Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

7

Systemdatenschutz

7.1

Praxisprobleme bei der Systemadministration

Nahezu alle Behörden im Land betreiben zwischenzeitlich komplexe IT­Systeme in eigener Regie und streben mutig ins Workflow-Management und E-Government. In vielen Fällen kann die Qualität der Systemadministration diesen Anforderungen nicht standhalten, weil an der Ausbildung der betreffenden Mitarbeiter gespart wird und ihre Kompetenzen nicht definiert sind.

Kaum ein sicherheitstechnisches Thema musste in den vergangenen Jahren so häufig in den Tätigkeitsberichten behandelt werden wie die Probleme im Zusammenhang mit der Systemadministration. Es ging dabei z. B. um Mängel bei der Überwachung von Fernwartungen (vgl. 20. TB, Tz. 6.7.5), um fehlende Ausbildungsmöglichkeiten für Verwaltungsinformatiker (vgl. 21. TB, Tz. 6.3), um die Grenzen des Outsourcing der Systemadministration (vgl. 23. TB, Tz. 7.2) und um die richtige aufbauorganisatorische Einbindung der Administratoren in das Verwaltungsgefüge (vgl. 24. TB, Tz. 7.5.1, Tz. 7.5.3 und Tz. 7.5.4). Trotzdem ist nicht erkennbar, dass die Praxisprobleme geringer geworden sind. Das Gegenteil ist der Fall. Vor dem Hintergrund, dass zwischenzeitlich jede auch noch so kleine Behörde ihr eigenes Client-Server-System installiert hat und sich zielstrebig auf systemtechnisch höchst anspruchsvolle Applikationen des Workflow-Management und des E-Government über das Internet zubewegt, wird bei unseren Prüfungen und Beratungen immer deutlicher, dass die Systemadministration eine Achillesferse der automatisierten Datenverarbeitung in kleinen und mittleren Verwaltungseinheiten ist.

In den meisten Behörden haben selbst die Dienststellenleiter nicht so viele Eingriffsmöglichkeiten in die Datenverarbeitungsprozesse wie die Systemadministratoren. In dem Maße, wie die personenbezogenen Datenbestände in elektronischen Dateien gespeichert werden, verfügen sie als ”Herren über die Festplatten” über Zugriffsmöglichkeiten auf praktisch alle Informationen einer Behörde.

Zu ihren Aufgaben gehört es zudem, die Software zu verwalten, sie zu ändern und neue Programme in das System zu integrieren. Ob die Ergebnisse der Verarbeitungsprozesse richtig oder falsch sind oder ob ”Schad-Software” (Viren, Trojaner, Würmer usw.) in das System gelangt, hängt ganz wesentlich von der korrekten Arbeitsweise der ”Softwaremanager” ab.

Die transaktionsgesteuerte Nutzung von IT-Systemen führt schließlich dazu, dass der Benutzerverwaltung (Anlegen von Benutzerkonten, Zuteilung von Zugriffsrechten auf Software und Daten) eine zentrale Bedeutung zukommt. Die in vielen Fällen rechtlich gebotene Abschottung bestimmter Datenverarbeitungsprozesse gegenüber anderen automatisierten Verfahren (z. B. bei der Personaldatenverarbeitung, bei Daten, die dem Arzt-, Steuer- oder Sozialgeheimnis unterliegen, bei Daten nichtöffentlicher Sitzungen kommunaler Gremien) bedingt, dass die Rechte jedes einzelnen Benutzers des IT-Systems exakt definiert sein müssen. Erteilt ein Administrator zu weit gehende Rechte, ist dies von der Behördenleitung in der Regel nicht festzustellen. Die Administratoren sind mithin auch ”Garanten der Vertraulichkeit” der Datenverarbeitung. Dabei gibt es derzeit faktisch kein Betriebssystem auf dem Markt, das die Administrationsarbeiten revisionsfest protokolliert. Es können zwar vielfach umfassende Protokolle erzeugt werden, diese befinden sich aber wie alle Datenbestände in der Verfügungsgewalt der Administratoren. Eine nachträgliche verlässliche Überprüfung ihrer Arbeiten ist weder möglich, um Fehler aufzudecken, noch um im Sinne einer Entlastung ihnen die Korrektheit ihrer Maßnahmen zu bestätigen.

Es macht keinen Sinn, diese Fakten dadurch zu relativieren, dass man die persönliche Integrität der betreffenden Mitarbeiter hervorhebt und sich dagegen verwahrt, dass ihnen (vermeintlich) unlauteres Handeln unterstellt wird. Viel wichtiger ist es, ihre Sonderstellung offensiv zu akzeptieren und sie auch im Interesse der Betroffenen zu ”entschärfen”. Dass Banktresore in der Regel nur von zwei Mitarbeitern gleichzeitig geöffnet werden können, ist kein Misstrauen, sondern ein Schutz der Bank und der Geldverwaltung.

Der schwarze Peter liegt eindeutig in der Hand des Verwaltungsmanagements. Die ständig steigenden Teilnehmerzahlen bei den Sicherheitskursen für Systemadministratoren in der DATENSCHUTZAKADEMIE machen deutlich, dass der Anteil der ”freischaffenden Administrationskünstler” rapide zurückgeht. Überwiegend treffen wir auf Mitarbeiterinnen und Mitarbeiter, die darüber klagen, dass ihr Bemühen um eine sichere und ordnungsgemäße automatisierte Datenverarbeitung durch fehlende Finanzmittel, unklare organisatorische Regelungen und zu geringe Zeitkontingente bei gleichzeitiger Erhöhung der Anforderungen durch neue Projekte konterkariert wird. Neben der Vermittlung von Fachwissen auf dem Gebiet des Systemdatenschutzes müssen wir uns daher immer häufiger mit ihrer Frage auseinander setzen: ”Wie erklärt man Vorgesetzten die Sinnhaftigkeit einer effektiven Sicherheitsorganisation?”

Die Erfahrungen zeigen, dass die nachfolgenden, auf den Regelungen des Landesdatenschutzgesetzes und der Datenschutzverordnung basierenden Grundanforderungen an eine ordnungsgemäße Systemadministration von vielen Kursteilnehmern zwar als vernünftig, aber bezogen auf ihre Behörde als ”reale Utopie” angesehen werden:

• Mindestens zwei (weisungsgebundene) Mitarbeiter der Daten verarbeitenden Stelle müssen die Befähigung besitzen, die erforderlichen Administrationsarbeiten durchzuführen. Mindestens ein weiterer (entscheidungsbefugter) Mitarbeiter muss in der Lage sein, das Ergebnis dieser Arbeiten plausibel zu überprüfen.
• Die Verantwortung für die richtige Verarbeitung der personenbezogenen Daten muss in der jeweiligen Fachabteilung verbleiben. Veränderungen an der Hard- oder Software dürfen erst wirksam werden, nachdem ihre Korrektheit überprüft worden ist.
• Aufbauorganisatorisch ist die Systemadministration ”nur” als Dienstleistungseinrichtung für die einzelnen Fachbereiche anzusehen. Die Verantwortungsabgrenzungen sind daher in Dienstanweisungen festzulegen.
• Sofern externe Dienstleister die Administratoren unterstützen, ist zu gewährleisten, dass sie eigenständig keine Systemveränderungen vornehmen können.
• Die Mitarbeiter, die die Arbeit des externen Administrationsunternehmens zu überwachen haben, müssen so ausgebildet sein, dass sie stets das ”Heft des Handelns” in der Hand behalten. Erforderlich ist also zumindest ein Basis-Know-how. Eine Administration durch Externe (z. B. durch Fernwartung) kann daher zwar den personellen Aufwand der Daten verarbeitenden Stelle reduzieren, das Administrationsmanagement muss aber bei ihr verbleiben.
• Die Administration durch Externe darf in keinem Fall so weit gehen, dass die Daten verarbeitende Stelle nicht einmal überprüfen kann, mit welcher Software unter welchen Bedingungen welche Datenbestände angelegt werden, für wen sie verfügbar sind und welche Sicherheitsmechanismen wirken. Diese Systemparameter müssen durch sie auslesbar sein.

Behördenleiter unterliegen einem Irrtum, wenn sie glauben, ihre Verwaltung modernisieren, die Arbeitsabläufe effektiver gestalten und den Bürgerservice erhöhen zu können, ohne in das IT-Wissen ihrer Mitarbeiter zu investieren. Investitionen in Hard- und Software sind sicher wichtig, ihre Wirkung verpufft aber, wenn die Menschen fehlen, die ihren Einsatz sachgerecht steuern.

7.2

Konsequenzen aus der Umstellung der Betriebssysteme

Wenn die Firma Microsoft demnächst ihr Betriebssystem Windows NT 4.0 nicht mehr unterstützt, müssen mehr als tausend Systemadministratoren der Behörden im Lande umgeschult und Sicherheitskonzepte den neuen Gegebenheiten angepasst werden. Noch ist vielen Stellen nicht klar, wie das neue Betriebssystem Windows 2000/XP sicherheitstechnisch sinnvoll zu konfigurieren ist.

Man mag die Geschäftsstrategie der Firma Microsoft bezüglich der kurzen Produktzyklen noch so sehr kritisieren. Fakt ist, dass in absehbarer Zeit alle IT-Systeme, die heute noch auf der Basis des Betriebssystems Windows NT 4.0 arbeiten, auf Windows 2000/XP oder auf Konkurrenzprodukte wie Linux oder UNIX umgestellt werden müssen. Das bedeutet, dass in der öffentlichen Verwaltung im Lande weit mehr als tausend Systemadministratoren umgeschult werden müssen. Dies scheint auf den ersten Blick eher ein Kosten- als ein Datenschutzproblem zu sein. Bei genauerer Betrachtung stellt sich aber heraus, dass mit der Umstellung auch eine Vielzahl von Sicherheitsproblemen verbunden ist.

Mit Ausnahme einiger Open-Source-Produkte sind alle derzeit auf dem Markt gängigen Betriebssysteme zum Zeitpunkt ihrer Auslieferung ”offen”, d. h., sie offerieren ein Maximum an Funktionalität. Bisher hat sich aus Marketingüberlegungen noch kein Anbieter getraut, ein Betriebssystem auf dem Markt zu platzieren, dessen sicherheitskritische Funktionalitäten zunächst alle ausgeschaltet sind und von den Käufern erst entsprechend ihrer Sicherheitsanforderungen freigeschaltet werden müssen. Das gilt auch für die neuen Produkte Windows 2000 und Windows XP, die sich in sicherheitstechnischer Hinsicht nicht wesentlich unterscheiden.

Die Firma Microsoft rühmt sich zwar, dass dem Betriebssystem Windows 2000 die ”Common Criteria” Certification zuerkannt worden sei. Aus ihrer Presseverlautbarung ergibt sich, dass die Produkte Windows 2000 Professional, Server und Advanced Server jeweils mit dem Service-Pack 3 und dem Hotfix Q326886 getestet wurden. Über die Testkriterien schweigt sich die Firma allerdings aus. Es steht also nach wie vor die Frage im Raum, ob die Tests ergeben haben, dass das Produkt generell als hinreichend sicher anzusehen ist, oder ob lediglich die Möglichkeit besteht, durch eine geschickte Ausnutzung bestimmter Konfigurationsmöglichkeiten das erforderliche Maß an Sicherheit zu erreichen.

Die Problematik wird durch zwei Presseveröffentlichungen deutlich:

• Der Produktsicherheitschef von Microsoft wird mit den Worten zitiert: ”Sicherheit ist aufwändig wie die Mondlandung ..., ich würde Trustworthy Computing mit Kennedys Versprechen gleichsetzen, Menschen auf den Mond zu senden. Beides braucht einige Zeit.” Bei Microsoft könne es Jahre dauern.

• Auf ihren Internet-Seiten bietet die US-Spionagebehörde (NSA) einen öffentlich zugänglichen ”Windows-XP-Sicherheitsguide” an. Auf immerhin 141 Seiten werden zahlreiche Konfigurationsprofile beschrieben, die Mitarbeiter des Verteidigungsministeriums und anderer sicherheitsrelevanter US­Behörden anwenden sollen, um potenzielle Schwachstellen in XP-Systemen abzuschotten.

In der schleswig-holsteinischen Landesverwaltung müsste dieses Problem eigentlich weitgehend geklärt sein. Der von der IT-Kommission als verbindlich festgelegte IKOTECH III-Standard basiert nämlich auf dem Betriebssystem Windows 2000/XP. Da z. B. alle 1500 neu installierten IT-Arbeitsplätze in der Landespolizei ein hohes Sicherheitsniveau auf der Betriebssystemebene erfordern, müssten die dort festgelegten Parameter als Musterkonfiguration für andere Verwaltungsbereiche genutzt werden können. Leider ist der IKOTECH III-Standard bisher noch keiner Vorabkontrolle und keinem Sicherheitscheck unterzogen worden (vgl. auch 22. TB, Tz. 7.4, und Tz. 4.2.6 und Tz. 7.3 dieses Berichtes).

Dass die dabei zu behandelnden Fragestellungen alles andere als trivial sind, lässt sich an dem Beispiel des Verzeichnisdienstes (Active Directory Service) darstellen. Bei Windows 2000/XP handelt es sich um ein Netzwerkbetriebssystem, das alle Ressourcen miteinander verknüpft. Was sich relativ harmlos anhört, bedeutet, dass an einer Stelle, nämlich im Verzeichnisdienst, alle Dateien, Verzeichnisse, Softwarekomponenten, Hardwarekomponenten, aber auch alle Benutzer und ihre Zugriffsrechte zentral verwaltet werden. Es mag schon in einer kleinen Amtsverwaltung bedenklich sein, dass ein einzelner Mitarbeiter über eine solche ”Machtfülle” verfügt (vgl. Tz. 7.1 dieses Berichtes). Wenn aber alle IT-Arbeitsplätze der Landesverwaltung unter der Regie eines einzigen Active Directory laufen, damit z. B. eine E-Mail-Kommunikation über Behörden- und Ressortgrenzen hinaus möglich ist, dann stellt sich die Frage, wer die Arbeit dieses Superadministrators kontrolliert, umso mehr, wenn sie durch Mitarbeiter eines externen Dienstleisters (in diesem Fall der Datenzentrale) erledigt wird.

Wie zu dem Betriebssystem Windows NT 4.0 werden wir auch zu dem Betriebssystem Windows 2000/XP im Rahmen unserer backUP-Magazine Handreichungen für die Praxis herausgeben (vgl. Tz. 11.2).

7.3

Wer beim behördlichen Datenschutzbeauftragten spart ...

Bei den Beratungen der EU-Datenschutzrichtlinie war man sich insbesondere in Deutschland einig, dass in allen Behörden und Wirtschaftsunternehmen behördliche bzw. betriebliche Datenschutzbeauftragte tätig sein sollten. Schleswig-Holsteinische Behörden, die diese Erkenntnisse bisher ignoriert und keinen Datenschutzbeauftragten bestellt haben, merken insbesondere bei den Vorabkontrollen, dass sie sich damit einen Bärendienst erweisen.

Die überwiegende Mehrzahl der Behörden im Lande hat zwischenzeitlich behördliche Datenschutzbeauftragte bestellt und fährt offensichtlich recht gut damit (vgl. 24. TB, Tz. 4.1.1, und Tz. 4.1.1 dieses Berichtes). Aber in einigen Verwaltungsbereichen und insbesondere auf der Ebene der Ministerien meint man nach wie vor die Kannregelung des Landesdatenschutzgesetzes in Anspruch nehmen zu sollen (vgl. 23. TB, Tz. 1.1 und Tz. 4.1.1). Sie verzichten auf behördliche Datenschutzbeauftragte. Das führt bei ihnen zunehmend zu ”Problemlagen”, wenn automatisierte Verfahren in Betrieb genommen werden sollen, in denen besonders sensible Daten (z. B. Steuer-, Sozial-, Personal- und medizinische Daten) zu verarbeiten sind.

In diesen Fällen ist nämlich eine Vorabkontrolle gesetzlich vorgeschrieben. Diese wird standardmäßig von den behördlichen Datenschutzbeauftragten durchgeführt. Da diese Mitarbeiter einer Behörde in der Regel bereits während des gesamten Planungsprozesses einer Verfahrensneuentwicklung bzw. gravierenden Verfahrensänderung beteiligt werden, können sie die datenschutzrechtlichen und sicherheitstechnischen Fragestellungen sehr früh in die Überlegungen und Entscheidungen einfließen lassen. Die Vorabkontrolle stellt sich auf diese Weise als ein selbstverständlicher dynamischer Prozess für alle automatisierten Verfahren dar. Bei Verfahren, mit denen die oben angeführten ”besonderen” Datenkategorien verarbeitet werden, ist der Prüfungsaufwand für den Datenschutzbeauftragten lediglich etwas größer als bei ”normalen” automatisierten Verwaltungsabläufen.

Ist kein behördlicher Datenschutzbeauftragter bestellt, entfällt das Datenschutzfeed-back während der Entwicklungsphase. Erst kurz vor der beabsichtigten Inbetriebnahme des betreffenden Verfahrens kann die ersatzweise durch das ULD vorzunehmende Vorabkontrolle veranlasst werden. Es müssen uns dann alle Unterlagen, die das Verfahren dokumentieren, übersandt und um Erläuterungen ergänzt werden, die für das Verständnis der Abläufe erforderlich sind. Unseren Mitarbeitern sind nämlich die Einzelheiten und Hintergründe der ihnen zur Vorabkontrolle vorgelegten Verfahren nicht bekannt. Dies führt in der Regel zu zeit- und arbeitsaufwändigen Rückkopplungen. Außerdem ist unsere Personalkapazität nicht darauf ausgelegt, dass wir stets auf den jeweiligen Verfahrensgegenstand spezialisierte Mitarbeiter zur Verfügung haben. Da die Anträge auf Vorabkontrolle ohne Vorankündigung und in zufälliger Anzahl bei uns eingehen, sind längere Bearbeitungszeiten unvermeidbar. Das ist insbesondere der Fall, wenn unsere Überprüfungen die Notwendigkeit von Änderungen an der Software oder den Abläufen ergeben. All das geht zulasten der Daten verarbeitenden Stelle, die mit dem Echtbetrieb erst nach unserem Okay starten kann.

Deshalb nehmen einige Behörden ein rechtswidriges Vergehen in Kauf. Entweder sie verzichten ganz auf eine Vorabkontrolle (vgl. Tz. 4.2.6 dieses Berichtes) oder aber sie starten bereits mit dem Echtbetrieb, bevor die Kontrolle erfolgt ist (vgl. 24. TB, Tz. 7.3). Damit sind die Probleme aber nicht behoben, sondern nur aufgeschoben, wenn sich nachträglich datenschutzrechtliche oder sicherheitstechnische Mängel herausstellen. Einige Behördenleiter werden offenbar erst aus einem Schaden klug.

7.4

Ergebnisse von Prüfungen

7.4.1

Offenes Krankenhausinformationssystem

Die medizinischen Daten in Krankenhäusern gehören zu den Datenbeständen, die im besonderen Maße vor unbefugten Zugriffen geschützt sein müssen. Wer zulässt, dass deren Vertraulichkeit nicht gewährleistet ist, macht sich unter Umständen strafbar. Weil ein Krankenhausinformationssystem offen wie ein Selbstbedienungsladen war, mussten wir bei einer Prüfung die ”Notbremse” ziehen.

In den letzten Jahren sind die technischen und organisatorischen Sicherheitsmaßnahmen in mehr als einem Dutzend Krankenhäuser im Lande überprüft worden. Es hat zwar regelmäßig Beanstandungen gegeben, weil das Sicherheitsniveau im Hinblick auf den Schutzbedarf der medizinischen Daten nicht ausreichend war. Teilweise sind auch durchaus erhebliche Mängel festgestellt worden. Keine der bisherigen Prüfungen hat aber mit einem solchen Paukenschlag begonnen wie die beim Zweckverbandskrankenhaus Itzehoe.

Bereits in den ersten Tagen der Nachschau stellten wir fest, dass die Mitarbeiter mehrerer externer Softwarehäuser und Fernwartungsunternehmen seit geraumer Zeit einen unkontrollierten und unkontrollierbaren Zugriff auf alle bzw. auf wesentliche Teile der Patientendaten hatten. Nicht einmal die genaue Zahl der Personen mit Zugriffs- und Änderungsmöglichkeiten konnte ermittelt werden, weil die entsprechenden Terminals in Räumen installiert waren, die zwar zum Krankenhaus gehörten, deren Nutzung aber nicht von ihm überwacht wurde. Besonders problematisch war, dass vielen Mitarbeitern externer Firmen sogar das Recht zugestanden wurde, neue Benutzerkonten mit eigenen Rechten anzulegen und die Rechte bestehender Benutzerkonten zu verändern. Das Attribut ”Selbstbedienungsladen” war mithin keineswegs übertrieben.

Die Prüfung hat zwar keine Anhaltspunkte dafür ergeben, dass die betreffenden Personen diese Möglichkeit tatsächlich missbräuchlich genutzt haben. Da aber die ärztliche Schweigepflicht grundsätzlich auch durch ein Unterlassen gebrochen werden kann, bestand jederzeit die Gefahr, dass die verantwortlichen Ärzte sich dadurch strafbar machten, dass sie entsprechende Zugriffe nicht durch technische und organisatorische Maßnahmen verhinderten. Die Situation war vergleichbar mit einer unverschlossenen und unbeaufsichtigten Lagerung von papierenen Patientenakten in Räumen, die Unbefugten zugänglich sind. Eine mögliche strafrechtliche Verantwortung traf auch die kaufmännische Leitung des Krankenhauses.

Auch aus Fürsorgegründen haben wir in diesem Fall noch während der laufenden Kontrolle eine Beanstandung ausgesprochen und den Zweckverband als Träger des Krankenhauses aufgefordert, die unkontrollierten Zugriffe externer Dienstleister kurzfristig zu unterbinden. Die Reaktion folgte prompt, und der uns übersandte Maßnahmenkatalog liest sich wie ein Auszug aus einem Sicherheitshandbuch zur Fernadministration, wie folgende Beispiele deutlich machen:

• Alle offenen Fernwartungsverbindungen wurden getrennt und werden fortan nur nach vorheriger Absprache für gezielte Maßnahmen zeitlich begrenzt freigeschaltet. Alle Zugriffe werden protokolliert.

• Zur Kontrolle der Fernwartungszugänge über Routerverbindungen hat die EDV-Abteilung ein eigenes Know-how aufgebaut und ist nun in der Lage, die Routerverbindungen gezielt zu steuern und zu überwachen.

• Der Fernwartungszugriff auf die Laborsysteme wird nur noch bei Bedarf durch eine Steckerverbindung hergestellt. Dadurch ist die Laborabteilung in der Lage, die Verbindung selbst zu aktivieren und zu unterbrechen.

• Für Arbeiten vor Ort wird den Mitarbeitern der externen Dienstleister ein Arbeitsplatz zur Verfügung gestellt, der eine Überwachung ihrer Arbeiten ermöglicht.

• Die Benutzerkonten der externen Administratoren werden nur auf Anforderung freigeschaltet und nach Beendigung der notwendigen Arbeiten wieder deaktiviert.

Die Risiken für die Vertraulichkeit der elektronischen Patientendatenbestände des Krankenhauses dürften damit deutlich vermindert sein. Die gesamte Prüfungsmaßnahme, in der neben technischen insbesondere auch rechtliche Fragestellungen behandelt werden sollen, war bis zum Redaktionsschluss dieses Tätigkeitsberichtes noch nicht abgeschlossen.

7.4.2

Problemfall Firewall

Verwaltungen, die sich eine Firewall ”von der Stange” zulegen, ohne sich zu vergewissern, dass deren Filterregeln auch ihren Anforderungen entsprechen, erlangen nur eine Scheinsicherheit. Diesem Trend kann durch eine Auditierung der Produkte entgegengewirkt werden. Kleinere Verwaltungen sind mit den entsprechenden Analysen selbst dann überfordert, wenn sie sich zu Kooperationen zusammenschließen.

Bei der Bestimmung der Behörden, die wir im jeweiligen Jahr einer Prüfung vor Ort unterziehen wollen, legen wir Wert auf einen Mix aus Daten verarbeitenden Stellen, bei denen wir Standardkonfigurationen und -anwendungen vermuten, und solchen, bei denen von vornherein Besonderheiten zu erwarten sind. Auf diese Weise erreichen wir eine Flächendeckung und gleichzeitig eine exemplarische Aufbereitung von Spezialproblemen. Wie schnell aus einer Standardprüfung ein Fall von grundsätzlicher Bedeutung werden kann, zeigte sich bei einer kleinen Amtsverwaltung in Angeln. Sie war nämlich zur Realisierung ihres Internet-Anschlusses eine Kooperation mit 16 anderen Verwaltungen eingegangen. Auf diese Weise waren mehrere hundert Arbeitsplätze in gleicher Weise mit dem Internet verknüpft.

Während über die Behebung der auch in anderen Verwaltungen häufig zu verzeichnenden sicherheitstechnischen Schwachstellen schnell Einvernehmen erreicht werden konnte, bereitete die Analyse der Filterregeln der Firewall erhebliche Schwierigkeiten. Sie konnte bis zum Redaktionsschluss dieses Berichtes nicht abgeschlossen werden, obwohl die Prüfung bereits im Januar 2002 stattgefunden hat. Die 17 kooperierenden Verwaltungen betreiben nämlich nicht jede für sich eine spezielle Firewall, sondern bedienen sich aus Kostengründen eines Providers, der für sie ein zentrales Filtersystem konfiguriert hat. Da die Verwaltungen dem Provider kein von ihnen entwickeltes Anforderungsprofil für die ein- und ausgehende Internet-Kommunikation übergeben hatten, war zu ermitteln, welche Filterungen der Provider von sich aus realisiert hatte.

Die Auswertung der uns übergebenen Dokumentation ergab einen Erläuterungsbedarf bei immerhin 15 Filterregeln. Die Amtsverwaltung konnte unsere Fragen nicht beantworten und bemühte sich ihrerseits bei dem Provider um Auskunft. Dies war ein mühsames Unterfangen, da das betreffende Unternehmen mehrfach den Namen bzw. den Besitzer gewechselt hatte. Die ersten Antworten waren so wenig aussagekräftig, dass man den Eindruck gewinnen musste, dass dort selbst niemand mehr den ”Durchblick” hatte. Erst nach massivem Druck durch die Verwaltungen, Drohungen mit einer Vertragskündigung und einer klaren Definition der Defizite durch uns ist Anfang 2003 ein Papier übergeben worden, das eine substanziierte Analyse ermöglicht. Dabei werden wir den Fragestellungen nachgehen, ob das, was generiert worden ist, überhaupt einen Sinn macht und ob weitere Filterungen erforderlich sind. Dies ist ein zeit- und personalaufwändiges Unterfangen. Das Ergebnis ist völlig offen. Es kann sein, dass es am Ende von unserer Seite ein Okay geben wird, es ist aber auch möglich, dass wir signifikante Sicherheitslücken entdecken.

Dieser Fall zeigt, dass viele Verwaltungen im Lande, die sich einer Firewall ”von der Stange” bedienen, mit dem Risiko leben, nur über eine Scheinsicherheit zu verfügen. Die wenigsten Behörden dürften selbst in der Lage sein, die richtige Umsetzung der von ihnen formulierten Vorgaben (wenn es denn solche gibt) zu kontrollieren. Darauf zu hoffen, dass wir demnächst zu einer Prüfung erscheinen und ihnen dadurch die Arbeit abnehmen, ist keine Lösung. Die kann ganz offensichtlich nur darin liegen, dass nur Firewalls eingesetzt werden, die sich zuvor einem Produktaudit unterzogen haben. Dass außerdem eine Wartung der Firewalls und eine Anpassung der Filterregeln an neue Bedrohungen erfolgen muss, sollte selbstverständlich sein.

7.4.3

Vertrauensstelle für das Krebsregister

Zur Bekämpfung von Krebserkrankungen kann die epidemiologische Forschung einen wichtigen Beitrag leisten. Deshalb werden in Schleswig-Holstein Krebserkrankungen von Ärzten an ein zentrales Register gemeldet und dort erfasst. Wegen der Sensibilität des Datenbestandes sind besonders wirksame Sicherheitsmaßnahmen erforderlich. Die Ärztekammer ist dieser Pflicht vorbildlich nachgekommen.

Nachdem wir in den vergangenen Jahren die gesetzlichen (Neu-)Regelungen zum Krebsregister begleitet hatten (vgl. 19. TB, Tz. 3.1. und Tz. 4.8.1, und 21. TB, Tz. 4.8.1), haben wir nun deren praktische Umsetzung beleuchtet und eine sicherheitstechnische Überprüfung bei der Ärztekammer vorgenommen.

Das Krebsregister besteht aus zwei Abteilungen: der Vertrauensstelle und der Registerstelle. Die Vertrauensstelle hat den gesetzlichen Auftrag, alle Meldungen über Krebserkrankungen von den Ärzten entgegenzunehmen. Diese bestehen aus einem epidemiologischen und einem identifizierenden Teil, der je nach Entscheidung des Patienten Identitätsdaten (wie Name und Anschrift) oder nur einen Namenscode enthält. Die Aufgabe der Vertrauensstelle besteht darin, den epidemiologischen Teil zu pseudonymisieren und an die Registerstelle des Krebsregisters (Institut für Krebsepidemiologie, Lübeck) weiterzuleiten. Dabei ist von Bedeutung, dass alle medizinischen Stellen, die nacheinander eine Krebserkrankung behandeln, meldepflichtig sind (z. B. Hausärzte, Krankenhäuser und Pathologen), sodass oft mehrere Meldungen über die gleiche Erkrankung bei der Vertrauensstelle eingehen. Deshalb ist allen Meldungen, die einen bestimmten Patienten betreffen, dasselbe patientenorientierte Pseudonym zuzuordnen.

Die Meldungen über Krebserkrankungen erreichen die Vertrauensstelle in papierener und elektronischer Form. Nach der Erfassung werden sie auf Plausibilität und Vollständigkeit überprüft und zwischengespeichert. Der pseudonymisierte epidemiologische Teil der korrekten Datensätze wird monatlich an die Registerstelle übertragen. Ergeben auch deren Plausibilitätsprüfungen keine Fehler, werden diese Daten nach drei Monaten in der Vertrauensstelle gelöscht. Bei ihr verbleiben nur die Referenzdateien über die Pseudonyme.

Die Registerstelle kann anhand ihres Datenbestandes keine personenbezogenen Informationen gewinnen. Nur in ganz besonderen Ausnahmefällen ist eine Repersonifizierung von Datensätzen zu wissenschaftlichen Zwecken unter Einschaltung der Vertrauensstelle und gegebenenfalls auch des Arztes und nur mit Einwilligung des Patienten zulässig und möglich. Derartige Projekte sind uns nach den Regeln des Krebsregistergesetzes anzuzeigen. Es werden dann genaue Vorgaben zur Datensicherheit gemacht.

Unsere Prüfung hat keine Anhaltspunkte dafür ergeben, dass die Vertraulichkeit der personenbezogenen Daten während des Zeitraumes der Zwischenspeicherung in der Vertrauensstelle und die Datenbestände der Referenzdateien konkret beeinträchtigt werden. Gleichwohl gab es Anlass, die Verfahrensweise aus Sicherheitsgründen zu optimieren. Bestehende Zugriffsmöglichkeiten der Administratoren auf Echtdaten während des Tests von Software und auch im Produktionsbetrieb konnten weitestgehend eingeschränkt werden. Die verbleibenden Zugriffe unterliegen stets der Kontrolle der verantwortlichen Ärztin der Vertrauensstelle. Das Ergebnis der Prüfung ist insgesamt positiv zu bewerten.

7.4.4

Wie geht der MDK

Der Medizinische Dienst der Krankenversicherungen (MDK) erstellt jährlich etwa 120.000 Gutachten. Die dabei erfassten Daten beziehen sich detailliert auf physiologische und psychische Leiden sowie auf die häusliche Intimsphäre der Betroffenen. Die getroffenen Datensicherheitsmaßnahmen waren im Großen und Ganzen ausreichend, Verbesserungen wurden in Angriff genommen.

Die gesetzlichen Kranken- und Pflegekassen können Leistungen oft erst dann erbringen, wenn zuvor durch einen medizinischen Gutachter festgestellt worden ist, welche Art von Behandlung oder Unterstützung wie lange erforderlich ist. Diese Arbeit erledigen sie nicht durch eigenes Personal. Durch das Sozialgesetzbuch V ist geregelt, dass hierfür der Medizinische Dienst der Krankenversicherungen zuständig ist.

Der MDK ist in Schleswig-Holstein eine eigenständige Daten verarbeitende Stelle, die jährlich etwa 120.000 Gutachten in 13 Beratungsstellen erstellt und an die gesetzlichen Krankenkassen weitergibt. Bei einem Datenbestand dieser Größenordnung und Sensibilität - immerhin erhält der MDK im Bereich Krankenversicherung detaillierte Daten über physiologische und psychische Leiden einzelner Personen sowie im Pflegebereich auch Angaben über die häusliche Intimsphäre - ist es nahe liegend, dass die Sicherheitsmaßnahmen mindestens das Niveau eines Krankenhauses oder einer Arztpraxis erreichen müssen.

Mit dem Ergebnis unserer stichprobenweisen Kontrollen in der Hauptverwaltung und in zwei Beratungsstellen kann man im Großen und Ganzen zufrieden sein, wenngleich doch eine ganze Reihe kleinerer Beanstandungen ausgesprochen werden mussten. Im Wesentlichen ging es dabei um

• die tatsächliche Einhaltung der im eigenen Sicherheitskonzept festgelegten (durchaus sinnvollen) Kriterien,

• die bessere technische Absicherung des Schreibdienstes durch externe Mitarbeiter (vgl. hierzu Tz. 4.8.6 dieses Berichtes),

• die Verbesserung der Abschottung der papierenen Datenbestände gegenüber Besuchern, Reinigungspersonal usw.,

• die Deaktivierung nicht benötigter Diskettenlaufwerke,

• die Anpassung der Datenlöschung in den elektronischen Datenbeständen an die papierenen Bestände,

• die bessere Absicherung der elektronischen Datenbestände auf den Festplatten,

• das Unterbinden von Downloads von Programmen aus dem Internet,

• die Begrenzung der Einsichtsrechte der Systemadministratoren,

• die Vervollständigung der Dokumentation,

• die Wahrung der Vertraulichkeit medizinischer Daten bei der Altpapierentsorgung und

• die Verbesserung der Anonymisierung statistischer Datensätze.

Der MDK hat unsere Beanstandungen weitestgehend akzeptiert und Abhilfe zugesagt. Teilweise sind bereits entsprechende Maßnahmen ergriffen worden.

7.5

Datenschutzrechtliche Begleitung bundesweiter Automationsprojekte

In den nächsten drei bis vier Jahren werden bundesweit an mehreren hunderttausend IT-Arbeitsplätzen der Polizei, der Steuerverwaltungen und der gesetzlichen Krankenversicherungen neue automatisierte Verfahren eingesetzt, die zwar auf Bundesebene entwickelt werden, für die aber die Daten verarbeitenden Stellen der Länder die Verantwortung tragen. Da die fertigen Verfahren von den Landesbeauftragten für den Datenschutz zu kontrollieren sind, macht es Sinn, dass sie sich bereits in der Entwicklungsphase mit den rechtlichen und sicherheitstechnischen Problemen befassen.

In drei großen Verwaltungsbereichen, die in die Zuständigkeit der Länder fallen, werden auf Bundesebene derzeit neue automatisierte Verfahren entwickelt. Es sind dies die Polizei mit dem Projekt INPOL-neu (vgl. 24. TB, Tz. 4.2.3), die Steuerverwaltungen mit dem Projekt FISCUS (vgl. 24. TB, Tz. 4.10.2 sowie auch Tz. 4.10.3 dieses Berichtes) sowie seit kurzem die Sozialverwaltung mit dem Projekt AOK-SAM. Das Besondere daran ist, dass die fertigen Produkte von Landesbehörden eingesetzt werden und somit die rechtliche und sicherheitstechnische Korrektheit von den Landesbeauftragten für den Datenschutz kontrolliert wird. Die einzelnen Daten verarbeitenden Stellen haben aber zum Zeitpunkt dieser Prüfungen gar keinen unmittelbaren Einfluss mehr auf die Gestaltung der Verfahrensabläufe, Datenbestände und Sicherheitskomponenten. Sie setzen vorkonfektionierte Verfahren ein, bei denen Änderungen erst nach langwierigen Abstimmungsprozessen auf Bundesebene möglich sind. Insgesamt hat diese Problematik Auswirkungen auf mehr als 12.000 IT-Arbeitsplätze in Schleswig-Holstein.

Deshalb hat sich die Konferenz der Datenschutzbeauftragten entschlossen, über Arbeitsgruppen frühzeitig Einfluss auf die datenschutzrechtliche und sicherheitstechnische Gestaltung der neuen Verfahren zu nehmen. Dies erweist sich zumindest in Teilbereichen als ein schwieriges und vor allem arbeitsaufwändiges Unterfangen, weil zunächst die Bereitschaft der Gremien auf Bundesebene bestehen muss, sich bereits in der Entwicklungsphase in die Karten schauen zu lassen. Ist dies erreicht, müssen oft noch fragmentarische Unterlagen auch dann sorgfältig unter datenschutzrechtlichen und sicherheitstechnischen Aspekten analysiert werden, wenn die Möglichkeit besteht, dass sie am Ende keine Relevanz erlangen, weil andere Lösungsoptionen ins Auge gefasst worden sind.

Ein ”klassisches” Beispiel hierfür ist das Projekt INPOL-neu. Nachdem jahrelang die zentrale Speicherung auch der Länderdatenbestände beim Bundeskriminalamt mit all den technischen und organisatorischen Abschottungsschwierigkeiten in der Diskussion gestanden und uns viel Arbeit gemacht hat, scheint sie nunmehr vom Tisch zu sein. Ähnlich hat es sich beim Projekt FISCUS verhalten, bei dem das neue Softwarehaus der Steuerverwaltung offensichtlich wesentliche Teile der sicherheitstechnisch besonders ”sensiblen” Verarbeitungssteuerungskomponenten ”gekippt” hat. Bei dem Projekt AOK-SAM handelt es sich um eine Kooperation des Bundesverbandes der Ortskrankenkassen mit der Firma SAP mit dem Ziel, die Teilbereiche ”Leistungen für Versicherte”, ”Beitragseinzug” und ”Betriebswirtschaft” zu optimieren und zu verbinden. Deshalb bedarf es hier einer Synchronisation der Sicherheitskomponenten der Software ”SAP/R3” mit den Anforderungen aus den Sozialgesetzbüchern V und X.

Gleichwohl gibt es keine Alternative zu dieser Vorgehensweise. Das umso mehr, als es sich um eine Vorstufe eines Datenschutzaudits handelt, für das außer in Schleswig-Holstein in den anderen Bundesländern noch keine Rechtsgrundlage besteht. Deshalb sind wir auch in allen drei Arbeitsgruppen vertreten und haben die Koordinierung der Arbeitsgruppe für das Projekt FISCUS übernommen; bezüglich der Arbeitsgruppe für das Projekt AOK-SAM teilen wir uns diese Aufgabe mit den Kollegen aus Hamburg.

7.6

Akten in Müllcontainern: Kontrollen zeigen Wirkung

”Ärztliche Gutachten, medizinische Stellungnahmen, Patientenlisten, Beihilfeanträge, Listen von Sozialhilfeempfängern ... offen in Müllcontainern gefunden”. So lautete eine von vielen Schlagzeilen im vorangegangenen Jahr. Was ist seitdem geschehen?

Bei fünfzig privaten und öffentlichen Stellen prüften wir 2001, ob in frei zugänglichen und unverschlossenen Müllcontainern Papiere und Unterlagen mit personenbezogenen Daten zu finden waren. Bei zehn Stellen fanden wir zum Teil hochsensible Unterlagen.

Die Behördenleiter gelobten durchweg Besserung. So etwas werde nie wieder passieren. Ein Jahr später wurde bei den gleichen Stellen eine unangemeldete Nachkontrolle durchgeführt. Und tatsächlich: Wir haben nichts Beanstandenswertes gefunden. Viele Behörden hatten in der Zwischenzeit Schredder angeschafft, einschlägige Dienstanweisungen erlassen und das Personal geschult. Unsere Kontrollen hatten offenbar den gewünschten Effekt: Mit Bürgerdaten wurde ordentlich umgegangen, auch nachdem sie fachlich nicht mehr benötigt wurden.

Wir kontrollierten zusätzlich fünfzehn Behörden bzw. private Stellen, die wir 2001 nicht besucht hatten. Hier war das Prüfungsergebnis nicht so positiv: Bei drei Stellen wurden wir fündig. Wieder waren es besonders sensible Sozial- und Medizindaten oder Daten, die dem ”Bankgeheimnis” unterlagen. Bei einer Behörde fanden wir sogar einen ganzen Container bis zum Rand gefüllt mit Unterlagen zu brisanten Informationen über die wirtschaftlichen Verhältnisse von Bürgerinnen und Bürgern. Ursächlich für diese Verstöße waren sowohl die Nachlässigkeit oder Überlastung einzelner Mitarbeiter, als auch die von den Behördenleitungen zu vertretende fehlende Ausstattung mit Aktenvernichtern bzw. die fehlende Existenz von Organisationsregelungen. Wieder wurde Besserung gelobt. Aber weiter gilt: Vertrauen ist gut, unangekündigte Kontrollen sind manchmal besser ...