22. Tätigkeitsbericht (2000)



4.12

Angekündigte Unangekündigte Kontrollen (AUK)

Auch in diesem Jahr zeigen die Ergebnisse der Angekündigten Unangekündigten Kontrollen, dass in den Verwaltungen des Landes weiterhin Mängel im Umgang mit personenbezogenen Daten bestehen. Dabei verlagert sich der Schwerpunkt von der konventionellen auf die elektronische Datenverarbeitung.

Wie in den Vorjahren hatten wir wieder 50 Behörden am Jahresbeginn schriftlich "vorgewarnt” und davon im Laufe des Berichtsjahrs acht tatsächlich unangemeldet überprüft (zum Konzept vgl. 19. TB, Tz. 1.1). Im Verlaufe dieser Prüfungen konnten wir feststellen, dass sich die Sensibilität der Mitarbeiterinnen und Mitarbeiter in den öffentlichen Verwaltungen hinsichtlich der "äußeren” Datensicherheit zumindest im konventionellen Bereich deutlich erhöht hat. So erfahren unsere Prüfer durch Gespräche oder auf Grund eigener Feststellungen vor Ort, dass es immer selbstverständlicher wird, bei kurzfristigem Verlassen der Büros die Türen abzusperren oder nach Dienstschluss alle Vorgänge in den Schränken wegzuschließen. Im Vergleich zu den vorangegangenen Jahren fanden sich bei unseren unangemeldeten Rundgängen durch die Verwaltungsgebäude nur relativ selten offen stehende und unbesetzte Büros. Auch das alte Mobiliar in den Büroräumen, welches eine verschlossene Aufbewahrung personenbezogener Daten gar nicht ermöglichte, verschwindet mehr und mehr und wird gegen abschließbare Schränke o. Ä. ausgetauscht.

Im EDV-Bereich scheinen viele Verwaltungsleitungen aber darauf zu vertrauen, dass ihre Mitarbeiterinnen und Mitarbeiter intuitiv wissen, wie eine ausreichend sichere Datenverarbeitung zu gestalten ist. In den wenigsten Fällen gab es Dienstanweisungen, die den Beschäftigten eindeutige Vorgaben hierfür machten. So verwundert es nicht, dass wir an den einzelnen Arbeitsplätzen nur selten auf aktivierte Bildschirmschoner in Verbindung mit einem Passwortschutz stießen. Auch ungesicherte Disketten- und CD-ROM-Laufwerke in den PC ließen sich fast überall feststellen. Die Passwortvergabe genügte nicht den Anforderungen. Unter diesen Umständen wäre es den Mitarbeiterinnen und Mitarbeitern oder sogar dritten Personen ohne viel Aufwand möglich gewesen, unbefugt das EDV-System zu manipulieren. Betroffen hätten davon häufig auch sensible Daten aus dem Sozial- und Steuerbereich oder auch die Personaldaten der eigenen Mitarbeiterinnen und Mitarbeiter sein können. Dies mussten wir deshalb jeweils beanstanden.

Zwei "Highlights” aus den Kontrollen dieses Jahres:

  • In einer Behörde "gingen” der Bürgermeister und der Leitende Verwaltungsbeamte mit ihren dienstlichen Notebooks ins Internet. Hiergegen wäre auch nichts einzuwenden, wenn diese Geräte nicht gleichzeitig mit dem EDV-System der Verwaltung verbunden gewesen wären. Mit den von uns aufgezeigten Sicherheitslücken hatte der Bürgermeister "keine Probleme” und verwies darauf, dass mit den Notebooks nur eingegangene E-Mails heruntergeladen würden und er schon aufpassen könne, dass dabei keine schädigenden Dateien (z. B. Viren) in das System gelangten. Schutzmaßnahmen gegen ein unbefugtes Eindringen von außen (etwa eine Firewall, vgl. dazu Tz. 7.1.1) hielt er nicht für erforderlich. Davon abgesehen war kein Virenscanner für das EDV-Netz installiert; auch hier glänzten alle Arbeitsstationen durch offene Disketten- und CD-ROM-Laufwerke.

  • In einer anderen Verwaltung fanden wir das Vorzimmer des Leitenden Verwaltungsbeamten unverschlossen und unbesetzt vor und konnten dort ungestört in verschiedenen Bewerbungsunterlagen stöbern, die offen auf dem Schreibtisch lagen.




Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel