21. Tätigkeitsbericht (1999)
6. |
Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung |
|
6.1 |
Das "Jahr-2000-Problem" - und was das mit dem Datenschutz zu tun hat
|
|
Die Schwierigkeiten bei der Anpassung der Computersysteme zeigen, daß die Ursachen vieler Sicherheitsrisiken systematischer Natur sind. Werden die Systeme nicht transparenter, werden wir bald ein permanentes "Jahr-2000-Problem" haben.
Das Kernproblem der Computer mit Beginn des 1. Januar im Jahr 2000 besteht darin, daß ihre Programmierer in den letzten dreißig Jahren Speicherplatz sparen wollten, indem sie bei Jahreszahlen die ersten beiden Stellen wegließen. Damit können die Rechner das Jahr 2000 nicht von dem Jahr 1900 unterscheiden. Sie wissen nicht, ob jemand, für den als Geburtsdatum der 28.02.00 gespeichert ist, ein Greis oder ein Säugling ist, da für beide als Jahr nur "00" abgelegt wurde. Bei allen Rechenoperationen, die sich auf ein aktuelles Datum beziehen (Fristabläufe, Zinsberechnungen usw.), kommen die Rechner also "ins Schleudern", wenn sie in der verbleibenden Zeit bis zum 31.12.1999 nicht auf vierstellige Jahreszahlen umgestellt werden.
Nach unseren bisherigen Erkenntnissen ergeben sich aus dem Jahr-2000-Problem nur in wenigen Fällen unmittelbare datenschutzrechtliche Konsequenzen. Es ist allerdings nicht auszuschließen, daß nach dem Jahrtausendwechsel
Das Jahr-2000-Problem zeigt darüber hinaus grundsätzliche Strukturmängel auf, die von erheblicher datenschutzrechtlicher Bedeutung sind. Seit Jahren warnen wir vor den Folgen der weitverbreiteten Nachlässigkeiten bei der Dokumentation automatisierter Verfahren. Bei den meisten Behörden stießen wir bisher allerdings auf taube Ohren. Selbst die einschlägigen Vorschriften der 1994 in Kraft getretenen Datenschutzverordnung haben nicht dazu geführt, daß für EDV-Programme genau so exakte Bauzeichnungen bzw. Schaltpläne angefertigt werden, wie sie für Häuser, Maschinen oder Elektroanlagen üblich sind.
Die Ignoranten bekommen jetzt die Quittung für ihre Unterlassungen. Mit einem riesigen zeitlichen Aufwand müssen sie Befehl für Befehl ihre Software durchforsten, um festzustellen, wo sie möglicherweise ab dem Jahr 2000 falsche Schlußfolgerungen aus einem gespeicherten Datum ziehen. Manche Berechnungen der Computerindustrie gehen davon aus, daß die Kosten für die "Reparaturarbeiten" weltweit höher sind als die Gesamtkosten des 2. Weltkrieges. Nun sorgen wir uns sicher nicht um die Überstunden der Programmierer. Vielmehr geht es um die Frage: Wenn die Systeme so schlecht dokumentiert sind, daß die Jahrtausendumstellung mit einem solchen Aufwand und so vielen Risiken behaftet ist, wie groß ist dann die Chance, zur Aufdeckung von Manipulationen, anläßlich von Rechtsstreitigkeiten oder zu Beweiszwecken nachträglich, möglicherweise nach Jahren, feststellen zu können, welche Daten zu welchen Zeitpunkten gespeichert waren bzw. welche programmgesteuerten Schlußfolgerungen aus welchen Informationen gezogen worden sind?
Es reicht nicht, resignierend festzustellen, daß die in automatisierten Verfahren eingesetzte Software in der Regel nur bedingt revisionsfähig ist. Aus der Jahr-2000-Problematik sind umgehend Konsequenzen zu ziehen. Zuallererst ist die Verantwortung für die Dokumentation der bestehenden informationstechnischen Systeme (Hardware, Software, Datenbestände, Organisationsregelungen) eindeutig festzulegen. Sodann sollten sich alle Aufsichtsbehörden und Behördenleitungen darin einig sein, daß es keine Entschuldigungen für Dokumentationsmängel gibt. Was in allen ingenieurwissenschaftlichen Bereichen als eine bewährte Grundregel angesehen wird, kann im Bereich der automatisierten personenbezogenen Datenverarbeitung nicht falsch sein. Alle nicht hinreichend dokumentierten Systeme sollten mit einem "Verfallsdatum" versehen werden. Ihr Einsatz ist zu stoppen, wenn nicht bis zu dem betreffenden Zeitpunkt eine aussagefähige Dokumentation erstellt worden ist. |
||
Grundsätzlich ist zu bemängeln, daß IT-Systeme nicht in einer Weise geprüft werden, wie selbst die einfachsten elektrischen Geräte. Ein "Sicherheits-TÜV" im laufenden Betrieb existiert erst recht nicht. Ohne grundlegende Änderungen wird sich das Jahr-2000-Problem in einigen Jahren als ein "Peanut", im Verhältnis zu den Revisionsdefiziten, die die immer komplexer werdenden Informations- und Verarbeitungssysteme dann aufweisen, darstellen.
|
||
6.2 |
Paßwortsicherheit - ein unterschätztes Problem
|
|
Die meisten Sicherheitskonzepte bauen darauf auf, daß verschlüsselt gespeicherte Paßwörter nicht geknackt werden können. Heute leicht erhältliche Hacker-Software mit komfortabler Benutzeroberfläche stellt dies in Frage. Die Paßwortgestaltung muß überdacht werden.
Man kann ohne Übertreibung feststellen: In den Paßwörtern tickt eine ebenso große Zeitbombe wie in den vor etwa 15 Jahren erstmals aufgetretenen Computerviren. Man ging bis vor kurzem nämlich davon aus, daß die von den Computerbetriebssystemen vorgenommenen Verschlüsselungen der Paßwörter mathematisch faktisch nicht zu knacken sind. Fast alle Sicherheitskonzepte bauen deshalb auf folgender Annahme auf: Wer sich selbst ein "gutes" Paßwort vergibt und es nicht verrät, kann sicher sein, daß niemand anders seine EDV-Systeme in Gang setzen, Programme aufrufen oder Datenbestände verändern kann. Weist ein Protokoll aus, daß Frau Müller bzw. Herr Meier eine Abfrage gestartet oder eine Veränderung vorgenommen hat, dann war es diese Person; wer sonst hätte unter der betreffenden (paßwortgesicherten) Kennung arbeiten können?
Diese Konstruktion gerät nun ins Wanken. Seit einiger Zeit sind Programme frei verfügbar, die mit Hilfe großer elektronischer Lexika und geeigneter Entschlüsselungstechnik zu einfach gewählte Paßwörter erkennen. Wessen Paßwort nicht lang und nicht kompliziert genug aufgebaut ist, muß also seit kurzem befürchten, daß andere unter seiner Identität Aktivitäten entfalten, für die er die Verantwortung trägt. Wir haben derartige Programme
unter "Laborbedingungen" getestet: In der Zeit von Freitagabend bis Montagmorgen wurden 2 000 von 2 500 "echten" Paßwörtern (also 80 Prozent) entschlüsselt. Als Ergebnis ist festzustellen, daß Paßwörter mit weniger als sechs Zeichen, die nicht neben Buchstaben auch Ziffern und Sonderzeichen enthalten, zu unsicher sind. Es ist zu erwarten, daß in absehbarer Zeit acht Zeichen als Mindestlänge sicherer Paßwörter gelten wird.
Voraussetzung für das Entschlüsseln codierter Paßwörter ist allerdings der Zugriff auf die Systemdatei der verschlüsselten Paßwörter. Diese Befugnis haben faktisch alle Systemadministratoren. Sie werden somit automatisch in den Kreis der Verdächtigen geraten, wenn ein eines Fehlverhaltens verdächtigter Mitarbeiter behauptet, die protokollierten Aktivitäten stammten nicht von ihm (denkbares Szenario: Auf der lokalen Platte eines vernetzten PC, auf die nur ein bestimmter Mitarbeiter Zugriff hat, befinden sich kinderpornographische Daten; die Protokolle weisen aus, daß sie unter seiner Kennung aus dem Internet heruntergeladen worden sind. Niemand wird ihm glauben, daß er die Daten nicht gespeichert hat). |
||
Einige Betriebssysteme gestatteten bisher selbst Systemadministratoren nicht, derartige Aktivitäten manipulativ vorzunehmen. Diese Zeiten sind vorbei. Für viele Betriebssysteme sind Crack-Programme erhältlich. Sie werden daher künftig sogar in den Verdacht geraten können, Dritten die Paßwörter von Vorgesetzten, Mitarbeitern von Personalabteilungen und sonstigen Personen, die vertrauliche Daten zu verarbeiten haben, verraten zu haben. Deshalb müssen sie selbst ein Interesse daran haben, daß Paßwörter so gestaltet werden, daß die jeweils "gängigen" Crack-Programme keine Chance haben. Hierauf haben wir ausführlich in einer Bekanntmachung im Amtsblatt hingewiesen (Amtsblatt 1998, S. 688). Die Veröffentlichung finden Sie auch auf unserer Homepage:
(Rubrik: Informationen speziell für Behörden)
|
||
6.3 |
Warum gibt es keine Verwaltungsinformatiker?
|
|
Die personenbezogene Datenverarbeitung in der öffentlichen Verwaltung unterliegt anderen Rechtsregeln als die in der Wirtschaft. Wer hochkomplexe Informations- und Kommunikationstechnik unter diesen spezifischen Bedingungen sicher und ordnungsgemäß einsetzen will, braucht eine fundierte Ausbildung. Trotzdem verzichtet die Verwaltung bislang darauf, ihren Nachwuchs und ihre potentiellen Führungskräfte entsprechend zu schulen.
Das zu Ende gehende dritte und das beginnende vierte Jahrzehnt des Computereinsatzes ist in Wirtschaft und Verwaltung dadurch gekennzeichnet, daß die hochspezialisierten Rechenzentren immer mehr an Bedeutung verlieren und an ihre Stelle eine Vielzahl unternehmens- und behördenspezifische dezentrale IT-Organisationseinheiten
treten. Gleichzeitig erweitert sich das Spektrum der durch Informationstechnik unterstützten Arbeitsabläufe. Wurden in den vergangenen Jahren rechenintensive Aufgabenstellungen durch den Computereinsatz rationalisiert, verlagert er sich derzeit hin zum Informations- und Kommunikationsmittel.
Die Anforderungen und Ziele für die nächsten Jahre sind durch Begriffe wie ECommerce auf der Basis digitaler Signaturen, Workflow-Management im Rahmen nahezu papierloser Verarbeitungsprozesse, individuelle E-Mail-Kommunikation für jedermann über offene, grenzüberschreitende Netze bei gleichzeitiger Gewährleistung der Vertraulichkeit durch allgemein verfügbare Verschlüsselungsverfahren, Data-Warehousing zur Optimierung der Datennutzung und zur Servicesteigerung gegenüber den Kunden gekennzeichnet (vgl. Tz. 7). Speziell in der öffentlichen Verwaltung spricht man von interaktiven Verwaltungsverfahren über öffentliche Netze, von einer transparenteren Verwaltung durch einen allgemeinen Informationszugang und von Verwaltung als Angebot von Produkten und Dienstleistungen.
Die Applikationen werden zunehmend anspruchsvoller, die Technik komplexer und die Anforderungen an die Verfügbarkeit der Systeme, die Integrität der Verfahren und die Vertraulichkeit der Datenbestände höher.
Die Leistungen dieser Systeme nutzbringend in Anspruch zu nehmen ist die eine Seite, sie zu gestalten und zu beherrschen eine andere. Dies hat die Wirtschaft nicht zuletzt auch aufgrund von Mißerfolgen und den damit verbundenen Imageverlusten sowie Umsatz- und Gewinneinbußen sehr schnell erkannt. Wer den aktuellen Stellenmarkt in den Tageszeitungen studiert, stellt fest, daß die Berufsbilder sich ständig verändern. Wer sucht heute noch "schlichte" Programmierer, Operatoren oder ganz allgemein EDV-Fachleute? Gebraucht werden Entwicklungsprojektleiter, Systemingenieure, Netz- und Systemadministratoren, Datenbankmanager, Objekt-Designer, Systemanalytiker, Organisationsprogrammierer usw. mit jeweils branchenspezifischen Kenntnissen. Dem haben sich die Universitäten und Hochschulen mit ihrem Ausbildungsangebot angepaßt. Wirtschaftsingenieurwesen, theoretische und angewandte Informatik, Wirtschaftsinformatik, Betriebswirtschaft mit Schwerpunkt DV, Kommunikationselektronik usw. sind Studiengänge, die vor wenigen Jahren noch nicht bekannt waren.
Diese Ausdifferenzierung scheint es in der Verwaltung nicht zu geben. Die Universitäten sahen sich bisher nicht veranlaßt, das Jurastudium, das in den meisten Verwaltungsbereichen Voraussetzung für die Übernahme von Managementpositionen ist, um die Komponente "Informatik" zu ergänzen. Desgleichen bilden die Verwaltungsfachhochschulen keine Verwaltungsinformatiker
aus. Selbst diejenigen Absolventen der schleswig-holsteinischen Verwaltungsfachhochschule, die alle Lehrangebote in Richtung Informatik in Anspruch nehmen, erhalten nicht das erforderliche Rüstzeug, um die Verantwortung für die Konzipierung der IT-Systeme z. B. einer Kreisverwaltung übernehmen zu können. Nahezu alle kleineren und mittleren Organisationseinheiten, mit denen wir im Rahmen unserer Prüfungen Kontakt hatten oder in denen wir beratend tätig wurden, beklagen diesen Mangel. Die Folgen sind fatal. Mit großem Aufwand erhalten Informatiker eine verwaltungsrechtliche oder Verwaltungsspezialisten eine informationstechnische Nachschulung. Da dies in der Regel als "Training on the Job" geschieht, erzeugt man, es mag überzogen klingen, in beiden Fällen partielle Autodidakten. Das dürfte auf der sachbearbeitenden Ebene noch einige Zeit hinnehmbar sein. Eine systematische Ausbildung ist aber für Mitarbeiter, die Führungsverantwortung übernehmen sollen, unverzichtbar. |
||
Aus dem IT-Gesamtplan der Landesregierung ergibt sich, daß allein das Land jährlich circa 120 Millionen DM
in IT-Maßnahmen investiert und über 380 Mitarbeiter mit der Entwicklung und Pflege von Software sowie mit der Administration der technischen Systeme betraut hat. Ein etwa gleichgroßes Volumen dürfte für den Bereich der Kommunen und der sonstigen öffentlichen Stellen im Lande anzusetzen sein. Es ist für die Gewährleistung der Sicherheit und Ordnungsmäßigkeit einer personenbezogenen Datenverarbeitung dieser Größenordnung und "Sensibilität" unabdingbar, daß das Management und die Administration in den Händen speziell und systematisch ausgebildeter Mitarbeiterinnen und Mitarbeiter liegt. Denn offenbar können nur auf diesem Wege die auch in diesem Jahr wieder festgestellten datenschutzrechtlichen Unzulänglichkeiten und Defizite (vgl. z. B. Tz. 6.7) behoben werden. Wir haben erste Kontakte mit der Verwaltungsfachhochschule
aufgenommen; die entscheidende Initiative wird jedoch von den Behörden kommen müssen.
|
||
6.4 |
Innenministerium läßt sich bezüglich der Gestaltung seiner IT-Services beraten
|
|
Auf dem Gebiet der Informations- und Kommunikationstechnik wird der Innenminister mehr und mehr zur Servicestelle für die anderen Ressorts. Die damit verbundenen Zuständigkeits- und Verantwortungsverlagerungen dürfen nicht zu Sicherheitslücken führen. Das Innenministerium läßt sich neuerdings von uns beraten.
In den letzten beiden Tätigkeitsberichten (vgl. 19. TB, Tz. 7.9; 20. TB, Tz. 6.7.6) haben wir darüber berichtet, welche unterschiedlichen Auffassungen zwischen dem Innenministerium und uns bezüglich der datenschutzrechtlichen Bewertung des CAMPUS-Netzes
bestanden haben. Da sich in den vergangenen Jahren immer mehr bestätigt hat, daß das Innenministerium den anderen Ressorts nicht nur Leitungswege zur Verfügung stellt, sondern ihnen gegenüber mit steigender Tendenz auch sehr spezifische Dienstleistungen erbringt, haben wir keinen Anlaß gesehen, von unserer Forderung nach einer uneingeschränkten Anwendung der Sicherheits- und Ordnungsmäßigkeitskriterien der Datenschutzverordnung abzugehen.
Dieser Sicht hat sich der Innenminister nunmehr angeschlossen und uns gebeten, ihn bei der Neugestaltung der Zusammenarbeit der Ressorts auf dem Gebiet der Informationsverarbeitung und der Kommunikation über Netze beratend zu unterstützen. Wir haben eine Arbeitsgruppe aus Mitarbeitern beider Häuser gebildet, die ihre Tätigkeit Ende 1998 aufgenommen hat. Welches Pensum vor ihr liegt, mögen zwei Zahlen verdeutlichen: Der Arbeits- und Terminplan umfaßt insgesamt circa 80 Positionen, an circa 50 Aktivitäten werden wir beteiligt sein. Ein Abschluß des Projektes wird nicht vor Mitte 1999 zu erwarten sein.
Einen unserer wesentlichen Kritikpunkte am CAMPUS-Netz
hat der Innenminister zwischenzeitlich aufgegriffen. Die von der Datenzentrale als externem Dienstleister konzipierte und betriebene Schnittstelle zum Internet (die sogenannte Firewall) ist inzwischen von unabhängigen Dritten getestet worden. Das Gutachten ist uns kurz vor Redaktionsschluß dieses Berichtes zugegangen. Wir werden es analysieren und die Ergebnisse in die Sicherheitsüberlegungen einfließen lassen. |
||
6.5 |
Noch keine konkreten Fortschritte beim Schleswig-Holstein-Netz der Datenzentrale
|
|
Als die Datenzentrale ihren Rechenzentrumsbetrieb in Altenholz aufnahm, hat sie ihre Kunden und Besucher selbstverständlich eingehend über ihre Arbeit und die getroffenen Sicherheitsmaßnahmen informiert. Es ist nicht nachzuvollziehen, warum sie in ihrer neuen Rolle als Kommunikationsdienstleister (Provider) so wenig auf Transparenz und Sicherheit bedacht ist.
Seit drei Jahren üben wir Kritik an den vertraglichen Vereinbarungen zwischen der Datenzentrale und ihren Kunden, soweit sie das Schleswig-Holstein-Netz
zur Kommunikation untereinander, mit dem Rechenzentrum der Datenzentrale oder mit dem Internet benutzen. Außerdem sind unseres Erachtens von der Datenzentrale die Bestimmungen der Datenschutzverordnung über den Test, die Freigabe und die Dokumentation dieser Systeme nicht hinreichend beachtet worden (vgl. 19. TB, Tz. 7.8; 20. TB, Tz. 6.7.7).
Im Verlaufe des Jahres sind zwar wieder mehrere Gespräche geführt worden; konkrete Fortschritte hat es aber nicht gegeben. Allerdings konnte in einem "Chefgespräch" am Jahresende vereinbart werden, daß von einer "Task Force", bestehend aus dem Datenschutzbeauftragten der Datenzentrale und einem Mitarbeiter unserer Dienststelle, detaillierte Lösungsvorschläge erarbeitet und Zeitpläne aufgestellt werden, deren Umsetzung vom Vorstand der Datenzentrale direkt überwacht werden soll. Es ist zu hoffen, daß im nächsten Tätigkeitsbericht von einem positiven Abschluß der Arbeiten gesprochen werden kann. |
||
6.6 |
Datensicherheit à la EU - wenn es ums Geld geht II
|
|
Wenn es ums Geld geht, wird auch für die Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung viel getan. Die EU hat der Landwirtschaftsverwaltung drastische Sicherheitsvorschriften verordnet. Die Behörden setzen sie klaglos um, weil sie sonst viele Subventionen verlieren können. Den Datenschützern soll es recht sein.
Im letzten Jahr (vgl. 20. TB, Tz. 6.7.2) haben wir anhand der Test- und Freigabeprozedur des Landesbesoldungsamtes
dargestellt, daß Behörden sehr wohl in der Lage sind, ihre automatisierten Verfahren zur personenbezogenen Datenverarbeitung sicher zu gestalten. Sie brauchen lediglich die richtige Motivation. Im Hinblick auf die hohen Geldbeträge, die im Rahmen der Berechnung und "Zahlbarmachung" der Gehälter, Löhne, Versorgungs- und Beihilfeleistungen monatlich bewegt werden, ist es für das Landesbesoldungsamt eine Selbstverständlichkeit, alle Änderungen an den Berechnungsprogrammen sorgfältig zu prüfen, bevor man in die Produktion geht. Auch die Arbeit der Datenzentrale, die als externer Dienstleister unterstützend tätig ist, wird penibel überwacht. Die datenschutzrechtlichen Anforderungen, die man anderenorts als völlig überzogen ansieht, werden hier "mit links" erfüllt, weil es eben ums Geld geht.
Wie die Motivlage sich gleicht: Weil es auch bei der Verteilung der EU-Mittel des gemeinsamen Agrarmarktes um viele Milliarden Euro geht, hat die Generaldirektion VI der Europäischen Kommission den sogenannten Zahlstellen (in Schleswig-Holstein ist Zahlstelle das Ministerium für ländliche Räume, Landwirtschaft, Ernährung und Tourismus) ein Sicherheitskonzept
auferlegt, das jedem Datenschutzlehrbuch zur Ehre gereichen würde. Wenn eine Zahlstelle dieses Sicherheitskonzept nicht realisiert, muß sie bei eventuellen Fehlern oder Versäumnissen ohne nähere Prüfung der Ursachen zuviel ausgezahlte Beträge an die EU zurückzahlen. Ein Abweichen vom vorgeschriebenen Sicherheitsstandard wird als "schuldhaftes" Handeln angesehen. Dieser Standard hat es in sich. Ein Auszug:
Das IT-Referat des Landwirtschaftsministeriums hat zur Umsetzung dieser Anforderungen eine Projektgruppe gebildet und läßt sich von uns beraten. Dabei erwies sich der durch die EU-Vorschriften ausgelöste Schock als heilsam. Bekannte Schwachstellen, deren Behebung unter dem Druck des Tagesgeschäftes bisher immer wieder verschoben worden waren, werden wohl nun endlich ausgemerzt - weil es eben ums Geld geht. |
||
6.7 |
Kontrollen im Bereich der automatisierten Datenverarbeitung |
|
6.7.1 |
Hier ist ein Computer - nun nutzt ihn mal schön!
|
|
Die Sicherheitsmaßnahmen für Informations- und Kommunikationssysteme, mit denen Sozialdaten verarbeitet werden, müssen besonders wirksam sein. Wer ein Netzwerk mit mehr als 2 500 Arbeitsplätzen in die "Produktion" gehen läßt, ohne ein präzises technisches und organisatorisches Regelwerk wirksam werden zu lassen, handelt fahrlässig.
Neben den unter Textziffer 4.7.2
dargestellten Mängeln in bezug auf die Wahrung des Sozialgeheimnisses wurden im Rahmen der Querschnittsprüfung bei der AOK Schleswig-Holstein auch erhebliche Sicherheitsdefizite beim Einsatz der Computersysteme festgestellt.
Die Ausgangslage glich der in der "papierenen Welt". Im Oktober 1996 hat die Direktionsabteilung "Organisationsentwicklung" vom Vorstand der AOK per Dienstanweisung den Auftrag erhalten, den Umgang mit den PC in einer speziellen PC-Dienstanweisung zu regeln. Bis zum September 1998, also im Verlaufe von zwei Jahren, ist jedoch diesbezüglich nichts geschehen. Es gab zum Zeitpunkt der Prüfung weder schriftliche Anweisungen noch Standards, obwohl zwischenzeitlich circa 2 500 Arbeitsplätze mit vernetzten PC ausgerüstet worden waren. Dementsprechend fanden wir zum Beispiel folgende Gegebenheiten vor:
Die von uns beanstandeten Defizite waren dem Vorstand aufgrund der Berichte der eigenen Sozialdatenschutzbeauftragten bekannt. Für Abhilfe war nicht gesorgt worden, so daß wir hierüber das Ministerium für Arbeit, Gesundheit und Soziales als die zuständige Aufsichtsbehörde unterrichtet haben. Unsere Beanstandungen hat die AOK ausnahmslos als berechtigt akzeptiert. Sie beabsichtigt, sie im Rahmen der unter Textziffer 4.7.2
dargestellten Vorgehensweise zu beheben. Ein Abschluß der Arbeiten soll ebenfalls bis Ende September 1999 erreicht sein.
|
||
6.7.2 |
Wer trägt die Verantwortung für den Computereinsatz in den Finanzämtern?
|
|
Das weitgehend automatisiert ablaufende Besteuerungsverfahren verlagert sich schrittweise von der "Rechenzentrale" in der Oberfinanzdirektion zurück in die Finanzämter. Die damit verbundenen Schnittstellen- und Sicherheitsprobleme sind bisher unzureichend gelöst worden.
Bis vor wenigen Jahren wurden die 20 Finanzämter im Lande in informationstechnischer Hinsicht von der Oberfinanzdirektion quasi am Gängelband geführt. Ihre gesamte Hardware- und Softwareausstattung wurde zentral von Kiel aus verwaltet. Die Vorsteher der Finanzämter hatten nur dafür zu sorgen, daß ihre Steuerfachleute das notwendige EDV-Wissen hatten, um auf den Vordrucken bzw. Bildschirmmasken die richtigen Werte in die richtigen Kästchen zu übertragen. Alle Aspekte der Sicherheit und Ordnungsmäßigkeit der sich an die Erfassung anschließenden automatisierten Verarbeitung der Daten waren von den hierfür zuständigen Referaten in der Oberfinanzdirektion mit insgesamt mehr als 150 Mitarbeitern zu lösen.
Diese sehr einfache Organisationsstruktur hat sich zwischenzeitlich entscheidend geändert. In dem Maße, wie die Verarbeitungsprozesse aus der "Rechenzentrale" in die Finanzämter zurückverlagert wurden, mußten ihnen auch eigene Zuständigkeiten übertragen werden. Wie sich in der bereits unter Textziffer 4.10.4
angesprochenen sicherheitstechnischen Überprüfung eines Finanzamtes zeigte, ist die Synchronisation der Schnittstellen zwischen den Verantwortungsbereichen der Finanzämter und denen der Oberfinanzdirektion bisher noch nicht so gelungen, wie es im Hinblick auf die Sensibilität der verarbeiteten Daten als erforderlich und angemessen anzusehen wäre.
Zunächst muß man sich die Größenordnungen
vor Augen führen. In dem betreffenden Finanzamt waren fünf Rechnersysteme mit insgesamt sieben Betriebssystemen bzw. betriebssystemähnlichen Komponenten installiert. Circa 190 Arbeitsplatzsysteme waren direkt mit den Zentralrechnern in der Oberfinanzdirektion bzw. in der Datenzentrale verbunden. Über 100 weitere Arbeitsplatzrechner (PC) waren mit den Rechnersystemen im Finanzamt vernetzt. Circa 80 Mitarbeiter benutzten für ihre Arbeit Einzelplatzsysteme, teilweise in der Form von Notebooks im Außendienst.
Für den reibungslosen Ablauf der automatisierten Datenverarbeitung im Finanzamt waren vier Personen zuständig. Die wesentlichen Administrationsfunktionen wurden allerdings von Mitarbeitern der Oberfinanzdirektion gelegentlich vor Ort, in der Regel jedoch im Wege der Fernwartung durchgeführt. Hierbei waren folgende Schwachstellen zu beanstanden:
Aufgrund der bereichsspezifischen Regelungen im Finanzverwaltungsgesetz ist die Steuerverwaltung recht frei in der Entscheidung, wo sie die Zuständigkeitsgrenzen zwischen den Finanzämtern und der Oberfinanzdirektion zieht. Dies darf aber nicht dazu führen, daß die Verantwortlichkeiten für die Handhabung der technischen Systeme und für die Wahrung des Steuergeheimnisses in den einzelnen Datenverarbeitungsabschnitten verschwimmen. Das Finanzamt hat - wie zu erwarten - darauf verwiesen, daß diese Probleme in die Zuständigkeit der Oberfinanzdirektion
fallen. Diese hat unseren Beanstandungen nicht widersprochen und eine Behebung der Mängel zugesagt. Konkrete Ergebnisse lagen bis zum Ende des Berichtszeitraumes noch nicht vor. Es besteht die Absicht, sich von uns beraten zu lassen.
|
||
6.7.3 |
Computer im Krankenhaus - keiner weiß, wo es lang geht
|
|
Von den Verantwortlichen eines großen Krankenhauses muß man ein besonderes Sicherheitsbewußtsein und Durchsetzungsvermögen bei der Umsetzung der gesetzlichen Vorschriften erwarten. Ein weiteres Mal hat eine Prüfung gezeigt, daß zwischen den berechtigten Ansprüchen der Patienten und den konkreten Maßnahmen der Ärzte und Verwaltungschefs große Lücken klaffen.
Wer sich in ein Krankenhaus begibt, ist in der Regel mit so vielen Sorgen um seine Gesundheit belastet, daß er bei seinen Gesprächen mit den Mitarbeitern der Krankenhausverwaltung, den Schwestern und Pflegern, den Ärzten usw. nicht mit erhöhter Aufmerksamkeit darauf achtet, daß sein informationelles Selbstbestimmungsrecht bei der Verarbeitung seiner höchst sensiblen personenbezogenen Daten gewahrt wird. Mit Recht wird er davon ausgehen, daß das Krankenhaus nicht nur alles tut, um ihm eine optimale Behandlung angedeihen zu lassen, sondern die dabei anfallenden Informationen auch höchst sorgsam und vertraulich behandelt. Die Wahrung des Patientengeheimnisses gehört zu den Qualitätsstandards, die bei einem guten Krankenhaus vorausgesetzt werden können.
Damit diesem Anspruch in der Praxis Rechnung getragen wird, richten wir seit Jahren unser Augenmerk in besonderem Maße auf die personenbezogene Datenverarbeitung in Krankenhäusern (vgl. z. B. 16. TB, Tz. 6.6.4; 17. TB, Tz. 6.2.2; 18. TB, Tz. 4.8.3; 19. TB, Tz. 6.6.2; 20. TB, Tz. 4.8.1 und Tz. 6.7.1).
Bei all diesen Prüfungen haben wir feststellen müssen, daß es mit der Sorgfalt beim Umgang mit den Patientendaten nicht zum Besten bestellt ist. Das gilt nicht nur für die "papierene Welt" der Patientenakten, sondern besonders auch für den Computereinsatz. Das Städtische Krankenhaus in Kiel machte hiervon keine Ausnahme. Das Krankenaktenarchiv war zwar straffer organisiert, als wir es in anderen Krankenhäusern angetroffen haben, aber die Unzulänglichkeiten in bezug auf die Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung müßten aber jedem Patienten die Zornesröte ins Gesicht steigen lassen. Einige von uns beanstandete Sachverhalte mögen dies verdeutlichen:
Die Sicherheitsproblematik wird dadurch gesteigert, daß von verschiedenen Abteilungen in eigener Verantwortung praktisch vier voneinander unabhängige Informationssysteme
entwickelt und betrieben werden. Es sind dies die Verwaltung, das Zentrallabor, die Radiologie und die II. Medizinische Klinik, die durch ein unklares Vertragsverhältnis zwischen der Stadt Kiel und der Christian-Albrechts-Universität zu Kiel in das Städtische Krankenhaus "eingebettet" ist. Eine Koordination dieser vier Datenverarbeitungsinseln besteht nicht. Die daraus resultierenden Defizite werden von den Fachbereichen durchaus gesehen. Dies wird exemplarisch aus den nachfolgenden Aussagen des Direktors der II. Medizinischen Klinik deutlich (Zitate):
Die Stadt Kiel als verantwortlicher Träger des Krankenhauses hat uns diese Ausführungen kommentarlos übersandt. Offenbar teilt sie diese Auffassungen. Unserer Kritik an den Verhältnissen in den anderen Bereichen des Städtischen Krankenhauses hat sie ebenfalls nicht widersprochen und darauf verwiesen, daß der Gesamtkomplex der personenbezogenen Informationsverarbeitung in den nächsten Jahren neu gestaltet werden soll. Hierbei will sie sich durch uns beraten lassen. Als Termin für erste Gespräche ist uns das 1. Halbjahr 1999 genannt worden.
|