23. Tätigkeitsbericht (2001)
7 |
Systemdatenschutz |
|
7.1 |
Sicherheits- und Ordnungsmäßigkeitsregelungen im neuen Datenschutzrecht
|
|
Die über 20 Jahre alten Datensicherheitsvorschriften sind durch die Neuregelungen im LDSG 2000
und in der Datenschutzverordnung (DSVO) "ad acta" gelegt worden. Das neue Datensicherheitsrecht schafft für die Daten verarbeitenden Stellen konkretere und der aktuellen technischen Situation angepasste Rahmenbedingungen. Das Echo der Datenverarbeiter hierauf ist durchweg positiv.
Die Bestimmungen zu den "technischen und organisatorischen Maßnahmen" des bis 2000 geltenden Landesdatenschutzgesetzes sind in ihrer Grundstruktur bereits Anfang der 70er-Jahre entwickelt worden. Die damaligen Überlegungen wurden als die "10 Gebote zur Datensicherheit" erstmals im Bundesdatenschutzgesetz von 1977 als Rechtsnormen formuliert und sind 1978 nahezu unverändert in das schleswig-holsteinische Datenschutzrecht übernommen worden. Sie reflektierten die Sicherheitsprobleme bei der automatisierten Datenverarbeitung in zentralisierten Großrechenzentren und waren recht abstrakt formuliert. Zudem gab es zwischen den einzelnen "Sicherheitsgeboten" Abgrenzungs- und Überschneidungsprobleme, sodass ihre Zielrichtung vielfach nur durch umfangreiche Kommentierungen und anhand von Beispielen deutlich gemacht werden konnte. Dabei zeigte sich zunehmend das Problem, dass die heutigen informationstechnischen Systeme und automatisierten Verfahrensabläufe ganz andere Sicherheitsanforderungen stellen als die vor 30 Jahren.
Eine Reorganisation des Datensicherheitsrechts war mithin seit langem überfällig und ist in den §§ 5 bis 7 LDSG 2000 und den §§ 3 bis 8 der DSVO vollzogen worden. Aus diesen neuen Regelungen zum Systemdatenschutz lassen sich die folgenden konkreten Grundforderungen ableiten:
Interessant waren die Reaktionen der Datenverarbeiter im Lande (Softwareentwickler, Administratoren, EDV-Leiter, Benutzer von IT-Systemen) nach dem In-Kraft-Treten der einschlägigen Regelungen. Die überwiegend positiven Beurteilungen gipfelten in der Aussage: "Endlich hat auch der Gesetzgeber erkannt, wodurch Datensicherheit tatsächlich erreicht werden kann." Geäußert wurden allerdings auch völlig ablehnende Auffassungen.
Die Gründe für derartig divergierende Ansichten sind in folgendem Phänomen zu finden: Soweit die öffentliche Verwaltung ihre Datenbestände in Papierform (also in Akten) führt, wird es als eine Selbstverständlichkeit betrachtet, dass alles, was zu einem "Fall" vorliegt, in die betreffende Akte gehört, dass es keine "privaten" Zweit- und Drittakten geben darf und dass nur die jeweils Zuständigen die Akten führen dürfen. Diese althergebrachten Grundsätze werden auch eingehalten, wenn ganze Akteninhalte oder Teilmengen in Datenbanken übertragen werden, um die Verarbeitungsprozesse zu beschleunigen. Man weiß genau, wo die Daten gespeichert sind und wer den Zugriff auf sie hat. Eine völlig neue Situation entsteht, wenn man den Mitarbeiterinnen und Mitarbeitern an ihren computergestützten Arbeitsplätzen Softwarewerkzeuge
an die Hand gibt, mit denen sie große Datenbestände kopieren, zusammenführen, selektieren, umspeichern, auf andere Systeme übertragen, Zugriffsberechtigungen verändern oder gar ganze Datenbanken neu anlegen können. Derartige Aktionen kosten weder viel Zeit noch erzeugen sie Kosten. Werden die von den technischen Systemen (Client-Server-Systeme, Netzwerke, mobile Systeme) und den Softwarepaketen (Bürokommunikationssysteme, Datenbankgeneratoren, Falltransfer- und Mail-Systeme) angebotenen Optionen nicht durch technische und organisatorische Maßnahmen kanalisiert, entsteht - wie wir bei vielen unserer Prüfungen feststellen mussten - nach kurzer Zeit ein Wildwuchs an Datenbeständen, der sich jedem Sicherheitskonzept und jeder Kontrolle entzieht (vgl. 21. TB, Tz. 4.1.2, Tz. 6.7.1; 22. TB, Tz. 4.12; Tz. 7.5 dieses Berichtes). |
||
Die neuen Regelungen im LDSG 2000
und in der Datenschutzverordnung fangen zum Vergnügen der meisten IT-Verantwortlichen die "vergessenen", "vagabundierenden" und "privat-dienstlichen" Datenbestände und Rechnersysteme wieder ein und unterwerfen sie dem gleichen Sicherheitsreglement, das für alle Akten und die "offiziellen" Dateien gilt. Mancher PC-Freak in der Verwaltung, dem dies nicht passt, übersieht, dass die Verarbeitung von personenbezogenen Daten von Bürgerinnen und Bürgern, aber auch von Personalaktendaten der eigenen Kollegen bereits aus Rechtsgründen nicht der Dispositionsfreiheit einzelner Mitarbeiter unterliegt, sondern dass für den Umgang mit ihnen die Behörde die Verantwortung trägt. Wenn eine Mitarbeiterin oder ein Mitarbeiter einer Behörde ohne eine Freigabe durch eine hierzu befugte Person personenbezogene Datenbestände anlegt, begeht sie oder er unter Umständen eine Ordnungswidrigkeit im Sinne des LDSG. Sollte das den Kritikern der neuen Sicherheitsregelungen noch nicht aufgefallen sein?
|
||
7.2 |
Outsourcing der Systemadministration
|
|
Einige Dienstleistungsunternehmen suggerieren ihren Kunden, sie könnten die Kosten für die Ausbildung und die Tätigkeit eigener Systemadministratoren sparen, wenn sie diese Arbeiten outsourcen. Sie verschweigen, dass damit die Fremdadministration unkontrollierbar wird und dass die Behörden mangels eigenen Wissens auf Dauer jedwede Entscheidungskompetenz auf dem Gebiet der Informationstechnik verlieren.
Die Kosten für die Einrichtung und den laufenden Betrieb von computergestützten Arbeitsplätzen sind nach wie vor sehr hoch. Der Löwenanteil entfällt dabei auf die Personalkosten für die Administration der Hardware, der Software und der Datenbestände, für die Schulung und Betreuung der Benutzer sowie für das Trouble-Management bei fehlerhaften Nutzungen oder Ausfällen der technischen Systeme.
Zwei neue Begriffe haben deshalb im letzten Jahr in der IT-Szene für Aufsehen und Euphorie gesorgt. Sie lauten "Terminal-Server-Systeme" und "Application-Service-Providing". Die Begeisterung für die diesen Begriffen zugrunde liegenden Konzepte resultiert aus folgenden Überlegungen: Wenn die Kosten für die Ausbildung und die laufende Bezahlung von Systemadministratoren so hoch sind und wenn ein unverhoffter Weggang dieser besonders qualifizierten Mitarbeiter die betreffenden Behörden in größte Nöte stürzt, warum versucht man nicht, dieses Wissen und die Arbeitskraft bei externen Dienstleistern einzukaufen? Den ersten Schritt in diese Richtung ging man folgerichtig bereits vor einigen Jahren mit der so genannten Fernadministration
(vgl. 20. TB, Tz. 6.7.5; 22. TB, Tz. 6.2 und Tz. 6.3). Die eigenen Administratoren müssen bei dieser Verfahrensweise nur über Grundfähigkeiten verfügen. Reichen ihre Kenntnisse für die Durchführung bestimmter Konfigurationsmaßnahmen bzw. für Fehlerbereinigungen nicht aus, wird der externe Dienstleister auf das System "aufgeschaltet" und führt die Arbeiten unter Aufsicht durch. Anschließend wird die Verbindung wieder gekappt. Diese Methode hat aber den Nachteil, dass die Experten meistens erst dann mit ihrer segensreichen Tätigkeit beginnen, wenn "das Kind bereits in den Brunnen gefallen ist". Ein solches "Trouble-Shooting" ist natürlich aufwändiger, als wenn die Fehler gar nicht erst gemacht worden wären.
Deshalb verfolgt man mit den Terminal-Server-Systemen und dem Application-Service-Providing das Ziel, die Rechnersysteme in den Daten verarbeitenden Stellen nur mit einfach strukturierten Betriebssystemen auszurüsten und alle wesentlichen Teile der Software sowie alle Datenbestände auf zentralen Servern (möglichst noch in den Räumlichkeiten des Dienstleisters) zu platzieren. Dort findet dann die gesamte Administration statt, die Programme und Daten kommen aus dem Netz. Die Rechner der Behörde müssen faktisch nicht mehr administriert werden, denn wenn sie nicht funktionieren, werden sie ausgetauscht. Die Leistungsentgelte für diesen Service sind so kalkuliert, dass sie unter den Personalkosten eigener Systemadministratoren liegen.
Ist damit das Problem der Ausbildung und Bezahlung eigener Systemadministratoren gelöst und trotzdem die Sicherheit und Ordnungsmäßigkeit
der Datenverarbeitung auf Dauer gewährleistet? Keineswegs, da ein totales Outsourcing der Systemadministration dazu führt, dass der sicherheitskritischste Bereich der automatisierten Datenverarbeitung von der Daten verarbeitenden Stelle nicht mehr überwacht werden kann (vgl. Tz. 7.4).
Die modernen informationstechnischen Systeme sind nämlich schon lange mehr als nur schnelle Schreib- und Rechenmaschinen, in die man Daten hineinwirft und die Ergebnisse (Ausdrucke) in die Verwaltungsverfahren übernimmt, wenn sie für richtig befunden worden sind. Heute werden informationstechnische Systeme als Organisations- und Steuerungsinstrumente eingesetzt, deren entscheidende Elemente die Benutzer- und Zugriffsverwaltung, das Softwareversionsmanagement, die Arbeitsprozesssteuerung sowie das Datenmanagement sind. Dabei geht es um die Entscheidung, wer z. B. auf Textdokumente mit ärztlichen Gutachten aus dem Bereich eines Gesundheitsamtes oder auf Personaldaten zugreifen darf, wie mit EMail-Attachments verfahren wird, wer überwacht, dass nur vorübergehend erforderliche Datenbestände auch tatsächlich zeitnah gelöscht werden und nicht ein Eigenleben entfalten, wer den termingerechten Einsatz neuer Softwareversionen steuert, wer überprüft, dass rechtlich erforderliche Zugriffsrestriktionen auch tatsächlich technisch umgesetzt worden sind usw.
Wenn die hierfür erforderlichen Revisionskriterien bzw. Sicherheitsmaßnahmen ausschließlich von den externen Dienstleistern gemanagt werden und die Daten verarbeitenden Stellen keine technischen Möglichkeiten haben, ihnen "in die Karten" (d. h. nichts anderes als in ihr eigenes System) zu schauen, und wenn ihr eigenes Personal zudem nicht einmal über das Fachwissen verfügt, kritische Fragen zu stellen, dann haben sie faktisch die Verfügungsgewalt über ihre automatisierten Verfahren verloren. Hinzu kommt, dass in diesen Fällen auch gegen die Bestimmungen des Landesdatenschutzgesetzes zur Auftragsdatenverarbeitung und zu den Sicherheitsmaßnahmen
für automatisierte Verfahren verstoßen wird. |
||
Der Traum vieler Behördenleiter von dem Computer, der alles macht und der ohne eigenes Zutun alles "mit Sicherheit" auch richtig macht, weil man monatlich einen bestimmten Geldbetrag an ein Dienstleistungsunternehmen überweist, wird ein Traum bleiben. Terminal-Server-Systeme und das Application-Service-Providing werden gleichwohl die Datenverarbeitungsmethoden der Zukunft sein. Sie werden, wenn sie durch qualifiziertes Personal auf der Basis von ausgereiften IT-Konzepten eingesetzt werden, wesentlich effektivere und sicherere automatisierte Verfahren als bisher ermöglichen. Sie sind aber trotz gegenteiliger Versprechungen einiger Dienstleistungsunternehmen kein Wundermittel, das ein Maximum an Produktivität und Sicherheit bei einem Minimum von Investitionen in Personal und Wissen erzeugt.
|
||
7.3 |
Datensicherheit beim Betrieb der privatisierten Telekommunikationsrechner des Landes
|
|
Das Land hat mehr als 250 Telekommunikationsrechner privatisiert und lässt sie von externen Dienstleistern administrieren. Die dadurch entstehenden Sicherheits- und Revisionsprobleme sind immer noch nicht abschließend analysiert. Das Sprachnetz läuft zurzeit noch ohne ein verbindliches Sicherheitskonzept. Die Teilnehmer sind über die Konsequenzen der Nutzung sicherheitskritischer Leistungsmerkmale nicht informiert.
Der Austausch der alten Telekommunikationsrechner der Behörden im Lande gegen neue Rechner der Telekom und die Übernahme der Gesamtadministration aller Rechner durch das Firmenkonsortium Telekom/Siemens im Rahmen des integrierten Sprach- und Datennetzes (vgl. 22. TB, Tz. 6.3) bleibt ein schwieriges Geschäft. Nicht dass die neuen Rechner nicht funktionieren und die externen Administratoren nicht kompetent wären, das Telefonieren in der schleswig-holsteinischen Landesverwaltung funktioniert nach wie vor prächtig, und billiger als früher ist es wohl obendrein.
Trotzdem kann noch immer keine datenschutzrechtliche und sicherheitstechnische Entwarnung gegeben werden. Auf zu viele offene Fragen können das Ministerium für Finanzen und Energie und ihre externen Dienstleister Telekom und Siemens auch 18 Monate nach dem Start des Echtbetriebes noch keine abschließenden Antworten geben bzw. fertige Lösungen präsentieren. Untätig ist man in der Zwischenzeit nicht gewesen, aber andere Probleme hatten offensichtlich eine höhere Priorität. So liegen zurzeit die "baulichen und technischen Sicherheitsanforderungen an die Betriebsräume und die Kabelnetze" sowie die "Verfahrensanweisungen für die TK-Anlagenverantwortlichen" erst als Entwürfe vor. Die darin enthaltenen Regelungen definieren allerdings durchweg einen recht hohen Sicherheitsstandard. Werden diese Konzepte nach der Klärung einiger Detailfragen für verbindlich erklärt und wird ihre Einhaltung konsequent überwacht, dürften die in den Behörden installierten Hardwarekomponenten vor Manipulationen und sonstigen missbräuchlichen Aktivitäten hinreichend geschützt sein.
Die entscheidenden Defizite bestehen nach wie vor darin, dass das Ministerium für Finanzen und Energie die Administration
der Telekommunikationsrechner aus der Hand gegeben hat, bevor in einem nachvollziehbaren Sicherheitskonzept festgelegt war, welche Sicherheitsprozeduren von den externen Dienstleistern Telekom und Siemens erwartet werden und wie man die konkrete Arbeit der Dienstleister zu überwachen gedenkt. Dabei sind zwei Fragenkomplexe von besonderer Bedeutung:
Zurzeit findet eine systematische Kontrolle der Arbeiten der externen Administratoren noch nicht statt. Wie wichtig es ist, dass sich das Ministerium für Finanzen und Energie seiner Betreiberfunktion bewusst ist, zeigte sich bei der Übermittlung der PIN an die einzelnen Teilnehmer. Nicht nur dass wohl nur Insider etwas mit dem Absender "Customer-Service-Center Kommunikationsnetz Schleswig-Holstein" anfangen konnten. Entgegen allen Sicherheitsregeln war die PIN auf einem Merkblatt abgedruckt, das eine "Zusatzinformation zur Bedienung der Endgeräte" enthält, eine Unterlage also, die ständig gebraucht wird. Die Aufforderung, die PIN vertraulich zu behandeln, erscheint unter diesen Bedingungen kurios. Alle sicherheitsbewussten Teilnehmer werden sie mühsam geschwärzt haben, um das Merkblatt für den täglichen Gebrauch nutzbar zu machen. Bei den weniger sicherheitsbewussten Teilnehmern liegt die PIN wahrscheinlich entweder unter dem Apparat oder im Fernsprechverzeichnis.
Im Rahmen der parlamentarischen Beratungen des 22. Tätigkeitsberichtes waren die entsprechenden Sicherheitskonzepte für November 2000 angekündigt worden. Dieser Termin wurde vom Ministerium für Finanzen und Energie um ca. drei Monate verschoben. Die dann vorgelegten Entwürfe konnten noch nicht akzeptiert werden, weil sie in vielen Punkten noch zu überarbeiten sind.
|
||
7.4 |
Startschuss für das Landesnetz vor der Klärung aller Sicherheitsfragen?
|
|
Das Grundkonzept des Landesnetzes sorgt erfreulicherweise für eine klare Trennung zwischen den Verantwortungsbereichen des Innenministeriums als dessen Betreiber und den einzelnen Teilnehmergruppen. Es besteht allerdings die Gefahr, dass mit dem Betrieb des Netzes bereits begonnen wird, bevor die Sicherheitsfragen im Detail geklärt sind. Die Methode "Pilotprojekt" wird möglicherweise aus Termingründen wieder einmal dazu herhalten müssen, die Verlagerung der Testphase in den Echtbetrieb zu rechtfertigen.
Als wir im Jahr 1996 den Vorläufer des Landesnetzes, das so genannte CAMPUS-Netz, einer datenschutzrechtlichen Überprüfung unterzogen (vgl. 19. TB, Tz. 7.9; 20. TB, Tz. 6.7.6), war insbesondere zu beanstanden, dass selbst die dem Netz angeschlossenen Behörden nicht im Einzelnen wussten, welche Dienstleistungen das Innenministerium als Netzbetreiber ihnen gegenüber erbrachte und welche Netzsicherheit gewährleistet wurde. Bis heute sind die schriftlichen Unterlagen hierüber fragmentarisch geblieben, konkrete Vereinbarungen zwischen den beteiligten Behörden gibt es noch immer nicht. Da sich etwa zwei Jahre nach der Prüfung abzeichnete, dass das CAMPUS-Netz durch das leistungsfähigere Landesnetz ersetzt werden würde, haben wir unsere Bemühungen eingestellt, das Innenministerium zu einer "Generalüberholung" des CAMPUS-Netzes zu bewegen, und sind der Bitte gefolgt, die Arbeiten an der Grundkonzeption des Landesnetzes beratend zu begleiten (vgl. 21. TB, Tz. 6.4). Diese Arbeiten sind im letzten Jahr einen großen Schritt vorangekommen und haben ihren Niederschlag in den "Landesnetz-Rahmenbedingungen
(Organisation, Technik und Betrieb)" - Version 17 - und "Landesnetz-Anschlussbedingungen"
- Version 14 -, beide vom 20.12.2000, gefunden. Die recht hohen Versionsnummern der unmittelbar vor der Testphase geltenden Fassungen der Papiere weisen darauf hin, wie aufwändig der Entwicklungsprozess dieses Projektes bis jetzt war. Unser "Investment" an Personal und Zeit war jedenfalls beträchtlich.
Aus datenschutzrechtlicher und sicherheitstechnischer Sicht sind die folgenden bislang getroffenen konzeptionellen Festlegungen
von besonderer Bedeutung:
Diese durchaus positive Zwischenbilanz der bisherigen Entwicklung des Landesnetzes wird allerdings dadurch getrübt, dass zu befürchten ist, dass mit dem Pilotbetrieb des Netzes bereits begonnen wird, bevor die entsprechenden Sicherheitskonzepte erarbeitet und beschlossen worden sind. Pikant erscheint, dass gerade das Innenministerium, unter dessen Federführung die Ordnungsmäßigkeitskriterien für automatisierte Verfahren im letzten Jahr neu gefasst wurden (vgl. Tz. 7.1), sie damit möglicherweise selbst nicht uneingeschränkt beachten wird.
Die noch offenen Sicherheitsfragen beziehen sich im Wesentlichen auf die Abschottungsmechanismen, mit denen die Deutsche Telekom AG gewährleistet, dass die Grenzen der geschlossenen Benutzergruppe nicht unbefugt durchbrochen werden können. Weiterhin ist noch im Detail zu klären, welche "Beeinflussungsmöglichkeiten" sich im Bereich der Service-Area der Datenzentrale Schleswig-Holstein ergeben und wer die Administrationsaktivitäten dieses Dienstleisters aufgrund welcher Protokolle überwachen wird (vergleichbares Problem wie bei den Telekommunikationsrechnern; vgl. Tz. 7.3). Es scheint, dass befriedigende Antworten gefunden werden können, dies erfordert aber noch viel Kärrnerarbeit.
|
||
7.5 |
Prüfung automatisierter Verfahren |
|
7.5.1 |
Polizeiliche Datenverarbeitung ist dringend reformbedürftig
|
|
Die sicherheitstechnische Überprüfung einer Polizeiinspektion zeigte auf, dass die gesamte polizeiliche Datenverarbeitung dringend reformbedürftig ist. Das Sicherheitsniveau ist in der Praxis unterschiedlich hoch, je nachdem welche informationstechnischen Systeme eingesetzt werden. Die durch das LDSG 2000
vorgeschriebenen Vorabkontrollen im Polizeibereich sind derzeit nicht realisierbar.
Im Rahmen der umfassenden rechtlichen und sicherheitstechnischen Überprüfung in der Polizeiinspektion Eutin (vgl. auch Tz. 4.2.4) trafen wir im Bereich der automatisierten Verarbeitung personenbezogener Daten auf drei "Welten": auf eine recht straff organisierte "COMPAS-Welt", eine kaum reglementierte "Arbeitsplatz-PC-Welt" und eine zwar genehmigte, aber faktisch nicht kontrollierte "Welt der privaten IT-Systeme".
Während der Teilkomplex "Vorgangsbearbeitung" im Bereich der vernetzten COMPAS-Systeme weitgehend den Ordnungsmäßigkeitskriterien
der Datenschutzverordnung entsprach, galt dieses bereits für den Teilkomplex "Bürokommunikation" nicht uneingeschränkt. Die diesbezüglichen Nutzungsmöglichkeiten der Software sind so vielfältig, dass auf Dauer ein ordnungsgemäßer Betrieb nur auf der Basis konkreter Anweisungen erreichbar ist. Die Aufgaben- und Verfahrensbeschreibungen waren allerdings nicht so formuliert, dass die Grenze zwischen einer zulässigen und einer unzulässigen Nutzung dieser Standardprogramme erkennbar wurde.
Bezüglich der isolierten Arbeitsplatzrechner mangelte es durchweg an verfahrensbezogenen Sicherheitskonzepten, an Aufgaben- und Verfahrensbeschreibungen sowie an formellen Verfahrensfreigaben. Für Dritte war lediglich die tatsächliche Nutzung der Systeme nachvollziehbar, die gewollte Nutzung war nicht dokumentiert. Wegen der faktisch nicht nachvollziehbaren Nutzung der privat beschafften Systeme durch die sie bereitstellenden Mitarbeiter fehlten bereits die Grundlagen für ihren ordnungsgemäßen Einsatz.
Bezeichnend ist der hohe Detaillierungsgrad der Anweisungen und Dokumentationsunterlagen für den Bereich COMPAS im Verhältnis zu dem minimalen Umfang der entsprechenden Papiere für die PC-Welt. Inhalt und Zweck der personenbezogenen Datenverarbeitung rechtfertigen diese Unterschiede nicht. Auch bezüglich der Überwachung der ordnungsgemäßen Anwendung der DV-Programme bestand zwischen den einzelnen Organisationsformen der automatisierten Verfahren ein nicht unerhebliches Gefälle.
Die festgestellten technischen und organisatorischen Mängel waren vielfältig. Maßnahmen, die bei den vernetzten COMPAS-Systemen als Selbstverständlichkeit galten (z. B. zentral gesteuertes Datenmanagement und deaktivierte Diskettenlaufwerke), waren bei den Arbeitsplatz-PC nur teilweise realisiert und bei den privaten Systemen nicht einmal angedacht. Dass die als "Schreibmaschinenersatz" angeschafften Arbeitsplatz-PC schon lange über diese Funktion hinausgewachsen sind, zeigte sich daran, dass auf einem Rechner sogar ein datenbankgestütztes Spurendokumentationssystem vorgefunden wurde, das nie offiziell zum Einsatz freigegeben war und dessen Inhalte nur von einem einzigen Polizeibeamten sichtbar gemacht werden konnten. Bei der Brisanz der gespeicherten Daten war dies ein klarer Verstoß gegen die polizeirechtlichen Vorschriften im Landesverwaltungsgesetz.
Es kann davon ausgegangen werden, dass vergleichbar problematische
Sachverhalte landesweit anzutreffen sind. Die Behebung der Mängel insgesamt und eine grundsätzliche Verbesserung des Datenschutzes dürfte nur erreichbar sein, wenn sich neben der geprüften Stelle auch die Polizeidirektionen, das Polizeiverwaltungsamt und das Innenministerium zur Änderung der bisherigen Verfahrensweisen aufgefordert fühlen. Über unsere Beanstandungen haben wir daher auch die vorgesetzten Behörden unterrichtet.
Das Innenministerium teilte uns als oberste Polizeibehörde zu den grundsätzlichen Problemstellungen kurz und bündig mit, dass die vorhandene IT-Struktur der Landespolizei in das "Konzept für den Einsatz der Informations- und Kommunikationstechnik in der Landesverwaltung" integriert werde. Die Regularien dieses Landessystemkonzeptes würden ab sofort auch für den Umgang mit Datenverarbeitungsanlagen durch die Polizei gelten. Die Polizeiabteilung des Innenministeriums werde sich vordringlich auf die Formulierung der fachlichen Anforderungen und auf die Gewährleistung der Systemsicherheit im praktischen Betrieb der automatisierten Verfahren konzentrieren. Vorabkontrollen, die Einführung aussagefähiger Test- und Freigabeprozeduren und die Revision sollten künftig Schwerpunkte ihrer Arbeit sein. Weiteren grundsätzlichen konzeptionellen Überlegungen seitens der Polizeiabteilung bedürfe es nicht. Im Übrigen seien im konkreten Fall die Verfahrensdokumentation für die Arbeitsplatzrechner ergänzt und die Privat-PC durch dienstliche Systeme ersetzt worden. Bezüglich der unterschiedlichen Regelungslage in den einzelnen Systemwelten vertrat das Innenministerium die Auffassung, dass es durchaus abweichende technische und organisatorische Regelungen geben könne. "Weil von übergeordneter Stelle abschließende Regelungen aufgrund der unterschiedlichen Gegebenheiten in den einzelnen Dienststellen nicht getroffen werden können, sind die Leiter der jeweiligen Dienststellen angewiesen, diese Regelungen zu ergänzen, wenn Angelegenheiten nur vor Ort geregelt werden können." Diese Argumentation widerspricht natürlich ganz erheblich dem Prinzip der Vorabkontrolle für sensible Datenbestände, wie sie im LDSG 2000
festgeschrieben ist.
Wir haben dem Innenministerium detaillierte Vorschläge
zur Behebung der Mängel und zur Verbesserung der Datensicherheit unterbreitet. In sicherheitstechnischer Hinsicht sind drei Teilbereiche differenziert zu betrachten:
Während an die beiden erstgenannten Komplexe sehr hohe Sicherheitsanforderungen zu stellen sind, dürfte für den dritten Bereich nur ein mittlerer Schutzbedarf erforderlich sein. Wir haben daher empfohlen, die Aufbau- und Ablauforganisation bezüglich der Planung und Realisierung automatisierter Verfahren so umzugestalten, dass die Verantwortungsabgrenzungen und die Regelungsinhalte den unterschiedlichen Sicherheitsanforderungen entsprechen.
Mit hoher Priorität sollte ein grundlegendes IT-Konzept
erstellt werden, das technikunabhängig beschreibt, welche Ziele durch welche Software in welchen Stellen erreicht werden sollen. Ihm sollte durch eine Genehmigung und Prioritätensetzung durch das Innenministerium der Charakter einer verbindlichen Sollregelung gegeben werden. Dabei wird zwangsläufig auch die Frage zu klären sein, ob die Polizeidirektionen auch weiterhin in eigener Verantwortung automatisierte Verfahren für ihren Zuständigkeitsbereich "kreieren" dürfen. Tendenziell sollte von einer solchen Verfahrensweise Abstand genommen werden. Gerade die Überlegungen zu INPOL-neu legen den Ansatz nahe, dass die Gleichartigkeit der Aufgabenstellungen der Polizeidienststellen auch gleichartige hard- und softwaretechnische Lösungsansätze
erfordert. Die Folgen des nicht zu übersehenden bisherigen "PC-Nutzungwildwuchses" zeigen, dass die Gestaltung effizienter automatisierter Verfahren eine professionelle Systemanalyse und eine landesweite Koordination voraussetzt. Auch spezielle Anwendungen einzelner Dienststellen (z. B. Wirtschaftskriminalität) sollten ihren Niederschlag in dem IT-Konzept finden. Im Ergebnis sollten automatisierte Verfahren, die nicht im IT-Konzept verzeichnet sind, als "nicht gewollt" und damit als unzulässig gelten.
Im Ergebnis haben sich bislang mehrere "IT-Welten"
entwickelt, die nur bedingt miteinander synchronisiert worden sind. Die entstandenen Defizite dürften nur behoben werden können, wenn die Planung, Entwicklung und Administration aller automatisierten Verfahren und technischen Systeme aufbau- und ablauforganisatorisch einer einheitlichen Struktur unterworfen werden. Dies schließt dezentrale Entscheidungsbefugnisse
(z. B. welche Softwarekomponenten welchen Mitarbeitern zur Verfügung gestellt werden) nicht aus, zwingt aber zu einheitlichen konzeptionellen und technischen Standards. Wir haben außerdem dringend empfohlen, unabhängig von den Aktivitäten im Zusammenhang mit der Übernahme des Landessystemkonzeptes eine Bestandsaufnahme sämtlicher Geräte, mit denen zulässigerweise personenbezogene Daten verarbeitet werden dürfen, durchzuführen. Weiterhin sollte festgestellt werden, welche Softwarekomponenten auf welchen Systemen eingesetzt werden dürfen. |
||
Vor dem Hintergrund der Regelungen des § 197 Landesverwaltungsgesetz
und der weitgehenden Gestaltungsmöglichkeiten bei der Nutzung von Standardsoftwareprodukten kommt einer regelmäßigen Kontrolle der tatsächlich gespeicherten Datenbestände eine erhebliche Bedeutung zu. Auch im Hinblick auf die Anforderungen des Landesdatenschutzgesetzes handelt es sich hierbei um eine "Pflichtaufgabe" der weisungsbefugten Mitarbeiter. Ihre diesbezüglichen Aktivitäten sollten künftig protokolliert werden. Als nicht akzeptabel sollten Datenbestände angesehen werden, auf die Vorgesetzte keine Zugriffsmöglichkeiten haben. Die Zugriffs- und Löschungsberechtigungen sollten die sich aus der Geschäftsverteilung ergebenden Befugnisse widerspiegeln. Der Aufwand hierfür wird sich auf ein Minimum reduzieren, wenn ausschließlich vernetzte Systeme eingesetzt werden.
|
||
7.5.2 |
Das Behördenmanagement als Risikofaktor?
|
|
Bei Routineprüfungen "in der Fläche" werden relativ selten Sicherheitslücken entdeckt, die auf menschliches Versagen einzelner Mitarbeiter zurückzuführen sind. In den meisten Fällen werden strukturelle Sicherheitsmängel erkennbar, die von den Behördenleitungen zu verantworten sind. Nicht selten mangelt es auf dieser Ebene an Wissen und Engagement. Aspekte der Kostenvermeidung werden zumeist über alles andere gestellt.
Neben den umfassenden Schwerpunktprüfungen, wie z. B. im Polizeibereich oder zuvor bei der AOK Schleswig-Holstein, führen wir so viele Nachschauen "in der Fläche" durch, wie personell irgendwie realisierbar sind. Je mehr Daten verarbeitende Stellen wir besuchen und deren Datenverarbeitungsorganisation und Sicherheitsmaßnahmen begutachten, desto genauer ist unser Überblick über die aktuelle sicherheitstechnische Situation im Lande.
Wenn man am Ende des Jahres 2000 ein Fazit aus diesen Aktivitäten zieht, drängen sich zwei grundlegende Feststellungen
auf:
Unisono klagen z. B. die Anbieter hochwertiger (und damit etwas teurerer) Hard- und Softwarekonzepte, dass sie gegen die billigeren Anbieter von "Schmalspurlösungen" ausgespielt werden. Zitat: "Es reicht den Behörden, dass die Software Firewall heißt, ob sie wie eine Firewall funktioniert, ist denen doch völlig egal." Dieser Eindruck deckt sich mit unseren Prüfungserfahrungen. Die Fälle des menschlichen Versagens als Ursache für das Entstehen von Schwachstellen sind nicht besonders häufig, meist liegen die Ursachen im Desinteresse oder in Fehlentscheidungen der Behördenleitungen. Wie anders sind die folgenden, immer wieder auftauchenden Fragestellungen aus der Prüfungspraxis zu erklären:
|
||
In diesem Zusammenhang treffen wir auf ein offenbar weit verbreitetes Missverständnis: Die Behebung der festgestellten Mängel wird als eine Obliegenheit zur "Befriedung" der Datenschutzkontrollinstanz und nicht zur Reduzierung von Risiken im eigenen Interesse
angesehen. Allzu oft müssen wir der Behauptung widersprechen, "die Datenschützer" hätten ein Problem. Es gilt dann deutlich zu machen, dass das Problem aufseiten der Behörden(leitungen) liegt. Das ULD weist bei seinen Prüfungen nur auf technische und organisatorische Sicherheitslücken hin, die dadurch nicht zu unserem Problem werden.
|