26. Tätigkeitsbericht (2004)

6

Systemdatenschutz


6.1

Sicherheitsmaßnahmen und Restrisiken beim Betriebssystem Windows 2000

Die neuen Betriebssysteme der Firma Microsoft werden nicht in einer ”sicheren” Konfiguration ausgeliefert. Das nötige Maß an Sicherheit muss durch die IT-Betreuer mühsam eingestellt werden. Das hierfür erforderliche Wissen vermittelt unser backUP-Magazin, das sich bereits kurz nach seinem Erscheinen als ”Renner” erweist.

Über die weit reichenden Konsequenzen einer Umstellung der IT-Systeme von einem Betriebssystem auf ein anderes und insbesondere über die Probleme bei der Einführung des Betriebssystems Windows 2000 der Firma Microsoft haben wir bereits im letzten Jahr berichtet (vgl. 25. TB, Tz. 7.2). Gleichzeitig haben wir angekündigt, im Rahmen unserer backUP-Magazine Handreichungen für die Praxis zu geben. Dies ist zwischenzeitlich geschehen.

Im Juni 2003 konnte nach etwa einjähriger Vorbereitung das Handbuch ”MS-Windows 2000 - Sicherheitsmaßnahmen und Restrisiken” an die Systemadministratoren im Lande ausgeliefert werden. Es ist nach dem gleichen Konzept aufgebaut wie sein Vorgänger für das Betriebssystem MS-Windows NT 4.0 (vgl. 23. TB, Tz. 10.1) und hat eine ebenso positive Resonanz gefunden. Dies zeigen die Reaktionen, die wir aus ganz Deutschland empfangen haben. Das Handbuch steht in elektronischer Fassung auf unserer Homepage zum Download zur Verfügung unter

www.datenschutzzentrum.de/material/themen/edv/backup/backup05.htm

Das neue backUP-Magazin erhebt keinen Anspruch auf eine umfassende Vermittlung der Windows 2000-Theorie, vielmehr soll es als ein praktischer Ratgeber die IT-Betreuer dabei unterstützen, die datenschutzrelevanten Sicherheitsmaßnahmen auf der Arbeitsplatz- und der Serverebene richtig zu implementieren. Schwachstellen im neuen Betriebssystem werden erläutert und Lösungen für ihre Beseitigung aufgezeigt. Es werden nicht nur systemtechnische Aspekte behandelt, sondern auch Grundsatzfragen in Bezug auf die Sicherheitsproblematik moderner IT-Systeme. Hiermit muss sich heute insbesondere die Leitungsebene einer Daten verarbeitenden Stelle befassen.

Da kaum eine Behörde das Betriebssystem ”auf der grünen Wiese” installieren kann, behandelt ein ganzes Kapitel das Problem der Migration von Windows NT 4.0 auf Windows 2000. Hier liegt der Schwerpunkt bei der Frage nach dem Erhalt und der Optimierung von Sicherheitseinstellungen. Außerdem kann das Magazin dazu benutzt werden, bereits unter MS-Windows 2000 realisierte Sicherheitseinstellungen auf ihre Wirksamkeit zu überprüfen.

Wie aufwändig es in der Praxis ist, auch nur die notwendigsten Konfigurationsmaßnahmen vorzunehmen, machen zwei Zahlen deutlich:

  • Das Magazin umfasst insgesamt ca. 300 Seiten. Das darin enthaltene Wissensvolumen muss jeder Administrator präsent haben, wenn er sein IT-System unter Sicherheitsaspekten verantwortlich und verantwortbar betreuen will.
  • Allein die Checkliste, die eine Hilfestellung bei der Entwicklung eines Sicherheitskonzeptes bzw. bei der Kontrolle bereits durchgeführter Sicherheitsmaßnahmen geben soll, umfasst 128 Positionen in 11 Kategorien.

Kleine Verwaltungen können ein derartig umfangreiches Know-how natürlich nicht vorhalten. Sie nehmen für die Konfiguration ihrer Systeme häufig externe Dienstleister in Anspruch. Dabei setzt sich mehr und mehr die Praxis durch, in den Aufträgen zu fordern, dass die Sicherheitsmaßnahmen entsprechend den Regeln und Vorschlägen des backUP-Magazins zu gestalten sind. Es gibt Anzeichen dafür, dass sich auf diese Weise ein De-facto-Sicherheitsstandard für das am häufigsten eingesetzte Betriebssystem herausbildet. So stellen wir uns praktizierten Systemdatenschutz vor.

Was ist zu tun?
Die Verantwortlichen in den Daten verarbeitenden Stellen sollten darauf bestehen, dass von ihren IT-Betreuern die in dem backUP-Magazin ”MS Windows 2000 - Sicherheitsmaßnahmen und Restrisiken” beschriebenen Konfigurationsmaßnahmen als sicherheitstechnischer Mindeststandard realisiert werden.

6.2

Sicherheit am Arbeitsplatz - was Benutzer von den Administratoren verlangen sollten

Datenschutz und Datensicherheit am PC-Arbeitsplatz ist nicht nur Sache der Administratoren. Gerade die für die Verarbeitungsprozesse verantwortlichen Mitarbeiter der Fachbereiche müssen die adäquaten technischen und organisatorischen Maßnahmen fordern, die den Missbrauch von Daten verhindern und deren Vertraulichkeit wahren.

Normalerweise wird das Sicherheitskonzept für die PC-Arbeitsplätze einer Daten verarbeitenden Stelle von den IT-Betreuern entwickelt und den Benutzern vor Ort ”gebrauchsfertig” präsentiert. Das ist kein grundsätzlich falscher Ansatz. Probleme ergeben sich aber, wenn das Konzept aus Kostengründen, aus Unachtsamkeit oder weil dem zentralen IT-Betreuer die Sicherheitsbedürfnisse der einzelnen Fachabteilungen gar nicht bekannt sind, Lücken aufweist. Dann wiegt sich der IT-Betreuer in der Sicherheit, alles ”Mögliche” getan zu haben, und die Benutzer glauben, die Technik könne nicht anders. In der täglichen Praxis müssen die Benutzer daher oft mit Sicherheitsrisiken leben, die sie eigentlich gar nicht eingehen wollen. Um Kritik an den Entscheidungen der IT-Stelle zu äußern, fehlt ihnen das Wissen bzw. der Präzedenzfall.

Diesen Gegebenheiten trägt das zweite backUP-Magazin, das im Jahr 2003 neu herausgebracht wurde, Rechnung. Es hat den Titel ”PC-Arbeitsplatz - So viel Datenschutz muss an jedem Arbeitsplatz sein!”.

www.datenschutzzentrum.de/material/themen/edv/backup/backup04.htm

Es ist nicht primär für IT-Betreuer, sondern für deren Kunden konzipiert und dreht damit den Spieß um. Den Mitarbeiterinnen und Mitarbeitern in den Fachabteilungen wird erläutert, auf welches Maß an Systemdatenschutz sie - auch im eigenen Interesse - einen Anspruch haben. Dabei wird davon ausgegangen, dass ein datenschutzgerechter und sicherheitstechnisch ausgereifter Arbeitsplatz das Risiko reduziert, dass durch Unwissenheit oder Fahrlässigkeit die Benutzer Schäden verursachen, die ihnen angelastet werden. Mitarbeiter, die dieses Risiko vermeiden wollen, sollen in die Lage versetzt werden, konkrete Forderungen zu formulieren und diese in ihrem eigenen Interesse gegenüber der IT-Abteilung durchzusetzen.

Dazu werden z. B. Antworten auf folgende Fragen gegeben:

  • Ist Datensicherheit das Gleiche wie Datenschutz?

  • Was ist bei Computern anders als bei Akten?

  • Wer kann auf meinem Computer arbeiten?

  • Wo werden meine Daten gespeichert?

  • Kann jemand überwachen, was ich auf meinem Computer mache?

  • Warum brauche ich ein Passwort?

  • Wann ist eine Verschlüsselung sinnvoll?

  • Was muss ich bei der E-Mail-Kommunikation beachten?

  • Wie gefährlich ist das Internet?

Außerdem enthält das Magazin eine Checkliste, mit deren Hilfe der Benutzer selbst feststellen kann, welche datenschutzrelevanten Defizite an seinem Arbeitsplatz bestehen. Praktische Hilfestellungen für die Optimierung der Aufbau- und Ablauforganisation werden durch drei Musterdienstanweisungen gegeben.

Wünschenswert ist, dass sich nach dem Studium des backUP-Magazins möglichst viele Mitarbeiterinnen und Mitarbeiter zu einem konstruktiv-kritischen Dialog mit ihren IT-Betreuern herausgefordert fühlen und auf diese Weise zu einer Verbesserung des Datenschutzes und der Datensicherheit speziell an ihrem Arbeitsplatz beitragen. Natürlich ist kein IT-Betreuer daran gehindert, der Kritik aus den Fachbereichen dadurch vorzubeugen, dass nach einem Abgleich mit den Forderungen und Vorschlägen des ULD bereits präventiv das Sicherheitskonzept fortgeschrieben wird. Dabei sollte das backUP-Magazin von der IT-Abteilung und den Fachbereichen gemeinsam durchgearbeitet werden.

Was ist zu tun?
Die Mitarbeiterinnen und Mitarbeiter in den Fachbereichen sollten bezüglich des Datenschutzes und der Datensicherheit an ihren PC-Arbeitsplätzen klare Forderungen gegenüber dem IT-Bereich formulieren. Die Vorschläge in dem backUP-Magazin sollten wörtlich genommen werden: So viel Datenschutz muss sein!

6.3

Informationsdienst SUSA

Die Kontakte zwischen den Systemadministratoren im Lande und dem ULD müssen intensiviert werden, um den Herausforderungen der immer komplexer werdenden IT-Systeme gerecht zu werden. Zu diesem Zweck wurde die Initiative SUSA gestartet, ein Angebot, von dem bereits viele Systemverantwortliche Gebrauch machen.

In den Verwaltungen des Landes, der Kommunen und der sonstigen öffentlichen Stellen gibt es ca. 400 bis 500 Mitarbeiter, die die Funktion des Systemadministrators ausüben. Nur wenige von ihnen sind uns namentlich bekannt, etwa weil durch Prüfungen, Beratungen, Audits oder Schulungsmaßnahmen Kontakte aufgebaut werden konnten. In der Regel handelt es sich um diejenigen, die diese Tätigkeit auf Dauer und im ”Hauptamt” wahrnehmen. Die meisten Mitarbeiterinnen und Mitarbeiter, insbesondere in den IT-Stellen von kleineren Behörden, sind jedoch nur zu 30 bis 50 % ihrer Arbeitszeit als Administrator tätig. Ihre Hauptaufgaben liegen in anderen Fachgebieten. Gleichwohl müssen auch sie dafür sorgen, dass die von ihnen betreuten IT-Systeme so funktionieren, dass die Ergebnisse richtig sind und die verarbeiteten personenbezogenen Daten nicht in unbefugte Hände gelangen. Diese klassischen Sicherheitsanforderungen zu gewährleisten erfordert eine ständige Auseinandersetzung mit den aktuellen Meldungen über Betriebssystem- und Softwarefehler, über Patches, Updates, Service Packs, Resource Kits und Security Tools sowie über die in der Fachliteratur und in Schulungsveranstaltungen veröffentlichten bzw. angebotenen Konfigurationskonzepte.

Aus diesem Grunde haben wir im Juni 2003 unter dem Kürzel SUSA eine Initiative gestartet, die unserem im Landesdatenschutzgesetz festgeschriebenen Beratungsauftrag speziell auch für IT-Betreuer gerecht werden soll. SUSA steht für ”Systemdatenschutz - ULD-Support für Administratoren”.

Die zentrale Komponente dieser Initiative ist ein auf unserer Homepage angebotener Informationsdienst, in dem

  • Nachrichten mit sicherheitstechnischem Hintergrund,

  • Hinweise auf Artikel in Fachzeitschriften sowie auch andere Veröffentlichungen,

  • Termine einschlägiger Veranstaltungen und Fortbildungsangebote und

  • vom ULD und anderen Datenschutzinstitutionen herausgegebene Dokumentationen

publiziert werden. Er ist deshalb unterteilt in die Rubriken:

  • System-Meldungen,

  • System-Bibliothek,

  • System-Zeit und

  • System-Dokumentation

und unterscheidet sich in einem wesentlichen Punkt von anderen Informationsangeboten im Web: Die Inhalte werden nicht nur transportiert, sondern auch unter datenschutzrechtlichen und sicherheitstechnischen Gesichtspunkten kommentiert. Sowohl die Auswahl als auch ihre Aufbereitung geschieht unter dem Gesichtspunkt: ”Welche Information braucht ein Administrator, und welche Kommentare und Hinweise des ULD sind für ihn bezogen auf die betreffende Information nützlich?” Zu diesem Zweck wurde ein Redaktionsteam gebildet, das die Aufgabe hat, alle Informationen, die für unsere eigenen Aufgaben von Belang sind, daraufhin zu untersuchen, ob sie auch für die IT-Betreuer im Lande interessant sein könnten. Der SUSA-Informationsdienst selbst ist dreistufig aufgebaut:

  • Eine Überschrift und ein ”Abstract” beschreiben kurz, worum es geht.

  • Es folgt eine kompakte Kommentierung des Sachverhalts.

  • Schließlich wird auf die Quellen bzw. Fundstellen (in der Regel durch Links) verwiesen.

www.datenschutzzentrum.de/systemdatenschutz/

Der Informationsdienst wird gut angenommen. Da der WWW-Server des ULD bewusst keine spezifizierten Protokolle über die Nutzer erzeugt, sind genaue Zugriffszahlen nicht zu ermitteln (die automatischen Zugriffe der Suchmaschinen sind nicht identifizierbar). Schätzungsweise greifen aber bereits jetzt monatlich ca. 700 Nutzer auf das Angebot zu.

Zusätzlich haben wir eine Mailinglist für Systemadministratoren eingerichtet, die für alle Interessenten offen ist. Die An- und Abmeldung zur Mailinglist kann jeder leicht selbst durchführen unter

www.datenschutzzentrum.de/ldsh/listen.htm

Das SUSA-Angebot wird künftig um weitere backUP-Magazine speziell für Administratoren und durch die überwachte Durchführung von professionellen Angriffen auf die Sicherheitspolicy der Behörden durch ein Security-Analyseteam erweitert. Diese bestellte (und bezahlte) Prüfung soll die Frage beantworten helfen: ”Könnte vielleicht nicht doch ein Angreifer an der Sicherheitspolicy vorbei auf vertrauliche Daten zugreifen?”

Was ist zu tun?
Die Systembetreuer im Lande sind eingeladen, den neuen Informationsdienst zu nutzen; sie können sich beim ULD als Administrator registrieren lassen, damit der Informationsaustausch künftig weiter intensiviert werden kann.

6.4

Warum man den Bock nicht zum Gärtner machen darf

Mit so genannten Online-Updates wollen Betriebssystemlieferanten und Anbieter sonstiger Software den Behörden angeblich das Leben einfacher machen. Tatsächlich verschleiern sie damit die Anzahl der zu reparierenden Softwarefehler und gewinnen selbst die Herrschaft über die IT-Systeme. Diese Marketingstrategie verstößt gegen datenschutzrechtliche Vorschriften.

Es ist unter IT-Fachleuten eine Binsenweisheit, dass derjenige, der einen Zugriff mit Änderungsrechten auf die Betriebssystemebene eines Computers hat, ihn in beliebiger Weise manipulieren kann. Deshalb sind professionelle und verantwortungsbewusste Systembetreuer sehr darauf bedacht, dass außer ihnen selbst niemandem derartige Möglichkeiten zur Verfügung stehen. Praktisch alle Hackeraktivitäten haben nämlich zum Ziel, Konfigurationsschwächen oder Betriebssystemfehler auszunutzen, um sich unbefugt Administrationsrechte anzueignen. Auf diese Weise ist es möglich, Viren oder Würmer in ein fremdes IT-System zu implantieren. Eine durchbruchfeste Barriere zwischen der Benutzer- und der Administrationsebene eines Rechnersystems ist also die Grundvoraussetzung dafür, dass ein Administrator überhaupt die Verantwortung für das ordnungsgemäße Funktionieren der automatisierten Verfahren übernehmen kann.

Nun ist es Fakt, dass die gängigen Betriebssysteme und die systemnahe Software so fehlerbehaftet sind, dass die Administratoren fortwährend neue Korrektursoftware einspielen müssen. Dies ist für die Hersteller der Betriebssysteme (wie z. B. für die Firma Microsoft) peinlich. Noch peinlicher ist es, wenn sich Viren und Würmer explosionsartig weltweit verbreiten und schädigende Wirkungen großen Ausmaßes haben, weil viele IT-Betreuer besagte Patches nicht in ihr System übernommen haben.

Deshalb war z. B. die Firma Microsoft bestrebt, selbst Online-Updates für ihre Betriebssysteme durchzuführen und dabei das bestehende Betriebssystem zu analysieren, um spezifizierte Korrekturen und Ergänzungen vorzunehmen. Es handelte sich um ein weltweit praktiziertes Verfahren, das als ein Service gegenüber den Kunden angesehen wurde. Rechtliche und sicherheitstechnische Probleme hat die Firma Microsoft nicht gesehen. Sie ging davon aus, dass die Kunden über Verträge bzw. die Anerkennung der allgemeinen Geschäftsbedingungen ihr Einverständnis zu diesen Maßnahmen geben würden.

In der Fachliteratur werden derartige Vereinbarungen als ”Lizenz zum Spähen” bezeichnet. Microsofts Möglichkeiten, den Usern auf die Festplatten zu schauen und nicht nur systembezogene Daten einzuholen, seien enorm. Microsoft prüfe nicht nur, welche der verfügbaren Updates bereits installiert sind und welche fehlen, es würden auch die Versionsnummern von Softwarepaketen, die Plug & Play-IDs der installierten Hardware und andere Kennzahlen ausgelesen und in einem Globally Unique Identifier zusammengefasst. Tests mit einem Network Analyser hätten gezeigt, dass beim ersten Scan eines neu installierten Systems fast zehn MByte Daten an mehrere Microsoft-Server gehen, bevor auch nur eine einzige Datei heruntergeladen wird, und weitere zehn MByte wandern von Microsoft zum Anwender. Dies sei der klassische Fall, dass der Bock zum Gärtner gemacht wird.

Im Hinblick auf die in Schleswig-Holstein geltenden Regelungen im Landesdatenschutzgesetz und in der Datenschutzverordnung ist ein derartiges Online-Update für IT-Systeme, mit denen personenbezogene Daten verarbeitet werden, schlicht unzulässig. Das LDSG schreibt nämlich aus den oben genannten Gründen bindend vor, dass Zugriffe, mit denen Änderungen an automatisierten Verfahren (also auch an den den Verfahren zugrunde liegenden Betriebssystemen) bewirkt werden können, nur den dazu ausdrücklich berechtigten Personen möglich sein dürfen.

Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle hat diese dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Die Aufträge und die ergänzenden Weisungen zu den technischen und organisatorischen Maßnahmen sind schriftlich festzulegen. Vor wesentlichen Änderungen an automatisierten Verfahren, mit denen besonders sensible Daten verarbeitet werden, hat eine Vorabkontrolle durch den Datenschutzbeauftragten zu erfolgen. Schließlich sind alle automatisierten Verfahren vor ihrem erstmaligen Einsatz und nach Änderungen zu dokumentieren und durch die Leitung der Daten verarbeitenden Stelle förmlich freizugeben.

Dies war mit dem von der Firma Microsoft konzipierten Verfahren nicht zu realisieren. Unter datenschutzrechtlichen Aspekten steht nämlich nicht die Frage der Aufwandsminimierung im Vordergrund, sondern die objektive Möglichkeit der Firma Microsoft, unkontrollierbare, nicht revisionsfähige und nicht ausdrücklich genehmigte Veränderungen auf der Betriebssystemebene und an den Datenbeständen eines IT-Systems vornehmen zu können. Dies haben wir nicht nur den Daten verarbeitenden Stellen im Lande über die ”System-Meldungen” der Initiative SUSA (vgl. Tz. 6.3), sondern auch der Firma Microsoft mitgeteilt. Nun war nicht zu erwarten, dass das Unternehmen seine Praxis aufgrund der Bedenken eines einzelnen deutschen Datenschutzbeauftragten ändert. Als sich allerdings die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im August 2003 in einer kritischen Entschließung zu automatischen Software-Updates unseren Bedenken anschloss, zeigte sie Wirkung.

www.datenschutz-berlin.de/doc/de/konf/65-66/update.htm

Ohne auf die Argumente der Datenschutzbeauftragten näher einzugehen, wird nunmehr ein Konzept propagiert, bei dem ein so genannter Software-Update-Server einen regelmäßigen Kontakt mit der Firma Microsoft hält und die Korrektursoftware herunterlädt. Die Kunden entscheiden, wann und welche Software sie auf ihre Produktivsysteme übertragen.

Die Daten verarbeitenden Stellen haben also weiterhin die Möglichkeit,

  • Online-Updates über Testsysteme durchzuführen, die Ergebnisse zu überprüfen und die neuen Versionen erst danach auf die Produktivsysteme zu überspielen oder

  • die Updates offline abzuwickeln, die Downloads und Prozesse zu dokumentieren und die Systeme erst nach entsprechenden Tests und Freigaben wieder für die Produktion freizugeben.

Was ist zu tun?
Unabhängig davon, ob die Systemadministration durch eigene Mitarbeiter oder durch externe Dienstleister vorgenommen wird, haben die Daten verarbeitenden Stellen jede Änderung am Betriebssystem und an der sonstigen Software vor dem Einsatz unter Produktionsbedingungen zu testen, zu dokumentieren und förmlich freizugeben. Unkontrollierbare Veränderungen durch die Lieferanten des Betriebssystems scheiden in jedem Fall aus.

6.5

Umbau in der IT-Organisation der Landes

Die Kosten für den Einsatz der Informationstechnik in der Verwaltung sind immer schwieriger zu erwirtschaften. Deshalb kommen die IT-Strukturen überall auf den Prüfstand. Die Landesregierung hat eine Reorganisation vorgenommen, die sicherlich datenschutzrechtlich, wahrscheinlich aber auch wirtschaftlich sinnvoll ist.

Seit dem Beginn der Automatisierung von Verwaltungsabläufen im Lande hat es ein Koordinierungsgremium gegeben, in dem die einzelnen Ministerien ihre IT-Vorhaben miteinander abstimmten und die Schnittstellen für die ressortübergreifenden Maßnahmen definierten. Zunächst wurde es als Automationskommission und nach einer Reorganisation als IT-Kommission bezeichnet. In ihr waren neben den IT-Referenten der Ministerien und dem Landesrechnungshof auch die Datenzentrale (jetzt dataport) und das ULD sowie der Personalrat mit beratender Stimme vertreten. Obwohl sich die Kommission unter der Federführung des Innenministeriums eine Geschäftsordnung gab, eine Vielzahl von Richtlinien verabschiedete und die Normierung und Standardisierung der Informationstechnik im Lande maßgeblich vorantrieb, wurde die Ressortverantwortung für die konkreten IT-Maßnahmen nicht angetastet. Die Frage, welche Verbindlichkeit die gefassten Beschlüsse für die einzelnen Verwaltungsbereiche hatten, blieb über Jahre hinweg ohne eine abschließende Antwort. Einstimmig getroffene Entscheidungen waren selbstverständlich verbindlich, bei Mehrheitsentscheidungen relativierte sich diese Verbindlichkeit sehr stark.

Dieser Schwebezustand war aus datenschutzrechtlicher Sicht nur so lange hinnehmbar, wie in der Kommission nur über Konzepte diskutiert und entschieden wurde, die eigentliche Verarbeitung personenbezogener Daten aber unter der Regie des einzelnen Fachressorts ablief. Dieser Zustand änderte sich vor einigen Jahren in drei Bereichen:

  • Die Haushaltsabteilung des Finanzministeriums installierte in allen Behörden PC-Arbeitsplätze, über die die zentrale Mittelbewirtschaftung (SAP-Verfahren) abgewickelt wurde.

  • Das Finanzministerium wurde zuständig für den Betrieb und die Administration der über 300 Telekommunikationsanlagen im Lande.

  • Das Innenministerium übernahm die Rolle des Betreibers des CAMPUS-Netzes, später des Landesnetzes und des verwaltungsweiten Maildienstes.

Während das Finanzministerium bei der Mittelbewirtschaftung und der Sprachkommunikation zweifelsfrei in eigener Zuständigkeit/Verantwortung handelte (die Verfahren wurden im ”Erlasswege” eingeführt und betrieben), trat das Innenministerium gegenüber den anderen Ressorts als Dienstleister auf. Von der IT-Kommission waren so genannte Rahmen- und Anschlussbedingungen erarbeitet worden, die praktisch eine vertragliche Grundlage für die Übernahme von Aufgaben des jeweiligen Fachressorts durch das Innenministerium darstellten. Das Innenministerium bediente sich seinerseits der Datenzentrale als externem Dienstleister. Im datenschutzrechtlichen Sinn war das Innenministerium also Auftragnehmer der anderen Ministerien und somit an deren Weisungen gebunden.

Diese rechtliche Umkehr der tatsächlichen ”Machtverhältnisse” erlangte deshalb eine so große Bedeutung, weil sowohl im Rahmen des Landesnetzes und der damit verbundenen Services als auch im Rahmen des Projektes IKOTECH III Datenbestände mit personenbezogenen Daten aufgebaut wurden (z. B. beim E-Mail-Management) und außerdem wichtige Sicherheitsfunktionalitäten aus den einzelnen Ressorts in das Innenministerium bzw. zu dataport verlagert worden sind (z. B. der zentrale Verzeichnisdienst und die Firewall). Die Frage, welche Daten verarbeitende Stelle für welche Entscheidungen, Vertragsgestaltungen mit Dritten, Implementierungen, Sicherheitsmaßnahmen, Dokumentationen und Kontrollen der Auftragnehmer die Verantwortung übernehmen konnte, war in den letzten Jahren ein ständiger von uns initiierter Diskussionspunkt in den Beratungen der IT-Kommission.

Diesem Dilemma hat die Ministerpräsidentin mit ihrem ”Organisationserlass über die Geschäftsverteilung der Landesregierung” im Jahr 2003 ein Ende bereitet. Der Erlass weist die Zuständigkeit für das ”Ressortübergreifende strategische und operative IT-Management” sowie für die ”Zentralen Komponenten und Services der IT-Infrastruktur der Landesverwaltung” dem Finanzministerium zu. Das bedeutet nicht mehr und nicht weniger, als dass der Finanzminister nunmehr für das Landesnetz, das Sprachnetz, die Mailprovider-Funktion, den Verzeichnisdienst, den Internet-Übergang (Firewall), den landesweiten Dienst zur Verschlüsselung und zur elektronischen Unterschrift (PKI) und für alle anderen IT-Maßnahmen, die Ressortgrenzen überschreiten, zuständig und damit verantwortlich ist. Die IT-Kommission wird zwar weiterhin das Beratungsgremium für Konzepte bleiben, die problematischen Rahmen- und Anschlussbedingungen haben aber ihre Bedeutung verloren und werden nach Aussagen des Finanzministeriums demnächst durch Erlasse ersetzt werden.

Aus datenschutzrechtlicher Sicht hat diese Veränderung eine außerordentliche Bedeutung für die ”Evolution” der automatisierten personenbezogenen Datenverarbeitung in der Landesverwaltung. Die Grenzen der rechtlichen und sicherheitstechnischen Verantwortungsbereiche sind damit eindeutig festgelegt. Für viele Verarbeitungsprozesse, die bisher in einer Grauzone lagen, ist nunmehr der Finanzminister die Daten verarbeitende Stelle. Werden externe Dienstleister wie z. B. die dataport eingeschaltet, gibt es keine Gemengelage bezüglich der Auftraggebereigenschaft mehr. Die Leistungsbeschreibungen und Sicherheitskonzepte für diejenigen Standards, Hard- und Softwarekomponenten und Verfahrensabläufe, die zwar von den Ressorts genutzt, aber vom Finanzminister verantwortet werden, haben nicht mehr den Charakter eines gemeinsamen (freiwillig zu beachtenden) Codex, sondern sind für alle verbindliche Definitionen. Erstmals können auch in diesem Bereich die Ordnungsmäßigkeitsvorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung (Test, Freigabe, Dokumentation) ”trennscharf” eingehalten werden.

Noch sind allerdings viele Dinge auseinander zu sortieren. Wie die einzelnen Verwaltungsbereiche mit welchen anderen kommunizieren, verantworten sie selbst. Insoweit können die Aufsichtsfunktionen des Finanzministeriums beim Landesnetz verschlankt werden. Das Prinzip der Sicherheitschecks durch ”zufällig” zusammengestellte Teams wird man grundsätzlich überdenken müssen. Es stellt sich auch die Frage, ob das derzeitige Domänenmodell unter den neuen Gegebenheiten Bestand haben kann. Schließlich sind die Infrastrukturprobleme für einen landeseinheitlichen Verschlüsselungs- und Signaturdienst erst ansatzweise gelöst. Ein besonderes Augenmerk wird man auch auf die Frage richten müssen, welche E-Government-Angebote als ressortübergreifend und welche als ressortintern angesehen werden müssen. All dies sind keine ”akademischen Sandkastenspiele”, sondern führen unmittelbar zu konkreten datenschutzrechtlichen Konsequenzen (Vergabe von Zugriffs- und Änderungsrechten, Erfüllung von Löschungspflichten usw.) und zu sicherheitstechnischen Maßnahmen (eindeutige Authentifizierung, Abschottung von Datenbeständen, Virenabwehr, Schutz der Administrationsebene usw.).

Was ist zu tun?
Die Konsequenzen aus der neuen IT-Aufbauorganisation müssen kurzfristig sichtbar gemacht werden. Die Ordnungsmäßigkeitskriterien des Datenschutzrechts können dabei Hilfestellungen geben. Nur transparente Verarbeitungsprozesse gewährleisten das notwendige Maß an Korrektheit, Sicherheit und Revisionsfähigkeit.

6.6

Land und Kommunen bauen ein großes Computernetz

Wenn die zwischen dem Land und den Kommunen geschlossene E-Government-Vereinbarung in die Praxis umgesetzt worden ist, werden insgesamt ca. 30.000 IT-Arbeitsplätze miteinander vernetzt bzw. vernetzbar sein. Das hierfür erforderliche Sicherheitskonzept muss noch erarbeitet werden.

In der Vergangenheit haben die Kommunen untereinander und mit den Landesbehörden auf ganz konventionelle Weise (per Brief, per Telefon, per Fax) kommuniziert, ohne dass es zu schwerwiegenden Problemen gekommen ist. In jüngster Zeit wird zunehmend auch vom Datenträgeraustausch (Disketten, CD-ROM, USB-Sticks) Gebrauch gemacht und das Internet genutzt, obwohl die mit Letzterem im Zusammenhang stehenden Sicherheitsprobleme nur von wenigen Behörden hinreichend gelöst worden sind (vgl. 24. TB, Tz. 7.1).

Im Zusammenhang mit den E-Government-Strategien der Verwaltung wird nun angestrebt, das Landesnetz, die Kommunikationsplattform für die Landesbehörden, auch dem kommunalen Bereich zu öffnen. Hierüber besteht seit Ende 2003 eine Absichtserklärung zwischen dem Land und den kommunalen Landesverbänden. In ihr sind u. a. folgende datenschutzrechtlich relevante Zielsetzungen festgelegt:

  • Aufbau einer leistungsfähigen und sicheren technischen Infrastruktur, die von Land und Kommunen unter denselben Bedingungen genutzt werden kann,

  • Aufbau von landesweit standardisierten Kreisnetzen als integraler Bestandteil des landesweiten Datennetzes,

  • Anschluss der Kommunalverwaltungen an das landesweite Datennetz über die Landesnetzanschlüsse der Kreise als untere Landesbehörden,

  • Aufbau eines landesweit wirksamen Verzeichnisdienstes,

  • Aufbau einer landesweit einheitlichen Public-Key-Infrastruktur mit digitaler Signatur und Ver- und Entschlüsselungsfunktionen für Datenströme,

  • Aufbau einer zentralen technischen Plattform (Datendrehscheibe) für die Steuerung von landesweiten und bundesweiten Datenströmen aus Anwendungen,

  • Aufbau einer Zahlungsplattform für Verwaltungsdienstleistungen.

Wenn diese E-Government-Vereinbarung umgesetzt ist, wird ein Zustand erreicht sein, in dem die Rechnersysteme aller Landes- und Kommunalbehörden miteinander vernetzt bzw. vernetzbar sind. Vom Sicherheitsniveau her ist damit ein Quantensprung bezüglich des Anforderungsprofils an die Abschottungs- und Steuerungsmechanismen verbunden. Man darf nämlich nicht übersehen, dass E-Government nicht bedeutet, dass die rechtlichen und Verantwortungsgrenzen zwischen den einzelnen Behörden eingerissen werden. In der Vereinbarung wird richtig festgestellt, dass die geplanten Maßnahmen kein Selbstzweck sind, sondern (nur) die Qualität der Leistungen der öffentlichen Verwaltungen in Schleswig-Holstein verbessern sollen.

Aus datenschutzrechtlicher und sicherheitstechnischer Sicht ist noch eine Vielzahl von Vorbedingungen zu erfüllen, bevor das geplante ”Supernetz” in den Echtbetrieb gehen kann. Hierzu gehören z. B. die Lösung folgender noch offener Probleme:

  • Die Betreiberzuständigkeit/-verantwortung für das Landesnetz ist erst kürzlich von der Landesregierung dem Finanzministerium übertragen worden, da die bisherigen Vereinbarungen zwischen den Ressorts sich nicht als tragfähig erwiesen haben (vgl. Tz. 7.4). Da das Finanzministerium die Kommunen nicht wie Landesbehörden im Erlasswege anweisen kann, sich ”landesnetzkonform” zu verhalten, wird es für diesen Bereich Verträge und ihnen zugrunde liegende Leistungsbeschreibungen geben müssen. Datenschutzrechtlich wird das Finanzministerium den Kommunen gegenüber als weisungs/-vertragsgebundener Auftragnehmer agieren.

  • Besonders wichtig ist dabei die Frage, ob alle 237 kommunalen Verwaltungseinheiten, die potenziell das Landesnetz nutzen werden, direkt in vertragliche Beziehungen zum Finanzministerium treten. Da man die Kreisnetze als integralen Bestandteil des neuen Netzes ansieht, könnte auch ein zweistufiges Modell realisiert werden: Das Landesnetz öffnet sich nur den Kreisen und kreisfreien Städten, die Kreise übernehmen den Betrieb der kreisinternen Kommunikation mit ihren Kommunen über eigene, vom Landesnetz unabhängige Netze. Die kreisübergreifende Kommunikation würde über den Umweg des Landesnetzes erfolgen.

  • Da die Kreise keine eigene Zuständigkeit für den Betrieb von Kreisnetzen besitzen, können auch sie den kreisangehörigen Kommunen gegenüber nur als weisungs/-vertragsgebundene Auftragnehmer auftreten. Die dafür erforderlichen schriftlichen Verträge müssen die sicherheitstechnischen Schnittstellen zwischen den lokalen Netzen der Kommunen und dem Netzwerk der Kreise eindeutig definieren.

  • Das Landesnetz hat bisher eine Struktur, die ausschließlich auf die Organisation der Ministerien mit ihren nachgeordneten Behörden zugeschnitten ist. Bereits der Anschluss der Kreise und kreisfreien Städte käme einer Erweiterung um 15 ”Ministerien” gleich. Es bedarf sehr sorgfältiger Prüfungen, ob dies mittels des bisher praktizierten Konzeptes der ”geschlossenen Benutzergruppen” abgebildet werden kann. Ein Einzelanschluss für jede Kommune würde dieses Konzept mit Sicherheit sprengen.

  • Nach den Standardisierungsregeln des Landes wird der Verzeichnisdienst auf der Basis des ”Active Directory” der Firma Microsoft realisiert. Wenn in ihm künftig 237 selbstständige Organisationseinheiten der Kommunen und alle bereits jetzt erfassten Landesbehörden mit ihren ca. 30.000 Arbeitsplatzsystemen gemeinsam verwaltet werden sollen, stellt sich das Problem, wer ein zentrales Management verantwortet und wer es kontrolliert. Sicherheitstechnisch wäre ein ausschließlich dezentrales Management vorzuziehen. Entsprechende Modelle gibt es in anderen Bundesländern. Die Entscheidung, wer in einer Kommune in welchem Umfang mit einer der anderen Kommunen des betreffenden Kreises, mit dem Kreis selbst, mit Kommunen in anderen Kreisen, mit welchen Behörden des Landes, anderer Länder oder des Bundes, sonstigen öffentlichen oder nichtöffentlichen Stellen (über das Internet) kommunizieren darf, wird man nämlich auch weiterhin den verantwortlichen Bürgermeistern bzw. leitenden Verwaltungsbeamten überlassen müssen.

  • Die Verschlüsselung von Daten auf der Grundlage einer Public-Key-Infrastruktur dürfte auch landesweit ohne größere Schwierigkeiten möglich sein. Die bisherigen handschriftlichen Unterschriften und Namenszeichen der Mitarbeiterinnen und Mitarbeiter fälschungssicher und revisionsfähig durch elektronische Unterschriften zu ersetzen bedeutet aber, dass sich alle Behörden zu einem signaturgesetzkonformen Verfahren verpflichten müssen. Nur auf diesem Sicherheitsniveau wird es möglich sein, die Mitarbeiterinnen und Mitarbeiter zur Nutzung der elektronischen Unterschrift zu verpflichten.

  • Die geplante Datendrehscheibe wird mit hoher Wahrscheinlichkeit größere Datenbestände mit personenbezogenem Inhalt zu speichern haben. Da es hierfür keine originäre Zuständigkeit gibt, bedarf es entsprechender vertraglicher Vereinbarungen mit einer Institution, die Behördencharakter hat. Deren Sicherheitsmaßnahmen müssen transparent sein und von allen Beteiligten akzeptiert werden.

Die vorgenannten Datenschutzgesichtspunkte beziehen sich im Wesentlichen auf Vertraulichkeitsaspekte. In das noch zu erarbeitende IT-Gesamtkonzept und das daraus abzuleitende Sicherheitskonzept sind zusätzlich auch die Aspekte der Verfügbarkeit und der Integrität des Gesamtsystems einzuarbeiten. Alles zusammen ist dies eine Aufgabe, die nicht ohne gründliche Vorarbeiten bewältigt werden kann.

Was ist zu tun?
Die Konstrukteure des neuen Supernetzes sollten von der Möglichkeit Gebrauch machen, bereits das IT-Konzept und das Sicherheitskonzept einem Audit nach dem LDSG zu unterziehen. Dazu ist es dienlich, das ULD schon frühzeitig über die konkreten Absichten und Lösungsansätze zu informieren.

6.7

Prüfungen im Bereich Systemdatenschutz


Als Folge der Umstellung der Betriebssysteme in den Daten verarbeitenden Stellen mussten auch unsere Prüfungsteams ihr Wissen um deren Funktionalitäten und Sicherheitsschwächen und -stärken auf den neuesten Stand bringen. Dies war bei uns eine ebenso zeitaufwändige Maßnahme wie in den IT-Stellen der Behörden im Lande. Die dabei gewonnenen Erkenntnisse konnten allerdings bei der Erarbeitung eines backUP-Magazins verarbeitet werden.

Insgesamt mussten also die Prüfungsaktivitäten im Bereich Systemdatenschutz im Jahre 2003 vorübergehend etwas zurückgefahren werden. Diese Phase ist jedoch zwischenzeitlich durch den Start eines neuen Projektes beendet worden. Seit Ende 2003 wird durch ein darauf spezialisiertes Team daran gearbeitet, in absehbarer Zeit eine Flächendeckung unserer Kontrollen im kommunalen Bereich zu erreichen. Es sollen in nächster Zeit alle 237 Organisationseinheiten mindestens einmal einem Sicherheitscheck unterzogen werden. Dahinter steht die Überlegung, dass die weit überwiegende Mehrzahl der Behördenleiter und IT-Betreuer derartige Kontrollen auch dann begrüßt, wenn es Gründe für Beanstandungen gibt. Für die Verantwortlichen wird nämlich deutlich, in welchen Teilbereichen die realisierten Sicherheitsmaßnahmen ausreichend sind und mit welchen Prioritäten welche Defizite abzubauen sind. Vereinfacht formuliert: Eine Kommune, deren Sicherheitskonzept überprüft worden ist, ist besser dran als diejenige, die noch gar keinen Besuch vom ULD hatte. Diese ”Ungleichbehandlung” gilt es so zügig wie möglich abzubauen.

Neben diesen Routineprüfungen (die in der Regel nicht zu spektakulären Ergebnissen führen) wird es aber auch in Zukunft Kontrollen geben, in denen grundsätzlichen Sicherheitsproblemen nachgegangen wird. Die Ergebnisse derartiger Prüfungsmaßnahmen sind nachfolgend dargestellt.

6.7.1

Nach wie vor unsicheres Krankenhausinformationssystem in Itzehoe

Das Krankenhaus Itzehoe nimmt eine unrühmliche Spitzenstellung bezüglich der bei Prüfungen festgestellten Datensicherheitsmängel ein. Mit deren Bereinigung lässt sich diese kommunale Einrichtung viel zu viel Zeit.

Nachdem die Kontrollen im Zweckverbandskrankenhaus Itzehoe gleich zu Beginn eklatante Sicherheitsdefizite in Bezug auf die Zugriffsrechte externer Dienstleister aufgedeckt haben und diese durch das Krankenhaus unverzüglich bereinigt wurden (vgl. 25. TB, Tz. 7.4.1), bestand die Hoffnung, dass im weiteren Verlauf der Prüfung nicht noch mehr derartig gravierende sicherheitstechnische Schwachstellen zutage treten würden. Diese Hoffnung hat sich leider nicht erfüllt. Am Ende der Prüfungsmaßnahme umfasste der Beanstandungskatalog mehr als 70 Positionen. Das hat es in den mehr als 20 Jahren, in denen Krankenhäuser und Stellen mit ähnlich sicherheitskritischen Datenverarbeitungsprozessen geprüft werden, noch nicht gegeben. Die wichtigsten Verstöße gegen die Sicherheitsvorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung sind:

  • Das Krankenhaus verfügt weder über ein in sich geschlossenes IT-Konzept noch über ein Sicherheitskonzept als Grundlage für konkrete technische und organisatorische Maßnahmen.

  • Die Administratoren und die Benutzer der IT-Systeme arbeiten ohne ausreichende Dienstanweisungen bzw. Benutzerhandbücher.

  • Es ist nicht möglich, sich eine verlässliche Übersicht darüber zu verschaffen, welche Verarbeitungsprozesse auf welchen Rechnersystemen ablaufen.

  • Seitens der Krankenhausleitung bestehen keine Vorgaben für die Zuweisung von Zugriffsrechten auf Patientendaten.

  • Störungs- und Fehlermeldungen werden nicht auswertbar protokolliert.

  • Die Dokumentation der eingesetzten Datenbanken ist nicht ausreichend.

  • Für die Internet-Nutzung bestehen keine Vorgaben, die Absicherung ist unzureichend.

  • Die E-Mail-Kommunikation mit sensiblen Daten erfolgt unverschlüsselt.

  • Die Arbeit der Administratoren wird von der Leitungsebene des Krankenhauses nicht überwacht.

  • Die Verwaltung der Benutzerkonten erfolgt ohne eine nachvollziehbare Struktur.

  • Die tatsächlich vergebenen Zugriffsrechte sind nicht nachvollziehbar dokumentiert.

  • Elektronische Arztbriefe sind nicht hinreichend gegen unbefugte Zugriffe geschützt.

  • Die Mitarbeiter der EDV-Abteilung haben einen uneingeschränkten Zugriff auf medizinische Datenbestände.

  • Passwörter werden über Jahre hinweg nicht geändert.

  • Auf Notebooks werden medizinische Daten unverschlüsselt gespeichert.

  • Der Einsatz des Verfahrens ”SAP R/3” ist nicht revisionsfähig dokumentiert, einige Mitarbeiter haben eindeutig zu weit reichende Zugriffsrechte.

  • Die Telekommunikationsanlage ist nicht ausreichend abgesichert.

  • Die Datenbestände über die Patienten der zur Privatliquidation berechtigten Krankenhausärzte stehen im allgemeinen Zugriff der Krankenhausmitarbeiter.

  • Die Controllingabteilung hat einen permanenten und umfassenden Zugriff auf die medizinischen Datenbestände.

  • Laborergebnisse stehen allen Mitarbeitern des medizinischen Bereiches zur Verfügung.

  • Vom Schulungsraum aus sind Zugriffe auf Echtdaten möglich.

Es bedarf keiner näheren Begründung dafür, dass es sich hierbei um erhebliche Sicherheitsmängel handelt. Dem hat die Krankenhausleitung in den Erörterungen der Prüfungsergebnisse auch nicht widersprochen. Die Tatsache, dass der vorstehende Mängelkatalog auch viele Monate nach Abschluss der Prüfung noch im Präsens formuliert ist, weist darauf hin, dass die Defizite bisher noch nicht abgestellt sind. Gründe hierfür sind uns nicht genannt worden. Es liegt uns noch nicht einmal eine abschließende schriftliche Stellungnahme der Krankenhausleitung vor. Ende 2003 ist uns im Zusammenhang mit der Beschwerde eines Patienten zu einem anderen Sachverhalt lediglich mitgeteilt worden, dass eine externe Datenschutzberaterin damit beauftragt worden ist, einen Plan zu machen, welche Maßnahmen vorrangig in Angriff zu nehmen sind. Dies ist zwar ein Lichtblick, aber noch keine Lösung. Fakt bleibt, dass das Krankenhaus Itzehoe damit datenschutzrechtlich und sicherheitstechnisch als ”weniger empfehlenswert” einzustufen ist.

Was ist zu tun?
Es dürfte der Zeitpunkt erreicht sein, an dem sich endlich der Landrat des Kreises Steinburg und der Bürgermeister der Stadt Itzehoe als Repräsentanten des Zweckverbandes der Sache annehmen müssen.

6.7.2

Wissenschaftliche Auswertung des Krebsregisters

Nach der Vertrauensstelle des Krebsregisters bei der Ärztekammer ist auch die Registerstelle selbst überprüft worden. Es gab keine Anhaltspunkte dafür, dass medizinische Daten in unbefugte Hände gelangt sind. Eine Reihe von kleineren Sicherheitsmängeln wurden zwischenzeitlich abgestellt.

Im Jahr 2002 haben wir begonnen, die Sicherheitsmaßnahmen im Zusammenhang mit der Verarbeitung der medizinischen Daten des schleswig-holsteinischen Krebsregisters zu durchleuchten. Da die Datenverarbeitungsprozesse nacheinander zunächst in der Vertrauensstelle bei der Ärztekammer und dann in der Registerstelle des Instituts für Krebsepidemiologie an der Medizinischen Universität Lübeck ablaufen, entsprach auch die Gesamtprüfungsmaßnahme dieser Reihenfolge. Die Kontrollen bei der Vertrauensstelle haben keine wesentlichen Beanstandungen ergeben (vgl. 25. TB, Tz. 7.4.3).

Die Registerstelle arbeitet überwiegend mit anonymisiertem Datenmaterial. Allerdings sieht das Krebsregister vor, dass bei entsprechenden Einwilligungen der Patienten die Vertrauensstelle für bestimmte Forschungszwecke der Registerstelle die personenbezogenen Informationen zu den epidemiologischen Datensätzen bereitstellen darf. Über diese Vorgänge ist das ULD zu informieren. Für unsere Prüfung konnten wir deshalb einen Zeitpunkt wählen, zu dem in der Registerstelle ein entsprechendes Forschungsvorhaben lief und damit ein sehr hohes Sicherheitsniveau erforderlich war.

Dabei zeigte sich, dass die Verfahrensweise des Instituts nicht in allen Punkten dem Krebsregistergesetz entsprach. Die wichtigsten Sicherheitsmängel:

  • Um eine nicht ausdrücklich von den Patienten genehmigte Verkettung von personenbezogenen Datensätzen über mehrere Forschungsmaßnahmen hinweg zu verhindern, schreibt das Gesetz vor, dass projektbezogene Identitätsnummern zu vergeben sind. Dies war im konkreten Fall nicht geschehen.

  • Im Sicherheitskonzept waren nicht alle tatsächlich eingesetzten IT-Systeme erfasst.

  • Die Löschfristen wurden nicht exakt eingehalten.

  • Die Arbeitsplatzrechner waren nicht so konsequent gesichert, wie es der Sensibilität der verarbeitenden Daten entsprochen hätte.

  • Die Zugriffsrechte hätten spezifischer/restriktiver ausgestaltet werden können.

Trotz dieser Beanstandungen kann die Prüfung aus zwei Gründen als ein Erfolg angesehen werden. Es haben sich keine Anhaltspunkte dafür ergeben, dass die Vertraulichkeit der der Registerstelle anvertrauten personenbezogenen Daten tatsächlich verletzt worden ist. Die oben angeführten Schwachstellen sind vom Institut für Krebsepidemiologie unverzüglich abgestellt worden.

Was ist zu tun?
Um das Vertrauen der Patienten in das Krebsregister zu stärken und den Anforderungen des Krebsregistergesetzes gerecht zu werden, sollte die Registerstelle während der Durchführung personenbezogener Forschungsvorhaben ein Höchstmaß an Datensicherheit gewährleisten.

6.7.3

EDV aus der Steckdose - nicht ohne Risiko

Ein seit längerem schwebendes datenschutzrechtliches Problem mit einem Angebot der Datenzentrale (jetzt dataport) ist durch eine Prüfung konkret zutage getreten. Die Situation ist allerdings paradox: Der Kunde ist zufrieden, obwohl er gegen das Landesdatenschutzgesetz verstößt.

Es hätte eigentlich eine der vielen Routinesicherheitsüberprüfungen in einer kleineren Amtsverwaltung im Lande werden sollen. Konfrontiert wurden wir aber mit einer IT-Organisation, die eine Reihe von Grundsatzfragen aufwirft, die bereits im 23. TB (Tz. 7.2) problematisiert worden sind: Es geht dabei um die vollständige Auslagerung der IT-Administration auf einen externen Dienstleister. Der leitende Verwaltungsbeamte der betreffenden Amtsverwaltung stand vor dem Problem, für die Administration des neu zu installierenden IT-Systems keinen geeigneten Mitarbeiter zur Verfügung zu haben. Bei einem Mitarbeiterstab von 17 Personen war das nicht verwunderlich. Da kam ihm ein Angebot der Datenzentrale recht, alle Administrationsaktivitäten zu übernehmen, die Rechner in der Datenzentrale in einer so genannten Server-Farm zu installieren und die Behörde nur mit Terminals ohne jede Betriebssystemfunktionalität auszurüsten (Terminal-Server-Lösung ”DZ.net”).

Durch dieses ”Application-Hosting” erfolgt ein Rundumservice bezogen auf die Administration, den Support, den Verfahrensbetrieb und die Bereitstellung von Rechenzentrumsressourcen. Der fatale Nebeneffekt derartiger Konstruktionen besteht darin, dass der verantwortliche Betreiber des Systems faktisch keinerlei Kontrollmöglichkeiten bezüglich der korrekten Arbeitsweise seines externen Dienstleisters besitzt. Das Einspielen neuer Softwareversionen, das Eröffnen von Benutzerkonten, das Zuweisen von Zugriffs- und Änderungsrechten usw. erfolgen nach dem Prinzip: Wenn das Vertrauen ausreichend ist, braucht man keine Kontrollen.

Die Amtsverwaltung war sich dieser Tatsache bewusst, sah es aber als das kleinere Übel gegenüber dem Aufbau einer eigenen Systemadministration an. Da beeindruckte auch unser Hinweis auf die Verstöße gegen die datenschutzgesetzlichen Regelungen über die Auftragsdatenverarbeitung (z. B. Pflicht zur Erteilung schriftlicher Vorgaben und Kontrolle deren Einhaltung) wenig. Selbst als im Rahmen der Prüfung deutlich wurde, dass die vertraglichen Vereinbarungen zwischen der Amtsverwaltung und der Datenzentrale in sich nicht konsistent waren und die Amtsverwaltung nicht einmal über alle Vertragsbestandteile verfügte, wurde dies mit dem Hinweis darauf, dass doch die Datenverarbeitung reibungslos funktioniere, relativiert, Beanstandungen in unserem Prüfungsbericht hin, Beanstandungen her.

Uns stellte sich die Frage: Wenn denn der Auftraggeber mit den Leistungen seines Auftragnehmers zufrieden ist, kann man dann den Auftragnehmer schelten? Wir haben deshalb der von uns geprüften Kommune empfohlen, ihren externen Dienstleister mit unseren Beanstandungen zu konfrontieren und Abhilfe zu fordern. Das ist zwischenzeitlich geschehen. Die Antwort von dataport steht aber noch aus.

Was ist zu tun?
Da es eine Reihe technischer und organisatorischer Lösungsmöglichkeiten gibt, die Kontrollmöglichkeiten der verantwortlichen Stellen zu verbessern, sollte dataport bestrebt sein, sie anzubieten. Es kann nicht im Interesse der Beteiligten liegen, dass auf Dauer gegen geltendes Recht verstoßen wird.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel