussagen des Landesamtes alsbald behoben werden sollen.

Unsere Kritik an unklaren Zuständigkeiten bezüglich der Systemadministration und den daraus resultierenden Sicherheitsrisiken hielt man allerdings nicht für gerechtfertigt, weil aus der Sicht der Behördenleitung die Organisationsstruktur eine ganz andere war, als sie von uns vorgefunden wurde. Selbst offene Diskettenlaufwerke an den Arbeitsplätzen und ein offiziell nicht freigegebener Internet-Zugang der Systemadministratoren, deren Risikopotenzial von den Mitarbeitern ”vor Ort” nicht bestritten worden ist, wurden nachträglich gerechtfertigt. Das Landesamt wird sich mit seinen Außenstellen in absehbarer Zeit den IKOTECH-Konventionen anschließen. Die dabei notwendigen Strukturänderungen werden dazu führen, dass derartige Diskrepanzen in Zukunft nicht mehr entstehen können.

Was ist zu tun?
Spätestens im Zusammenhang mit der Einführung der IKOTECH-Konventionen muss das Landesamt für Gesundheit und Arbeitssicherheit für eindeutige Verantwortlichkeiten bezüglich der Administration seiner IT-Systeme sorgen und ein verbindliches Sicherheitskonzept aufstellen.

7.5.4

Computer in Kommunen nach wie vor ein Sicherheitsrisiko

Die Überprüfung des Sicherheitsniveaus der informationstechnischen Systeme insbesondere in kleinen und mittleren Kommunalverwaltungen ist längst zur Routine geworden. Die meisten Systemadministratoren freuen sich über unsere Kontrollen, weil sie Hilfestellungen bei der Lösung ihrer Probleme erwarten. Nach wie vor sind viele Risiken hausgemacht, weil von den Mitarbeitern der EDV-Stellen mehr erwartet wird, als sie unter den gegebenen Umständen leisten können.







Noch vor wenigen Jahren wäre es undenkbar gewesen, dass Systemadministratoren bei uns anfragen, wann ihre Behörde denn ”endlich” auf dem Prüfungsplan steht, man wolle gerne die selbst noch nicht entdeckten sicherheitstechnischen Schwachstellen aufgezeigt bekommen und beheben. Nachdem ein Großteil der für die Informationstechnik in den Kommunen zuständigen Mitarbeiter Kurse an der DATENSCHUTZAKADEMIE Schleswig-Holstein besucht und dort unsere Prüfer kennen gelernt hat, sind derartige Gespräche alltäglich. Höchst selten treffen wir bei Prüfungen auf Administratoren mit einem zu gering ausgeprägten Sicherheitsbewusstsein; die weit überwiegende Zahl von ihnen hat den Ehrgeiz, ein sicheres System vorzuweisen.

Es stellt sich daher wie in den vergangenen Jahren (vgl. 23. TB, Tz. 7.5.2) die Frage, warum unsere Prüfungen dann immer noch zu so vielen Beanstandungen führen.

  • Warum finden wir Software vor, von der niemand weiß, wozu sie gebraucht wird, und warum gibt es Benutzerkonten, deren Zweck niemand kennt?

  • Warum werden externe Dienstleister ohne schriftliche Verträge eingeschaltet und ihre Arbeit nicht kontrolliert?

  • Warum kauft man sich eine Firewall ein, ohne sich erläutern zu lassen, welche Angriffe aus dem Internet sie ausfiltert?

  • Warum sperrt man das System nicht, wenn mehrfach falsche Passwörter eingegeben worden sind?

  • Warum werden Sicherheitskomponenten der Betriebssysteme nicht ”eingeschaltet”?

  • Warum gibt es keine eindeutig definierten Zugriffsberechtigungen?

  • Warum wird überflüssiger ”Datenschrott” über Jahre hinweg nicht gelöscht?

  • Warum sind die installierten technischen Systeme, die eingesetzte Software und die gespeicherten Datenbestände so schlecht dokumentiert?

  • Warum werden Tests an ”lebenden Systemen” durchgeführt, obwohl man weiß, dass sie auch schief gehen können?

Neben vielen anderen Gründen sind zwei Aspekte augenfällig:

  • Das Verwaltungsmanagement überfordert häufig ihre meist nur ”nebenbei” als Administratoren tätigen Mitarbeiter.

  • Die externen Dienstleister verhalten sich ihnen gegenüber nicht immer fair.

Der Aufbau und die Administration des laufenden Betriebes von Client-Server-Systemen erfordert ein umfangreiches Fachwissen, das ständig auf dem neuesten Stand gehalten werden muss. Die Erlangung dieser Kenntnisse ist zeit- und kostenaufwändig und führt häufig nicht zu unmittelbar zählbaren Erfolgen. Völlig zu Unrecht wird dies zudem als Fortbildung bezeichnet und ist mit dem Merkmal einer freiwilligen Leistung des Arbeitgebers versehen. Die betreffenden Mitarbeiter müssen allzu häufig nachdrücklich um die Genehmigung zur Teilnahme an einem Lehrgang bitten, anstatt dass man sich seitens der Verwaltung um ihre qualifizierte Ausbildung bemüht. Andererseits erwartet man ein mit einem minimalen Aufwand administriertes, perfekt funktionierendes System. Die Bürgermeister und Selbstverwaltungsgremien forcieren einerseits so risikobehaftete Vorhaben wie die Internet-Kommunikation, um beim E-Government ganz vorne dabei zu sein, andererseits werden den Administratoren sehr selten Testsysteme zur Verfügung gestellt, an denen sie ihre theoretischen Kenntnisse und die Wirksamkeit von Sicherheitsmaßnahmen ausprobieren können.

Wenn wir in unseren Kursen der DATENSCHUTZAKADEMIE Schleswig-Holstein demonstrieren, wie einfach es vielfach ist, die korrekte Arbeitsweise der Systeme und die Vertraulichkeit der Daten zu beeinträchtigen, hören wir immer wieder: ”Das müsste sich mein Chef einmal anhören, dann würde er vielmehr Verständnis für meine Probleme haben” (vgl. Tz. 7.1).

Auch die Softwarehäuser und sonstigen externen Berater sind eher an zufriedenen Chefs interessiert als an einem fairen Umgang mit den ”nachgeordneten” Administratoren. Eine problemorientierte Beratung und die handwerklich ordentliche Abwicklung der Aufträge wird nicht selten dem Diktat des kostengünstigsten Angebots untergeordnet. Anders ist nicht zu erklären, dass selbst die Datenzentrale offenbar nicht in der Lage ist, von ihr installierte Systeme vor der Übergabe von Installations- und Testsoftware sowie von nicht mehr benötigten Benutzerkonten zu ”befreien” und Installationspasswörter zu ersetzen. Gleiches gilt für eine sachgerechte Darstellung der Filtermechanismen von Firewalls (vgl. Tz. 7.5.2).

Was ist zu tun?
Im Verwaltungsmanagement muss ein Umdenkungsprozess stattfinden. Eine gut funktionierende Systemadministration ist genau so wichtig wie z. B. die fachlich korrekte Arbeit in der Kämmerei, dem Steuer- und dem Sozialamt. Qualifizierte Mitarbeiter fallen jedoch nicht vom Himmel, sie müssen ausgebildet und gefördert werden.

7.6

Wohin mit den Altakten?

Aus der Presse erfuhren wir, dass in frei zugänglichen, unverschlossenen Müllcontainern eines Krankenhauses Papiere und Unterlagen mit personenbezogenen Patientendaten gefunden worden waren. Bei 50 privaten und öffentlichen Stellen mit besonders sensiblen Datenbeständen führten wir daraufhin unangemeldet Prüfungen durch.

Das Ergebnis war erschreckend. Bei zehn Stellen fanden sich höchst vertrauliche Unterlagen in Müllcontainern: Ärztliche Gutachten, medizinische Stellungnahmen, Patientenlisten, Beihilfeanträge und -bescheide, Schriftverkehr über die Hormonbehandlung des Sohnes oder die Psychotherapie der Ehefrau, Sozialhilfebescheide, umfangreiche Listen von Sozialhilfeempfängern, Bußgeldbescheide, Vermerke über Pflegekinder und deren Pflegefamilien, Telefonnotizen über Adoptionswünsche, Provisionsabrechnungen - alles war öffentlich zugänglich.

Mehr als verwundert zeigten sich die verantwortlichen Leiter der betreffenden Stellen. Anhand unserer detaillierten Prüfberichte begab man sich umgehend auf Fehlersuche. Dass Unterlagen mit personenbezogenen Daten nicht in den normalen Hausmüll gehören, war allen bekannt. Wie konnte es dennoch zu solchen Schlampereien kommen? Als häufigste Ursache wurde uns individuelles Fehlverhalten einzelner Mitarbeiter genannt. Unkenntnis, mangelnde Sensibilität, Überlastung, Bequemlichkeit und in einem Fall sogar böser Wille waren die Ursachen dafür, dass entgegen bestehender Arbeitsanweisungen Unterlagen nicht datenschutzgerecht entsorgt wurden. Das Fehlen von Aktenvernichtern (Schreddern) und verschließbaren Datensicherheitsbehältern sowie organisatorische Defizite trugen ihr Übriges bei.

Was ist seitdem passiert? Unsere Prüfungsergebnisse wurden den Bediensteten zur Kenntnis gegeben. Arbeitsanweisungen wurden überarbeitet, Informationswege und Arbeitsabläufe optimiert, Aktenvernichter in ausreichender Zahl beschafft, Aufklärungsveranstaltungen und Schulungen der Mitarbeiterinnen und Mitarbeiter (auch der Reinigungskräfte) sowie innerbetriebliche bzw. innerbehördliche Kontrollen durchgeführt. Einige Stellen nahmen die Vorfälle zum Anlass einer umfassenden Sicherheitsprüfung auch in Bezug auf Schließanlagen und Aktenschränke. Insgesamt waren wir überrascht über das positive Echo bei den geprüften Stellen. Es schien ein ”Ruck” durch die Institutionen gegangen zu sein.

Ein Bericht für den Sozialausschuss des Landtages über diese Prüfungen und Feststellungen ist in einer anonymisierten Fassung im Internet unter

www.datenschutzzentrum.de/material/themen/pruefbe/papmuell.htm

veröffentlicht.

Was ist zu tun?
Papiere und Unterlagen mit personenbezogenen Daten gehören nicht in den Müll, sondern sind datenschutzgerecht zu entsorgen. Die Regeln hierfür sind allgemein bekannt zu geben und laufend zu kontrollieren. Aktenschredder sollten zum Bürostandard gehören.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel