22. Tätigkeitsbericht (2000)



6

Sicherheit und Ordnungsmäßigkeit der automatisierten Datenverarbeitung


6.1

Die Crux mit den Netzen

Wie zu Zeiten des Post- und Fernmeldemonopols gilt für die meisten Datennetze das Prinzip "Sicherheit durch Undurchschaubarkeit”. Die Kunden sind angeblich froh, von den Sicherheitsrisiken nichts wissen zu müssen; die Betreiber sehen sich nicht veranlasst, schlafende Hunde zu wecken.

Wer die Deutsche Post oder die Telekom einschaltet, um einen Brief zu transportieren bzw. ein Telefonat zu führen, weiß nicht, wie der Brief- und Paketverkehr vor unbefugten Zugriffen geschützt wird, geschweige denn, wie das Fernmeldenetz abgesichert ist und welche Spuren in welchen Rechnersystemen z. B. die ISDN-Datenpakete hinterlassen. Das ist gewiss kein befriedigender Zustand. Man vertraut blind darauf, dass diese Institutionen die Sicherheitsrisiken im Griff haben. Dieses Denken ist offenbar ein Relikt aus der Zeit des Post- und Fernmeldemonopols: Warum soll man derartige Dinge kritisch hinterfragen, wenn man einerseits sowieso keine Handlungsalternative hat und andererseits die Erfahrung zeigt, dass "fast nie etwas passiert”? Es gibt ja das durch die Verfassung garantierte Post- und Fernmeldegeheimnis.

Zwischenzeitlich wurde der Telekommunikationsmarkt liberalisiert. Es gibt eine Vielzahl von Unternehmen, die Datentransport- und Datenvermittlungsdienstleistungen anbieten. Besteht weiterhin kein Grund, sich um die Sicherheit beim Datentransport zu kümmern? Das Verhalten der von uns zu kontrollierenden Daten verarbeitenden Stellen im Lande lässt darauf schließen, dass die Denkstrukturen aus der "Kaiserzeit” immer noch vorherrschen. So wie in der Vergangenheit technische Innovationen (z. B. Time-Sharing-Systeme, Datenbank-Management-Systeme, individuelle Datenverarbeitung oder Client-Server-Architekturen) zunächst in recht ungeordneten Bahnen verliefen und erst nach und nach um die Komponenten "Sicherheit” und "Revisionsfähigkeit” angereichert wurden, so rechtfertigt zurzeit anscheinend das Zauberwort "Netz” jedwedes Abweichen von dem Pfad einer grundsätzlich transparenten und für Dritte nachvollziehbaren Datenverarbeitung.

Seit Jahren bemühen wir uns, dem Innenministerium und der Datenzentrale als den Anbietern und Betreibern des Schleswig-Holstein-Netzes und des Campus-Netzes sowie ihren Kunden (Ministerien, Kommunalbehörden, Landesbehörden) deutlich zu machen, dass sie diese Netze nicht als Black Box anbieten bzw. benutzen dürfen, sondern dass gerade in diesem Bereich ein Höchstmaß an Transparenz bei den Schnittstellendefinitionen erforderlich ist - bisher nur mit mäßigem Erfolg (vgl. 19. TB, Tz. 7.8 und Tz. 7.9; 20. TB, Tz. 6.7.6 und Tz. 6.7.7; 21. TB, Tz. 6.4 und Tz. 6.5).

Wer z. B. einen Vertrag mit der Datenzentrale zur Nutzung des Schleswig-Holstein-Netzes abschließt, wird bezüglich des "Nutzungsobjektes” zunächst auf eine Leistungsbeschreibung verwiesen. Dort werden dann alternativ zwei Leistungsarten angeboten, der "Standardanschluss für DZ-Online-Verfahren und Abfragedienste” und der "Komfortanschluss für LAN to LAN-Kopplung”. Welche Anschlussart man vertraglich vereinbart hat, bleibt nicht nur im Vertrag selbst, sondern auch in einer zusätzlichen Anlage "Beschreibung der Transportdienstleistung” ungeklärt. In der Leistungsbeschreibung findet die vorhandene Firewall als eine Netzkomponente keine Erwähnung.

Das als weiterer Vertragsbestandteil deklarierte Sicherheitskonzept beginnt dagegen mit den "erhellenden” Worten: "Das nachstehende Sicherheitskonzept bezieht sich auf die Bereitstellung von Datenvermittlungsdienstleistungen und entsprechende Anschlusstechnik für Kunden zur Herstellung einer digitalen Kommunikation mit definierten oder freien Zielteilnehmern. Dabei wird ein mittleres Schutzniveau im Sinne der Klassifizierung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für das geschlossene Netz beschrieben und angestrebt. Die DZ SH betreibt zwei Netze, deren Übergang durch eine Firewall kontrolliert wird. Das SH-Netz ist im Sprachgebrauch gleichbedeutend mit dem geschlossenen SH-Netz. Das Internet-Zubringernetz besteht aus der Bereitstellung von freien Anschluss- und Kommunikationsdienstleistungen. Dieses Netz ist nicht Bestandteil des SH-Netzes”. Erläutert wird dies durch die nachfolgende Grafik:



Sicher werden sich professionelle Netzspezialisten aus dem Vertrag, der Leistungsbeschreibung, zwei Anlagen und dem Sicherheitskonzept ein Gesamtbild machen können, aber eben nur Spezialisten. Welchem Bürgermeister oder leitenden Verwaltungsbeamten wird jedoch im Sicherheitskonzept unter der Tz. 5.4.3.1 vierter Absatz, sechster Spiegelstrich, die Fomulierung auffallen: "Der Firewall enthält zurzeit keine Filtermechanismen für Anwendungsobjekte (z. B. gegen Viren, Makroviren). Der Schutz wird hier am Arbeitsplatz durch Online-Virenscanner und Verhaltensanweisungen geleistet. Diese Verantwortung liegt in der Organisationseinheit Kunde oder DZ SH, in der der Arbeitsplatz liegt.” Mit diesen wenigen Worten wird nämlich klargestellt, dass trotz einer Firewall bei einer Verknüpfung des lokalen Netzes mit dem Internet wesentliche Sicherheitsrisiken entstehen, die von der einzelnen Behörde zu bewältigen sind.

Auch bezüglich des Campus-Netzes zwischen den obersten Landesbehörden besteht nach wie vor ein völlig unbefriedigender Status quo. Die einzelnen Ressorts nutzen die "externen” Dienstleistungen des Innenministeriums und der Datenzentrale, ohne dass hierüber verbindliche Vereinbarungen getroffen worden sind. Aus der Tatsache, dass die Nutzungsvereinbarungen im Laufe mehrerer Jahre nur bis zum Entwurfsstadium gediehen sind, ist abzuleiten, dass über die tatsächlichen Konsequenzen dieser Aufgaben- und Verantwortungsdelegation noch kein Einvernehmen besteht. Diese Situation kann auch nicht dadurch "geheilt” werden, dass die Beteiligten sich ihres gegenseitigen Vertrauens versichert haben und das "Ausbleiben” von sicherheitsrelevanten Problemen in der Vergangenheit als positives Qualitätsmerkmal bewerten. Zudem besteht die schlichte Fiktion eines einheitlichen Sicherheitsbedürfnisses in allen Behörden. Die unterschiedliche Schutzbedürftigkeit der in den einzelnen Häusern verarbeiteten Daten ist bisher noch nicht systematisch untersucht worden.

Es ist deshalb davon auszugehen, dass das Campus-Netz derzeit noch nicht als mit den Grundsätzen einer "ordnungsgemäßen automatisierten Datenverarbeitung” im Sinne der Datenschutzverordnung im Einklang steht. Diese Feststellung sollte Anlass sein, entweder das Campus-Netz kurzfristig auf eine datenschutzrechtlich einwandfreie Grundlage zu stellen oder aber so schnell wie möglich durch das geplante Landesnetz (vgl. Tz. 6.3) zu ersetzen. Das Sicherheitskonzept für das Landesnetz sollte unseres Erachtens "unbelastet” von der historischen Entwicklung des Schleswig-Holstein-Netzes und des Campus-Netzes völlig neu erarbeitet werden. Zuvor wäre allerdings im Hinblick auf das Landessystemkonzept die Rolle des Innenministeriums als Netzbetreiber detailliert zu beschreiben. Ohne eine formale Zuständigkeits- und Verantwortungsübertragung wird von ihm nämlich auch das neue Netz nicht gemanagt werden können.

Was ist zu tun?
Zügiges Handeln ist von Nöten: Das neue Landesnetz sollte sorgfältig geplant und für jedermann nachvollziehbar beschrieben werden. Wenn über das Konzept Konsens erzielt worden ist, sollte es mit Nachdruck realisiert werden, damit die bestehenden Netze so bald wie möglich ersetzt werden können.

6.2

Gravierende Sicherheitsrisiken bei Telekommunikationsrechnern

Den Aspekten der Sicherheit und Kontrollierbarkeit von Telekommunikationsrechnern ist in der Vergangenheit viel zu wenig Aufmerksamkeit geschenkt worden. Bei genauem Hinsehen stellt man fest, dass die Speicherung von Gesprächsinhalten und das Abhören von Räumen möglich und nur schwer nachweisbar ist.

Wer sich als "normal” ausgebildeter EDV-Kontrolleur mit der Funktionsweise und den Sicherheitsaspekten von Telekommunikationsrechnern befassen will, muss im wahrsten Sinne des Wortes viel "Lehrgeld” bezahlen. Die Betriebssysteme und die Programmiersprachen, mit denen derartige IT-Systeme gesteuert werden, unterscheiden sich wesentlich von denen marktgängiger Verwaltungsrechner. Deshalb hieß es für unsere Mitarbeiter zunächst einmal, viele Informationsgespräche mit Spezialisten zu führen und sich in die (nur sehr schwer erhältliche) Fachliteratur einzuarbeiten, bevor Prüfungsmaßnahmen in der Außenstelle Itzehoe des Amtes für Ländliche Räume Lübeck und bei der Hansestadt Lübeck begonnen werden konnten. Die beiden Stellen hatten wir als repräsentativ ausgewählt, weil im Amt für Ländliche Räume ein älteres Standardsystem und bei der Hansestadt Lübeck eine neue, hochmoderne Anlage installiert war.

Ziel unserer Nachschau war es, eventuelle Schwachstellen im Bereich des Schutzes der Telekommunikationsdaten zu untersuchen und dabei Transparenz in einen Bereich der personenbezogenen Datenverarbeitung zu bringen, über dem bisher ein dichter Grauschleier lag. Den damit verbundenen personellen und zeitlichen Aufwand haben wir massiv unterschätzt. Denn neben vielen anderen Problemen haben die Prüfungen eines aufgezeigt: Die derzeit installierten Telekommunikationsrechner sind (fast) nicht revisionsfähig. Das gilt nicht nur für Kontrollen durch "Externe” wie den Landesbeauftragten für den Datenschutz, sondern auch für die Betreiber selbst.

Zunächst muss man die Größenordnung der installierten Hardware betrachten. Das vergleichsweise kleine System in Itzehoe bestand zum Zeitpunkt der Prüfung aus einem Haupt- und zwei Unterrechnern, einer Richtfunkanlage, einem Administrations- und zwei Gebühren-PC sowie zwei Modems für die Fernwartung. Über diese zentralen Komponenten wurden zirka 1 000 Anschlussgeräte in zehn verschiedenen Behörden (z. B. Amtsgericht, Landgericht, Sozialgericht, Staatsanwaltschaft, Finanzamt, Landesbezirkskasse) betrieben. Die Installation in Lübeck übertrifft diese Dimension bei weitem. Sie besteht aus 83 Telekommunikationsanlagen, einem Server für das Telekommunikations-Management, sechs PC bzw. Laptops für die Administration, einem Voice-Mail-Server mit mehreren angeschlossenen PC für dessen Administration, einem PC für das "Call-Traffic-Management”, sechs PC im Bereich der Vermittlungsstellen, einem PC für die Gebührenabrechnung, einem PC für die Verwaltung des elektronischen Telefonbuches sowie weiteren IT-Komponenten für die Fernwartung und für die Verbindung zu einem Intranet. Die mehr als 3 500 angeschlossenen Nebenstellen sind über 237 Standorte im ganzen Stadtgebiet verteilt.

Eine auch nur ansatzweise Beschreibung der Betriebssystem- und sonstigen Softwarekomponenten würde den Rahmen dieses Berichtes sprengen. Deshalb nur so viel: Die Telekommunikationsrechner in Lübeck werden von den Administratoren durch mehr als 200 unterschiedliche Betriebssystembefehle gesteuert. Dies entspricht dem Befehlsvorrat von Großrechnersystemen.

Auch der Umfang und die Vielzahl der Datenbestände war für uns überraschend. Wir fanden nicht nur Leistungsmerkmals- und Gebührendateien, sondern in Lübeck auch Dateien mit gesprochenen oder geschriebenen Texten im Voice-Mail-Server (Inhalte von Fax-Schreiben und E-Mails sowie von Nachrichten, die im Anrufbeantworter hinterlassen worden waren). Diese Datenbestände sind auf den Festplatten der Rechner abgelegt und bleiben solange gespeichert, bis die Administratoren den Löschbefehl geben. Weder die Anrufer noch die Angerufenen dürften sich dieser Tatsache bewusst sein.

Von ganz besonderer Bedeutung sind auch die "Gestaltungsmöglichkeiten”, die die so genannten Leistungsmerkmale bieten. Nachfolgend einige mit besonderer datenschutzrechtlicher Relevanz:

  • Nicht angenommene Anrufe können mit Rufnummer, Datum, Uhrzeit und Anzahl der Versuche aufgezeichnet werden (Anruferliste).

  • Teilnehmer können sich direkt in bestehende Verbindungen einschalten (Aufschalten).

  • Eingehende Telefongespräche können mittels des Voice-Mail-Servers aufgezeichnet werden (Voice-Mail).

  • Über das integrierte Mikrofon kann trotz aufgelegten Hörers in einen Raum hineingehört werden (Raumhören bzw. direktes Ansprechen).

Derartige Aktivitäten lassen sich zwar mit Anzeigen auf dem Display und mit Aufmerksamkeitstönen koppeln. Dieselben Administratoren, die die Leistungsmerkmale aktivieren, können aber z. B. auch die Lautstärke des Aufmerksamkeitstons praktisch wegregulieren. Obwohl wir sicher noch nicht einmal alle Finessen der vielfältigen Betriebssystembefehle kennen, haben unsere Tests ergeben, dass de facto ein unbemerktes "Abhören” eines Sitzungszimmers möglich ist. Wie das im Einzelnen bewerkstelligt werden kann, gehört sicher nicht in einen der Öffentlichkeit zugänglichen Bericht. Es ist nämlich nicht möglich, die besonders problematischen Leistungsmerkmale beim Lieferanten gar nicht erst mitzubestellen, um sicherzugehen, dass sie nicht "aus Versehen” eingeschaltet werden.

Diese Feststellungen sind der Hintergrund für unsere Forderungen nach genauen Vorgaben für die Vergabe von Leistungsmerkmalen, für die Speicherungsdauer von Inhaltsdaten und für die Behandlung von Gebührendaten sowie nach einem Höchstmaß an Revisionsfähigkeit der Aktivitäten der Systemadministratoren durch eine auswertbare Protokollierung. Beide geprüften Stellen konnten den datenschutzrechtlichen Ansprüchen nicht genügen, was zu einer Vielzahl von Beanstandungen führte.

Ein besonderes Gewicht kommt in diesem Zusammenhang den Mängeln bei der Fernadministration durch die Systemlieferanten zu. Wir mussten feststellen, dass die zuständigen Mitarbeiter der von uns geprüften Behörden erhebliche Probleme hatten, die komplexen Strukturen der Telekommunikationssysteme zu durchdringen. Deshalb beauftragte man die gleichen Unternehmen, die die Systeme geliefert hatten, auch mit der Administration. Soweit über deren Arbeiten überhaupt Protokolle erstellt worden waren, wurden sie nicht systematisch ausgewertet. Das führte im Ergebnis dazu, dass ungewollt bzw. unbefugt geschaltete "problematische” Datenspeicherungen oder Leistungsmerkmale nur durch Zufall oder Ausprobieren hätten aufgedeckt werden können.

Das Amt für Ländliche Räume hat in einer ersten Stellungnahme mitgeteilt, dass im Rahmen des landesweiten Sprachnetzes (vgl. Tz. 6.3) durch das Ministerium für Finanzen und Energie zwischenzeitlich ein neuer Telekommunikationsrechner installiert worden ist. Über dessen Funktionsweise will man uns unterrichten, wenn die Einzelheiten von der Lieferfirma bzw. dem Finanzministerium als dem neuen Systembetreiber bekannt gegeben worden sind.

Die Hansestadt Lübeck hat unverzüglich eine Neuordnung der internen Zuständigkeiten für die Telekommunikationsdienste beschlossen. Damit soll sichergestellt werden, dass künftig klare Verantwortungszuweisungen bestehen. Wegen der Vielschichtigkeit der von uns gegebenen Hinweise war es ihr gleichwohl nicht möglich, in dem üblichen Zeitrahmen eine Stellungnahme abzugeben. Sie hat zunächst die mit der Planung und Realisierung ihrer Telekommunikationsanlagen beauftragten Firmen mit den festgestellten sicherheitstechnischen Problemen konfrontiert.

Was ist zu tun?
Man wird zweigleisig fahren müssen: Die Betreiber der Telekommunikationsrechner werden lernen müssen, sie zu beherrschen, um sich aus der Abhängigkeit von den externen Administratoren zu befreien. Die Anbieter und Beschaffer wird man kritisch fragen müssen, warum sie Geräte mit Funktionen anbieten bzw. einsetzen, die nicht wirklich gebraucht werden, deren sicherheitsrelevanter Missbrauch aber kaum zu verhindern ist.

6.3

Privatisierung der Telekommunikationsanlagen birgt Risiken

Das Land zieht sich bezüglich des Telefonbereiches aus dem "Telekommunikationsgeschäft” zurück. Wer kontrolliert künftig die Administrationsaktivitäten der privaten Dienstleister? Wenn das privatisierte Sprachnetz und das Datennetz des Landes integriert werden, wer löst die Sicherheitsprobleme?

Mit der Ankündigung des Staatssekretärs im Ministerium für Finanzen und Energie vom 30. Juni 1999 "Landesverwaltung erhält ein integriertes Sprach- und Datennetz” ist aus datenschutzrechtlicher und sicherheitstechnischer Sicht ein neues Zeitalter in der zwischenbehördlichen Telekommunikation in Schleswig-Holstein angebrochen. Die Auswirkungen werden aus unserer Sicht so vielfältig sein und eine so große Tragweite haben, dass wir in unserer Dienststelle eine spezielle Arbeitsgruppe aus Juristen, Informatikern und anderen Datensicherheitsexperten gebildet haben, um eine umfassende kritisch-konstruktive Begleitung dieses Projektes zu Gewähr leisten. Bereits die wenigen uns bisher bekannten Fakten werfen zahlreiche datenschutzrechtliche und sicherheitstechnische Fragen auf bzw. weisen auf alsbald zu lösende Probleme hin:

Die vom Land Schleswig-Holstein mit der Telekom bzw. der Firma Siemens (als Subunternehmer) geschlossenen Verträge bezeichnen das Finanzministerium als Auftraggeber der Dienstleistungen und als Nutzer der bereitgestellten Hard- und Software. Ob allerdings das Ministerium oder das "Gebäudemanagement Schleswig-Holstein” als Betreiber des Sprachnetzes fungieren wird, scheint noch nicht endgültig entschieden zu sein. Davon abhängig ist jedoch, wer im datenschutzrechtlichen Sinn "Daten verarbeitende” und damit verantwortliche Stelle ist. Im Moment halten wir uns an das Ministerium.

Die bisherigen vertraglichen Vereinbarungen decken drei an sich voneinander unabhängige Bereiche ab:

  • die Anmietung von mehr als 400 Telekommunikationsrechnern und einigen 10 000 Telefongeräten sowie die Gewährung von Nutzungsrechten für die Vermittlungs- und Konfigurationssoftware,

  • die Inanspruchnahme von Übertragungsleitungen der Telekom mit den jeweils erforderlichen Übertragungskapazitäten (Bandbreiten) und

  • die Administration der gesamten Hard- und Software durch Mitarbeiter der Firmen Telekom und Siemens.

Im Hinblick auf die vielfältigen sicherheitsrelevanten Konfigurationsmöglichkeiten für die Rechnersysteme und die Leistungsmerkmale der Nebenstellen dürfte es nicht zu verantworten sein, sie aus der Sicht des Betreibers und der Nutzer als eine Black Box zu behandeln (vgl. Tz. 6.2). Da für die tatsächliche Nutzung der Systeme weiterhin die einzelnen Behörden verantwortlich bleiben, werden diese ihre Anforderungen dem Betreiber mitzuteilen haben, der wiederum dafür zu sorgen hat, dass der "Vermieter” nur die angeforderten Funktionalitäten auf der Geräte- bzw. Softwareebene zur Verfügung stellt. Die veranlassende Behörde wird sich durch Tests davon überzeugen müssen, dass ihre Anweisungen auch tatsächlich richtig vollzogen worden sind.

Der eigentliche Datentransport über die Leitungen vom bzw. bis zum Hausanschluss der jeweiligen Liegenschaften bleibt für den Betreiber und die einzelnen Behörden wie in der Vergangenheit eine undurchschaubare Angelegenheit. Die Telekom unterliegt nicht der Aufsicht durch den schleswig-holsteinischen Datenschutzbeauftragten und lässt sich auch nicht freiwillig von unabhängigen Sicherheitsspezialisten "in die Karten schauen”. Wenn also schon ein landeseinheitliches Netz propagiert wird, so wird man im Hinblick auf die unbestreitbaren Abhörpraktiken "interessierter” Institutionen die Forderung nach einer Verschlüsselung des Datenverkehrs nicht vorschnell vom Tisch wischen können. Ein landeseinheitlicher Verschlüsselungsalgorithmus und für alle Behörden gleiche, aber häufig wechselnde Schlüssel dürften z. B. technisch realisierbar sein.

Wenn die gesamte Administration der Telekommunikationsrechner in die Hände eines externen Dienstleisters gegeben wird, stellt sich die Frage, wer dessen Arbeit überwachen kann. Dem Betreiber muss ein Team von hoch qualifizierten Spezialisten zur Verfügung stehen, die nicht nur in der Lage sind festzustellen, ob der Dienstleister alle Aufträge ordnungsgemäß erledigt hat, sondern auch, ob sicherheitsrelevante Funktionen ohne Auftrag aktiviert oder deaktiviert worden sind. Die revisionsfeste Protokollierung aller Aktivitäten der Administration und die systematische Auswertung der Protokolle muss ein unverzichtbarer Teil eines umfassenden Sicherheitskonzeptes sein.

Die vorgenannten Probleme und eine Vielzahl weiterer Fragestellungen sind in ersten Gesprächen mit den Vertretern des Finanzministeriums, der Telekom und der Firma Siemens erörtert worden. Derzeit befindet man sich dort in der Umsetzungsphase und hat angekündigt, bereits in den nächsten Gesprächen erste Vorschläge zur Problemlösung vorzustellen. Wenn wie angekündigt über das angemietete Leitungsnetz nicht nur Telefonate geführt werden, sondern auch die gesamte Datenkommunikation zwischen den schleswig-holsteinischen Behörden abgewickelt wird, treten mit dem Innenministerium und der Datenzentrale zwei zusätzliche Akteure auf den Plan. Der Innenminister wird nämlich nach dem jüngst beschlossenen "Landessystemkonzept” der Betreiber des Datennetzes sein und die Datenzentrale wird dessen Administration als externer Dienstleister übernehmen. Das Datennetz soll dann das Campus-Netz und möglicherweise auch das Schleswig-Holstein-Netz der Datenzentrale ersetzen (vgl. Tz. 6.1).

Der Finanzminister und der Innenminister werden also die Leitungswege aus Kostengründen gemeinsam benutzen, in jeder Behörde wird aber ein wie auch immer geartetes technisches Gerät stehen, das die ankommenden digitalen Signale nach Sprach- und Dateninformationen sortiert und vielleicht auch Übergänge (z. B. beim Faxverkehr) zulässt. Sodann werden sie entweder in den Telekommunikationsrechnern oder in den "normalen” Datenverarbeitungsanlagen weiterverarbeitet. Da das Datennetz mit den vielen lokalen Netzen der einzelnen Behörden und entweder direkt oder über die Behördennetze mit dem zwar weltweiten, aber ungesicherten Internet verbunden sein wird, ergibt sich die Notwendigkeit zur Installation hochwirksamer Sicherheitsmechanismen (z. B. Firewalls). Je mehr das Sprach- und das Datennetz miteinander verwoben werden, umso mehr müssen die Sicherheitskonzepte der beiden Betreiber aufeinander abgestimmt sein. Zurzeit sind hier mehr offene als gelöste Probleme zu sehen, zumal die "kommunale Familie” (Gemeinden, Ämter, Städte, Kreise) bereits signalisiert, dass auch sie sich an den vom Finanzminister prognostizierten Kosteneinsparungen von mehreren Millionen Mark jährlich "beteiligen” möchte. Im Augenblick bleibt die schlichte Erkenntnis: Der Erfolg des Projektes steht und fällt mit der Qualität der Sicherheitskonzepte.

Was ist zu tun?
Nachdem die Rahmenverträge "stehen”, muss der Innenminister möglichst bald das Konzept seines Datennetzes vorlegen, damit gemeinsam mit dem Finanzminister die Sicherheitskonzepte entwickelt werden können. Hinsichtlich der Sicherheit und Transparenz des integrierten Datennetzes sind die Bestimmungen der Datenschutzverordnung strikt zu beachten.

6.4

Unterschiedliche Prioritäten bei der Behebung von Sicherheitsmängeln

Stellen wir bei Prüfungen Sicherheitsmängel fest, so fällt den Behörden das Akzeptieren von Beanstandungen offenbar leichter, als die Mängel zügig zu beheben.

Im letzten Jahr (vgl. 21. TB, Tz. 6.7) haben wir ausführlich über drei größere Prüfungsmaßnahmen aus dem Jahr 1998 berichtet, die eines gemein hatten: Wir haben signifikante sicherheitstechnische Defizite festgestellt, haben die Daten verarbeitenden Stellen zu einer grundlegenden Neuorientierung ihrer "Security Policy” aufgefordert und haben die Mitteilung erhalten, dass alsbald für eine Behebung der Mängel gesorgt würde. Die sich so in Zugzwang befindenden Stellen sind die Oberfinanzdirektion, das Städtische Krankenhaus in Kiel und die AOK Schleswig-Holstein. Etwa ein Jahr später zeigt sich ein recht unterschiedliches Bild bezüglich der Einhaltung der Zusagen und der Prioritätensetzung.

Die Oberfinanzdirektion hat quasi die weiße Flagge gehisst und uns mitgeteilt, dass "die Komplexität der auf Grund des Prüfberichtes zu untersuchenden Teilaufgaben einen hohen Arbeitsaufwand im Automationsbereich” erfordere. Im Jahr 1999 hätten jedoch andere zwingend und dringend notwendige Aufgaben wie z. B. die Umstellung auf das Jahr 2000 und die laufenden Updates auf Grund der Steuerrechtsänderungen Vorrang gehabt. "Daher konnte an den aufgeworfenen Problemen bisher leider noch nicht vertieft konzeptionell gearbeitet werden.” Der erhöhte Aufwand für die softwaretechnische Bewältigung des Jahr-2000-Problems mag als Rechtfertigung für das Fortbestehen bekannter sicherheitstechnischer Schwachstellen gelten. Mit Beginn des neuen Jahres muss dieses Problem jedoch abgehakt sein, sodass auch die Lösung anderer dringender Probleme in Angriff genommen werden kann. Ein weiterer Verzug wäre jedenfalls aus unserer Sicht nicht zu rechtfertigen.

Auch das Städtische Krankenhaus in Kiel hat den sicherheitstechnischen Durchbruch noch nicht erreicht. Uns sind zwar im Rahmen von Beratungsgesprächen erste Unterlagen über ein so genanntes "Care-Center”, das Anfang 2000 installiert sein soll, vorgelegt worden. Es handelt sich jedoch um Papiere des Softwareanbieters und nicht um Konzepte oder Vorgaben der Krankenhausleitung. Der geringe Konkretisierungsgrad wird z. B. daran deutlich, dass das zentrale Problem der Revisionsfähigkeit des geplanten Verfahrens mit einem Zweizeiler folgenden Inhalts abgehandelt wird: "Die Lösung ist revisionsfähig, da jederzeit überprüft werden kann, wie personenbezogene Daten in das System hineingekommen sind und welche Person auf dem Server tätig war.” Dies als einen Teil eines "Datenschutz- und Datensicherheitskonzeptes” zu deklarieren, ist solange nicht gerechtfertigt, solange man nicht auch verrät, wie man das "in das System Hineinkommen” und "auf dem System Tätigsein” revisionsfest protokolliert. Die Verantwortlichen im Städtischen Krankenhaus haben noch viel Arbeit vor sich, wenn nicht auch hier die unter Tz. 6.5 dieses Berichtes beschriebenen Probleme auftreten sollen. Das gilt insbesondere, weil die technischen und organisatorischen Schnittstellenprobleme zwischen dem Städtischen Krankenhaus "im engeren Sinn” und der II. Medizinischen Klinik des Universitätsklinikums, die das Städtische Krankenhaus "mitbenutzt”, nach wie vor völlig ungeklärt sind.

Nur eine der drei betroffenen Stellen kann eine insgesamt positive Bilanz vorweisen, wenngleich die uns gemachten Zusagen auch nicht vollständig eingehalten wurden. Die AOK Schleswig-Holstein hatte sich selbst als Zieltermin für die Behebung der von uns festgestellten Mängel den 30.09.1999 gesetzt. Dieser Termin konnte nicht gehalten werden, signifikante Fortschritte sind jedoch unverkennbar. So enthält ein Statusbericht zum Jahresende ein knappes Dutzend von "Erledigt-Vermerken”. Uns wurde z. B. mitgeteilt, dass

  • die Zugriffsberechtigungen auf die Datenbanken mit Sozialdaten neu festgelegt worden sind,

  • die papierenen Unterlagen nunmehr grundsätzlich in verschlossenen Behältnissen gelagert werden,

  • alle Übermittlungen von Sozialdaten sorgfältig dokumentiert sind,

  • die Entsorgung von Altakten neu organisiert wurde,

  • nicht benutzte Bildschirme auf den Arbeitsplätzen automatisch gesperrt werden,

  • die Serverräume besser gesichert sind,

  • die Auftragsdatenverarbeitung im Rechenzentrum in Mecklenburg-Vorpommern auf eine neue Grundlage gestellt wurde und

  • die Aufgaben der örtlichen Datenschutzbeauftragten neu festgelegt und ihnen ausreichend Zeitkontingente zur Verfügung gestellt wurden.

Die Problematik der mangelnden Diskretion bei der Versichertenberatung in den Geschäftsstellen und Filialen ist augenscheinlich erst punktuell gelöst. Hier zeigt sich, wie kostenintensiv das nachträgliche Korrigieren von Fehlentwicklungen ist. Wir haben uns beratend an Pilotprojekten zur Neugestaltung der so genannten Kundencenter beteiligt und selbst feststellen müssen, dass zwar vieles mit Kreativität verbessert werden kann, dass einige Räumlichkeiten und Möblierungen aber so "unpassend” sind, dass die Wahrung des Sozialgeheimnisses nur durch eine völlige Neugestaltung gewährleistet werden kann. Wenn die AOK prognostiziert, "am Ende werden wir Maßnahmen im Wert von mehreren Millionen Mark umgesetzt haben”, ist dies einerseits positiv zu bewerten, andererseits ist eine solche Aussage auch ein Indiz für das Ausmaß der in der Vergangenheit entstandenen Sicherheitsdefizite. Deshalb werden wir die weiteren Aktivitäten der AOK aufmerksam beobachten und auf einen weiterhin zügigen Abbau der Defizite drängen.

Was ist zu tun?
Die Vollzugsdefizite sind zügig abzubauen, weil es nicht akzeptabel ist, Sicherheitsmängel nur zur Kenntnis zu nehmen und ihre Behebung auf die lange Bank zu schieben. Wir werden die betroffenen Stellen zu verbindlichen Terminzusagen drängen und uns vom Fortgang der Mängelbeseitigung überzeugen.

6.5

Krankenhausinformationssysteme - wer ist verantwortlich?

Der Nutzen digitaler Krankenakten und "workflow-basierter” Informationssysteme in Krankenhäusern lässt sich leicht in rosigen Farben schildern. Die damit verbundenen sicherheitstechnischen und Verantwortungsprobleme in den Griff zu bekommen, setzt dagegen eine sorgfältige Planung und Auseinandersetzung mit den rechtlichen Gegebenheiten voraus.

Spätestens seitdem auch die Krankenhäuser in öffentlicher Trägerschaft gehalten sind, nach kaufmännischen Gesichtspunkten zu wirtschaften und für Leistungs- und Kostentransparenz zu sorgen, erlebt die automatisierte Datenverarbeitung in diesem Bereich geradezu einen Boom. Da ist die Rede von der "elektronischen Krankenakte”, von "workflow-basierten RIS-PACS-Systemen”, von "Pflegeinformatik” und "Pflegeinformationssystemen” (natürlich auch "workflow-basiert”), von "Sprachdokumentation”, und mancher stellt lapidar fest: "Das Papier hat ausgedient!”. Allerdings scheint es, dass nicht nur die Datenschützer, sondern auch die Protagonisten dieser Hightech-Krankenhäuser selbst bemerkt haben, dass die Entwicklung von Informationstechnik eine Sache ist, die sichere Beherrschung derselben aber eine ganz andere. Vor dem Hintergrund unserer bisherigen Erfahrungen mit der Datenverarbeitung in Krankenhäusern im Allgemeinen und mit so genannten integrierten Krankenhausinformationssystemen im Besonderen kann man ein verstärktes Streben nach Transparenz und Qualität nur begrüßen (vgl. zuletzt 21. TB, Tz. 6.7.3 mit weiteren Verweisen).

Worin liegen die Ursachen für die von uns festgestellten sicherheitstechnischen Defizite in diesem so hochsensiblen Bereich? Die vielen Beratungsgespräche, die wir auch in diesem Jahr wieder geführt haben, lassen eine Hauptursache immer deutlicher werden: Weil man "informationstechnische Redundanzen” vermeiden will, werden die Grenzen zwischen der medizinischen Dokumentation der Ärzte und den Buchführungsunterlagen der Krankenhausverwaltung verwischt. Am Ende ist häufig völlig unklar, wer z. B. für die Vergabe von Zugriffsberechtigungen auf die ach so hochintegrierten Datenbanken die Verantwortung trägt, die kaufmännischen Leiter, die EDV-Chefs oder die behandelnden Ärzte. Auf der Strecke bleiben nicht selten die Rechte der Patienten, die von alledem nichts merken, weil sie verständlicherweise mehr um ihre Gesundheit besorgt sind als um die Sicherheit ihrer Daten.

Der IT-Einsatz ist natürlich auch unter Datenschutz- und Datensicherheitsaspekten in beiden Bereichen möglich. Es geht also nicht um das "Ob”, sondern um das "Wie”. Die Sicherheitsspielregeln für die computergestützte Dokumentation medizinischer Behandlungen durch Ärzte und ihre berufsmäßig tätigen Gehilfen (Pflegedienst) hat die Bundesärztekammer bereits im Jahre 1996 festgelegt (Deutsches Ärzteblatt 1996, Nr. 43). Danach ist die Führung digitaler Krankenakten nur dann zulässig, wenn besondere Sicherungs- und Schutzmaßnahmen getroffen werden, um deren Veränderung, Vernichtung oder unrechtmäßige Verwendung zu verhindern. Welchen Stellenwert das ärztliche Standesrecht dem Problem der Datenintegrität und der Vertraulichkeit der Informationen beimisst, wird z. B. an folgenden Einzelforderungen deutlich: Es muss möglich sein, während der gesamten Aufbewahrungszeit auch nach einem Wechsel des IT-Systems die dokumentierten Informationen innerhalb angemessener Zeit lesbar zu machen. Die Wartung der Systeme und jegliche Fehlerbeseitigung darf grundsätzlich nur mit Testdaten erfolgen. Der Einblick Dritter in Originaldaten muss auf besondere Ausnahmefälle beschränkt bleiben. Das Wartungspersonal ist zu beaufsichtigen und dessen Arbeiten sind zu protokollieren. Das gilt auch bei einer Fernwartung. Die Fernübertragung patientenbezogener Daten muss verschlüsselt erfolgen, auszumusternde Datenträger sind zuvor unter ärztlicher Aufsicht unbrauchbar zu machen. Aus alledem ergibt sich, dass die digitalen Krankenakten (ebenso wie ihre papierenen Vorgänger) keine normalen Verwaltungsvorgänge sind, sondern als medizinische Dokumentation dem ärztlichen Sicherheitsmanagement auf der Grundlage des besonderen Vertrauensverhältnisses zwischen Arzt und Patienten unterliegen.

Für die kaufmännische Abwicklung der Krankenhaus-Behandlungsverträge ist stets nur eine geringe Teilmenge der Informationen erforderlich, die ein Arzt in der medizinischen Dokumentation erfasst hat. Soweit der Patient eine Abrechnung mit seiner gesetzlichen Krankenkasse wünscht, ergibt sich das Datenprofil aus dem Sozialgesetzbuch; verlangt er als "Selbstzahler” oder "Privatversicherter” eine detaillierte Rechnung, bestimmt er damit selbst, welche zusätzlichen Diagnose- und Therapiedaten vom behandelnden Arzt an die Krankenhausverwaltung herausgegeben werden müssen. Auch diese Abrechnungsbestände sind als besonders schutzbedürftig zu klassifizieren. Sie unterliegen aber anderen Verarbeitungsregeln. Die medizinische Dokumentation muss z. B. mindestens 10 Jahre (in der Regel 30 Jahre) gespeichert bleiben, ist aber nach Entlassung des Patienten so zu archivieren, dass nachträgliche Änderungen faktisch unmöglich sind und ein Zugriff nur den behandelnden bzw. den nachbehandelnden Ärzten gestattet wird. Die Abrechnungsdaten unterliegen dagegen nur den kaufmännischen Nachweis- und Aufbewahrungsbestimmungen, das heißt, sie können nach Eingang des Behandlungsentgeltes aggregiert werden, zumindest können jedoch die Diagnose- und Therapiemerkmale gelöscht werden.

Diese und viele weitere unterschiedliche Anforderungen an die Dokumentations- und die Abrechnungskomponenten der Krankenhausinformationssysteme müssen ihren Niederschlag in den Sicherheitskonzepten finden. Bei den meisten der von uns begutachteten Lösungen bzw. Planstudien fehlte es an einer klaren fachlichen Verantwortungsabgrenzung zwischen diesen Bereichen. Da man die Hard- und Software bei den Anbietern zumeist "von der Stange” kaufte, entschied im Ergebnis nicht selten der EDV-Leiter über Zugriffsrechte, Datenprofile und Sicherheitskonzepte. Die eigentlichen Verantwortungsträger, nämlich die Ärzte, waren zufrieden, wenn die EDV-Systeme denn nur liefen. Deshalb gilt diesem Bereich auch in Zukunft unser besonderes Augenmerk.

Was ist zu tun?
Bei der Planung von Krankenhausinformationssystemen ist von Anfang an zwischen den Bereichen "medizinische Dokumentation” und "Abrechnung” zu differenzieren. Die Funktionalitäts- und Sicherheitsanforderungen sind von den jeweiligen Verantwortungsträgern zunächst getrennt festzulegen. Erst danach wird erkennbar, wo und in welchem Umfang "Integrationen” möglich sind.

6.6

Landrat macht Datenschutz zur Chefsache

Der Nutzen der datenschutzrechtlich vorgeschriebenen Sicherheitskonzepte wird häufig verkannt. Ein Landrat hat den Spieß umgedreht. Er betrachtet die Datensicherheitsvorschriften als nützliches Instrument zur Verwaltungsmodernisierung.

Schon seit einigen Jahren beschreitet der Kreis Schleswig-Flensburg einen Sonderweg bezüglich seiner "Datenschutzpolitik”. Er bestellte eine hauptamtliche behördliche Datenschutzbeauftragte und ließ sie nicht nur an der DATENSCHUTZAKADEMIE, sondern auch durch ein "Training on the job” in unserer Dienststelle qualifiziert ausbilden. Der Nutzen dieser Investition zeigte sich darin, dass sehr frühzeitig die Bedeutung eines IT-Konzeptes erkannt wurde. Auf der Grundlage dieses "Gesamtplans” und einer "Bestandsaufnahme zur Ermittlung der Datensicherheitssituation” ist nunmehr auch ein allgemeines Sicherheitskonzept erstellt worden. Es enthält die Mindestanforderungen, die alle Fachbereiche der Kreisverwaltung einzuhalten haben. Die von den Dezernaten gemeinsam erarbeiteten Regelungen beziehen sich nicht nur auf die datenschutzrechtlich besonders bedeutsamen Aspekte der Vertraulichkeit von Daten, sondern auch auf die Anforderungen an die Verfügbarkeit der Systeme (z. B. Schutz vor Ausfall, Diebstahl und Zerstörung) und an die Integrität der automatisierten Verfahren (z. B. Schutz vor fahrlässiger oder vorsätzlicher Verfälschung von Programmen oder Manipulation von Dateien des Rechnungswesens). Man brauchte erstaunlicherweise gerade einmal ein Dutzend Seiten, um in prägnanten Sätzen und in einer übersichtlich gegliederten Form die grundlegenden "Sicherheitsspielregeln” zu formulieren, die bei der Beschaffung von Hard- und Software, der Nutzung der Arbeitsplatzrechner, der Verwaltung von Datenträgern und Dateien, dem Internet-Zugang, der Nutzung der Standardsoftware, der Administration der Server usw. zu beachten sind.

Bemerkenswert ist aus unserer Sicht, dass der Landrat selbst sich zum Protagonisten einer innovativen Datensicherheitspolitik gemacht hat. Anlässlich der Präsentation des Sicherheitskonzeptes vor der Presse hob er hervor, dass die heutigen Ziele einer Kreisverwaltung wie Wirtschaftlichkeit, Bürgerorientierung und Verwaltungsmodernisierung und der Schutz der Bürgerinnen und Bürger vor einer allumfassenden und ungeregelten Einbeziehung ihrer Daten in automatisierte Verarbeitungsprozesse durchaus miteinander in Einklang gebracht werden können. Die Erfahrungen hätten gezeigt, dass präzise und umsetzbare "Empfehlungen” auf Dauer mehr Akzeptanz für den Datenschutz schaffen als ausschließlich der Druck von Kontrollen.

Was ist zu tun?
Dem Kreis Schleswig-Flensburg ist zu raten, den eingeschlagenen Weg konsequent fortzusetzen. Die anderen Landräte sollten in ihren Häusern vergleichbare Vorgehensweisen anstoßen.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel