25. Tätigkeitsbericht (2003)

4.9

Kultur und Bildung

4.9.1

Via Internet in die Hochschulrechner

Hochschulen sind keine streng hierarchisch organisierten Betriebe. Die Freiheit von Lehre und Forschung steht im Vordergrund. Dies darf aber nicht dazu führen, dass Datensicherheitsstandards missachtet werden, sonst könnten einzelne Schwachstellen zum Einfallstor für die gesamte Hochschule werden.

Unsere Prüftätigkeit beschränkt sich in Zeiten des Internets nicht mehr darauf, den Verschluss von personenbezogenen Daten in Schränken und hinter Türen zu kontrollieren. Bei der Prüfung von Rechnern, die an öffentliche Netze angeschlossen sind, müssen wir nicht einmal vor Ort tätig sein und können über Angriffstests von der Dienststelle aus wichtige Erkenntnisse sammeln. Bei einer solchen Online-Kontrolle von Kieler Universitätsrechnern stießen wir auf ”offene Scheunentore”. Zugangsversuche zu zwei Internet-Adressbereichen ergaben, dass 62 Rechnersysteme angeschlossen waren. Auf sechs dieser Rechner konnte ohne eine Passworteingabe auf die Netzlaufwerke zugegriffen werden. Völlig ungeschützt und weltweit für jeden Internet-Nutzer waren so Unterlagen aus der Rechnungsprüfung (z. B. Abrechnungen mit Professoren), aus der Personalführung (z. B. Abmahnungen, Stellenpläne mit Geburts- und Verfügungsdaten), Prüfungsergebnisse, persönliche Beurteilungen, private und dienstliche E-Mails zugänglich.

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

Nachdem in der Universität zunächst Empörung über unsere Prüfmethode herrschte, wurden die notwendigen Schritte dann doch eingeleitet: Passwortprozeduren wurden eingerichtet. Die Freischaltungen wurden auf das Notwendige reduziert. Die nicht benötigten Ports bei den Rechnern wurden geschlossen. In einer Dienstanweisung wurden die Anforderungen an die Gestaltung von Passwörtern verschärft. Mit dem Rechenzentrum der Universität wurde vereinbart, die Zugriffe von außen auf die Rechner der betroffenen Fakultät zu unterbinden.

Wir wiesen die Universität ergänzend darauf hin, dass unabhängig vom Schließen der Sicherheitslöcher in diesem Einzelfall angesichts ca. 5000 eingesetzter Rechner und ca. 80 logisch getrennter Teilnetze eine nachhaltige Sicherheitsstrategie zwingend erforderlich ist. Tatsächlich wurde eine Arbeitsgruppe eingerichtet, deren Aufgabe es ist, Anweisungen zum Datenschutz auf allen Ebenen, von der Leitung bis zur Anwendung, auszuarbeiten. Die nach knapp einem Jahr vorgelegten Vorschläge der CAU sind noch in starkem Maße verbesserungsbedürftig.

Was ist zu tun?
Auch in großen wissenschaftlichen Einrichtungen ist trotz aller Wünsche nach individuellen Freiheiten durch technische, aber vor allem organisatorische Maßnahmen sicherzustellen, dass die Leitung die Übersicht und die Kontrolle über die Datenverarbeitung und deren Ordnungsmäßigkeit behält. Dies gilt insbesondere bei einer Anbindung an öffentliche Netze wie z. B. das Internet.

4.9.2

Kindergartenbeiträge

Die Regelungen des Kindertagesstättengesetzes zur Gebührenermäßigung im Rahmen der Sozialstaffelung von Beiträgen führt bei den Kreisen und Gemeinden wie bei den Betroffenen offensichtlich zu Unsicherheiten.

Mehrere Eingaben zeigen, dass Kreise und kreisangehörige Gemeinden offensichtlich Schwierigkeiten bei der Umsetzung der neuen Vorschriften im Kindertagesstättengesetz zur einheitlichen Gestaltung von Sozialstaffelungen bei den Beiträgen und der damit verbundenen Datenverarbeitung haben. In einigen Kreisen war die Konfusion über Aufgaben und Zuständigkeiten beträchtlich.

So beantragten Eltern in einem Fall eine Gebührenermäßigung für den Kindertagesstättenbeitrag bei der kreisangehörigen Stadt. Als diese abschlägig entschied, legten die Eltern Widerspruch gegen den - wie sie meinten - Verwaltungsakt der Stadt ein. Daraufhin wurden die kompletten Antragsunterlagen, aus denen sich die Einkommens- und Vermögensverhältnisse und die Familienverhältnisse der Betroffenen ergaben, zunächst an die Kindertagesstätte selbst, von dort an den Kindertagesstättenträger und nach Protesten der Petenten letztendlich an die Kreisverwaltung als örtlichen Träger der öffentlichen Jugendhilfe übermittelt. Die kreisangehörige Stadt meinte gar keinen Bescheid erlassen zu haben, sondern lediglich im Auftrag des privaten Kindertagesstättenträgers zu handeln. Deshalb hatte sie den kompletten Vorgang einfach an die Kindertagesstätte weitergeleitet. Dabei berücksichtigte sie nicht, dass der Kreis den kreisangehörigen Städten mit öffentlich-rechtlichem Vertrag die Aufgabe über die Gebührenermäßigungen zugewiesen hatte, es sich also hier um eine öffentlich-rechtliche Aufgabe handelte. Die Daten hatten also weder beim Kindergarten selbst noch bei dessen Träger etwas zu suchen.

Was ist zu tun?
Den Jugendhilfeträgern im Lande muss klar sein, dass sie unabhängig von der Trägerschaft der Kindertagesstätte das Ermäßigungsverfahren in ihrem Zuständigkeitsbereich zu erledigen haben und damit auch ihre kreisangehörigen Gemeinden beauftragen können. Ein Vagabundieren von Sozialdaten muss vermieden werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel