26. Tätigkeitsbericht (2004)
6 |
Systemdatenschutz |
|
|
||
6.1 |
Sicherheitsmaßnahmen und Restrisiken beim Betriebssystem Windows 2000
|
|
Die neuen Betriebssysteme der Firma Microsoft werden nicht in einer sicheren Konfiguration ausgeliefert. Das nötige Maß an Sicherheit muss durch die IT-Betreuer mühsam eingestellt werden. Das hierfür erforderliche Wissen vermittelt unser backUP-Magazin, das sich bereits kurz nach seinem Erscheinen als Renner erweist.
Über die weit reichenden Konsequenzen einer Umstellung der IT-Systeme von einem Betriebssystem auf ein anderes und insbesondere über die Probleme bei der Einführung des Betriebssystems Windows 2000 der Firma Microsoft haben wir bereits im letzten Jahr berichtet (vgl. 25. TB, Tz. 7.2). Gleichzeitig haben wir angekündigt, im Rahmen unserer backUP-Magazine
Handreichungen für die Praxis zu geben. Dies ist zwischenzeitlich geschehen.
Im Juni 2003 konnte nach etwa einjähriger Vorbereitung das Handbuch MS-Windows 2000 - Sicherheitsmaßnahmen und Restrisiken an die Systemadministratoren im Lande ausgeliefert werden. Es ist nach dem gleichen Konzept aufgebaut wie sein Vorgänger für das Betriebssystem MS-Windows NT 4.0 (vgl. 23. TB, Tz. 10.1) und hat eine ebenso positive Resonanz gefunden. Dies zeigen die Reaktionen, die wir aus ganz Deutschland empfangen haben. Das Handbuch steht in elektronischer Fassung auf unserer Homepage zum Download zur Verfügung unter
www.datenschutzzentrum.de/material/themen/edv/backup/backup05.htm
Das neue backUP-Magazin erhebt keinen Anspruch auf eine umfassende Vermittlung der Windows 2000-Theorie, vielmehr soll es als ein praktischer Ratgeber die IT-Betreuer dabei unterstützen, die datenschutzrelevanten Sicherheitsmaßnahmen auf der Arbeitsplatz- und der Serverebene richtig zu implementieren. Schwachstellen im neuen Betriebssystem werden erläutert und Lösungen für ihre Beseitigung aufgezeigt. Es werden nicht nur systemtechnische Aspekte behandelt, sondern auch Grundsatzfragen in Bezug auf die Sicherheitsproblematik moderner IT-Systeme. Hiermit muss sich heute insbesondere die Leitungsebene einer Daten verarbeitenden Stelle befassen.
Da kaum eine Behörde das Betriebssystem auf der grünen Wiese installieren kann, behandelt ein ganzes Kapitel das Problem der Migration von Windows NT 4.0 auf Windows 2000. Hier liegt der Schwerpunkt bei der Frage nach dem Erhalt und der Optimierung von Sicherheitseinstellungen. Außerdem kann das Magazin dazu benutzt werden, bereits unter MS-Windows 2000 realisierte Sicherheitseinstellungen auf ihre Wirksamkeit zu überprüfen.
Wie aufwändig es in der Praxis ist, auch nur die notwendigsten Konfigurationsmaßnahmen vorzunehmen, machen zwei Zahlen deutlich:
Kleine Verwaltungen können ein derartig umfangreiches Know-how natürlich nicht vorhalten. Sie nehmen für die Konfiguration ihrer Systeme häufig externe Dienstleister in Anspruch. Dabei setzt sich mehr und mehr die Praxis durch, in den Aufträgen zu fordern, dass die Sicherheitsmaßnahmen entsprechend den Regeln und Vorschlägen des backUP-Magazins zu gestalten sind. Es gibt Anzeichen dafür, dass sich auf diese Weise ein De-facto-Sicherheitsstandard für das am häufigsten eingesetzte Betriebssystem herausbildet. So stellen wir uns praktizierten Systemdatenschutz vor.
|
||
6.2 |
Sicherheit am Arbeitsplatz - was Benutzer von den Administratoren verlangen sollten
|
|
Datenschutz und Datensicherheit am PC-Arbeitsplatz ist nicht nur Sache der Administratoren. Gerade die für die Verarbeitungsprozesse verantwortlichen Mitarbeiter der Fachbereiche müssen die adäquaten technischen und organisatorischen Maßnahmen fordern, die den Missbrauch von Daten verhindern und deren Vertraulichkeit wahren.
Normalerweise wird das Sicherheitskonzept
für die PC-Arbeitsplätze einer Daten verarbeitenden Stelle von den IT-Betreuern entwickelt und den Benutzern vor Ort gebrauchsfertig präsentiert. Das ist kein grundsätzlich falscher Ansatz. Probleme ergeben sich aber, wenn das Konzept aus Kostengründen, aus Unachtsamkeit oder weil dem zentralen IT-Betreuer die Sicherheitsbedürfnisse der einzelnen Fachabteilungen gar nicht bekannt sind, Lücken aufweist. Dann wiegt sich der IT-Betreuer in der Sicherheit, alles Mögliche getan zu haben, und die Benutzer glauben, die Technik könne nicht anders. In der täglichen Praxis müssen die Benutzer daher oft mit Sicherheitsrisiken leben, die sie eigentlich gar nicht eingehen wollen. Um Kritik an den Entscheidungen der IT-Stelle zu äußern, fehlt ihnen das Wissen bzw. der Präzedenzfall.
Diesen Gegebenheiten trägt das zweite backUP-Magazin, das im Jahr 2003 neu herausgebracht wurde, Rechnung. Es hat den Titel PC-Arbeitsplatz - So viel Datenschutz muss an jedem Arbeitsplatz sein!.
www.datenschutzzentrum.de/material/themen/edv/backup/backup04.htm
Es ist nicht primär für IT-Betreuer, sondern für deren Kunden konzipiert und dreht damit den Spieß um. Den Mitarbeiterinnen und Mitarbeitern in den Fachabteilungen wird erläutert, auf welches Maß an Systemdatenschutz
sie - auch im eigenen Interesse - einen Anspruch haben. Dabei wird davon ausgegangen, dass ein datenschutzgerechter und sicherheitstechnisch ausgereifter Arbeitsplatz das Risiko reduziert, dass durch Unwissenheit oder Fahrlässigkeit die Benutzer Schäden verursachen, die ihnen angelastet werden. Mitarbeiter, die dieses Risiko vermeiden wollen, sollen in die Lage versetzt werden, konkrete Forderungen zu formulieren und diese in ihrem eigenen Interesse gegenüber der IT-Abteilung durchzusetzen.
Dazu werden z. B. Antworten auf folgende Fragen gegeben:
Außerdem enthält das Magazin eine Checkliste, mit deren Hilfe der Benutzer selbst feststellen kann, welche datenschutzrelevanten Defizite an seinem Arbeitsplatz bestehen. Praktische Hilfestellungen für die Optimierung der Aufbau- und Ablauforganisation werden durch drei Musterdienstanweisungen gegeben.
Wünschenswert ist, dass sich nach dem Studium des backUP-Magazins möglichst viele Mitarbeiterinnen und Mitarbeiter zu einem konstruktiv-kritischen Dialog mit ihren IT-Betreuern herausgefordert fühlen und auf diese Weise zu einer Verbesserung des Datenschutzes und der Datensicherheit speziell an ihrem Arbeitsplatz beitragen. Natürlich ist kein IT-Betreuer daran gehindert, der Kritik aus den Fachbereichen dadurch vorzubeugen, dass nach einem Abgleich mit den Forderungen und Vorschlägen des ULD bereits präventiv das Sicherheitskonzept fortgeschrieben wird. Dabei sollte das backUP-Magazin von der IT-Abteilung und den Fachbereichen gemeinsam durchgearbeitet werden.
|
||
6.3 |
Informationsdienst SUSA
|
|
Die Kontakte zwischen den Systemadministratoren im Lande und dem ULD müssen intensiviert werden, um den Herausforderungen der immer komplexer werdenden IT-Systeme gerecht zu werden. Zu diesem Zweck wurde die Initiative SUSA gestartet, ein Angebot, von dem bereits viele Systemverantwortliche Gebrauch machen.
In den Verwaltungen des Landes, der Kommunen und der sonstigen öffentlichen Stellen gibt es ca. 400 bis 500 Mitarbeiter, die die Funktion des Systemadministrators
ausüben. Nur wenige von ihnen sind uns namentlich bekannt, etwa weil durch Prüfungen, Beratungen, Audits oder Schulungsmaßnahmen Kontakte aufgebaut werden konnten. In der Regel handelt es sich um diejenigen, die diese Tätigkeit auf Dauer und im Hauptamt wahrnehmen. Die meisten Mitarbeiterinnen und Mitarbeiter, insbesondere in den IT-Stellen von kleineren Behörden, sind jedoch nur zu 30 bis 50 % ihrer Arbeitszeit als Administrator tätig. Ihre Hauptaufgaben liegen in anderen Fachgebieten. Gleichwohl müssen auch sie dafür sorgen, dass die von ihnen betreuten IT-Systeme so funktionieren, dass die Ergebnisse richtig sind und die verarbeiteten personenbezogenen Daten nicht in unbefugte Hände gelangen. Diese klassischen Sicherheitsanforderungen zu gewährleisten erfordert eine ständige Auseinandersetzung mit den aktuellen Meldungen über Betriebssystem- und Softwarefehler, über Patches, Updates, Service Packs, Resource Kits und Security Tools sowie über die in der Fachliteratur und in Schulungsveranstaltungen veröffentlichten bzw. angebotenen Konfigurationskonzepte.
Aus diesem Grunde haben wir im Juni 2003 unter dem Kürzel SUSA eine Initiative gestartet, die unserem im Landesdatenschutzgesetz festgeschriebenen Beratungsauftrag speziell auch für IT-Betreuer gerecht werden soll. SUSA steht für Systemdatenschutz
- ULD-Support für Administratoren.
Die zentrale Komponente dieser Initiative ist ein auf unserer Homepage angebotener Informationsdienst, in dem
publiziert werden. Er ist deshalb unterteilt in die Rubriken:
und unterscheidet sich in einem wesentlichen Punkt von anderen Informationsangeboten im Web: Die Inhalte werden nicht nur transportiert, sondern auch unter datenschutzrechtlichen und sicherheitstechnischen Gesichtspunkten kommentiert. Sowohl die Auswahl als auch ihre Aufbereitung geschieht unter dem Gesichtspunkt: Welche Information braucht ein Administrator, und welche Kommentare und Hinweise des ULD sind für ihn bezogen auf die betreffende Information nützlich? Zu diesem Zweck wurde ein Redaktionsteam gebildet, das die Aufgabe hat, alle Informationen, die für unsere eigenen Aufgaben von Belang sind, daraufhin zu untersuchen, ob sie auch für die IT-Betreuer im Lande interessant sein könnten. Der SUSA-Informationsdienst
selbst ist dreistufig aufgebaut:
www.datenschutzzentrum.de/systemdatenschutz/
Der Informationsdienst wird gut angenommen. Da der WWW-Server des ULD bewusst keine spezifizierten Protokolle über die Nutzer erzeugt, sind genaue Zugriffszahlen nicht zu ermitteln (die automatischen Zugriffe der Suchmaschinen sind nicht identifizierbar). Schätzungsweise greifen aber bereits jetzt monatlich ca. 700 Nutzer auf das Angebot zu.
Zusätzlich haben wir eine Mailinglist für Systemadministratoren eingerichtet, die für alle Interessenten offen ist. Die An- und Abmeldung zur Mailinglist kann jeder leicht selbst durchführen unter
www.datenschutzzentrum.de/ldsh/listen.htm
Das SUSA-Angebot wird künftig um weitere backUP-Magazine speziell für Administratoren und durch die überwachte Durchführung von professionellen Angriffen auf die Sicherheitspolicy der Behörden durch ein Security-Analyseteam erweitert. Diese bestellte (und bezahlte) Prüfung soll die Frage beantworten helfen: Könnte vielleicht nicht doch ein Angreifer an der Sicherheitspolicy vorbei auf vertrauliche Daten zugreifen?
|
||
6.4 |
Warum man den Bock nicht zum Gärtner machen darf
|
|
Mit so genannten Online-Updates wollen Betriebssystemlieferanten und Anbieter sonstiger Software den Behörden angeblich das Leben einfacher machen. Tatsächlich verschleiern sie damit die Anzahl der zu reparierenden Softwarefehler und gewinnen selbst die Herrschaft über die IT-Systeme. Diese Marketingstrategie verstößt gegen datenschutzrechtliche Vorschriften.
Es ist unter IT-Fachleuten eine Binsenweisheit, dass derjenige, der einen Zugriff mit Änderungsrechten auf die Betriebssystemebene eines Computers hat, ihn in beliebiger Weise manipulieren kann. Deshalb sind professionelle und verantwortungsbewusste Systembetreuer sehr darauf bedacht, dass außer ihnen selbst niemandem derartige Möglichkeiten zur Verfügung stehen. Praktisch alle Hackeraktivitäten haben nämlich zum Ziel, Konfigurationsschwächen oder Betriebssystemfehler auszunutzen, um sich unbefugt Administrationsrechte anzueignen. Auf diese Weise ist es möglich, Viren oder Würmer in ein fremdes IT-System zu implantieren. Eine durchbruchfeste Barriere zwischen der Benutzer- und der Administrationsebene eines Rechnersystems ist also die Grundvoraussetzung dafür, dass ein Administrator überhaupt die Verantwortung für das ordnungsgemäße Funktionieren der automatisierten Verfahren übernehmen kann.
Nun ist es Fakt, dass die gängigen Betriebssysteme und die systemnahe Software so fehlerbehaftet sind, dass die Administratoren fortwährend neue Korrektursoftware einspielen müssen. Dies ist für die Hersteller der Betriebssysteme (wie z. B. für die Firma Microsoft) peinlich. Noch peinlicher ist es, wenn sich Viren und Würmer explosionsartig weltweit verbreiten und schädigende Wirkungen großen Ausmaßes haben, weil viele IT-Betreuer besagte Patches nicht in ihr System übernommen haben.
Deshalb war z. B. die Firma Microsoft bestrebt, selbst Online-Updates für ihre Betriebssysteme durchzuführen und dabei das bestehende Betriebssystem zu analysieren, um spezifizierte Korrekturen und Ergänzungen vorzunehmen. Es handelte sich um ein weltweit praktiziertes Verfahren, das als ein Service gegenüber den Kunden angesehen wurde. Rechtliche und sicherheitstechnische Probleme hat die Firma Microsoft nicht gesehen. Sie ging davon aus, dass die Kunden über Verträge bzw. die Anerkennung der allgemeinen Geschäftsbedingungen ihr Einverständnis zu diesen Maßnahmen geben würden.
In der Fachliteratur werden derartige Vereinbarungen als Lizenz zum Spähen bezeichnet. Microsofts Möglichkeiten, den Usern auf die Festplatten zu schauen und nicht nur systembezogene Daten einzuholen, seien enorm. Microsoft prüfe nicht nur, welche der verfügbaren Updates bereits installiert sind und welche fehlen, es würden auch die Versionsnummern von Softwarepaketen, die Plug & Play-IDs der installierten Hardware und andere Kennzahlen ausgelesen und in einem Globally Unique Identifier zusammengefasst. Tests mit einem Network Analyser hätten gezeigt, dass beim ersten Scan eines neu installierten Systems fast zehn MByte Daten an mehrere Microsoft-Server gehen, bevor auch nur eine einzige Datei heruntergeladen wird, und weitere zehn MByte wandern von Microsoft zum Anwender. Dies sei der klassische Fall, dass der Bock zum Gärtner gemacht wird.
Im Hinblick auf die in Schleswig-Holstein geltenden Regelungen im Landesdatenschutzgesetz und in der Datenschutzverordnung ist ein derartiges Online-Update für IT-Systeme, mit denen personenbezogene Daten verarbeitet werden, schlicht unzulässig. Das LDSG schreibt nämlich aus den oben genannten Gründen bindend vor, dass Zugriffe, mit denen Änderungen an automatisierten Verfahren (also auch an den den Verfahren zugrunde liegenden Betriebssystemen) bewirkt werden können, nur den dazu ausdrücklich berechtigten Personen möglich sein dürfen.
Bei der Erbringung von Wartungsarbeiten oder von vergleichbaren Unterstützungstätigkeiten durch Stellen oder Personen außerhalb der Daten verarbeitenden Stelle hat diese dafür Sorge zu tragen, dass personenbezogene Daten nur im Rahmen ihrer Weisungen verarbeitet werden. Sie hat die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um dies sicherzustellen. Die Aufträge und die ergänzenden Weisungen zu den technischen und organisatorischen Maßnahmen sind schriftlich festzulegen. Vor wesentlichen Änderungen an automatisierten Verfahren, mit denen besonders sensible Daten verarbeitet werden, hat eine Vorabkontrolle durch den Datenschutzbeauftragten zu erfolgen. Schließlich sind alle automatisierten Verfahren vor ihrem erstmaligen Einsatz und nach Änderungen zu dokumentieren und durch die Leitung der Daten verarbeitenden Stelle förmlich freizugeben.
Dies war mit dem von der Firma Microsoft konzipierten Verfahren nicht zu realisieren. Unter datenschutzrechtlichen Aspekten steht nämlich nicht die Frage der Aufwandsminimierung im Vordergrund, sondern die objektive Möglichkeit der Firma Microsoft, unkontrollierbare, nicht revisionsfähige und nicht ausdrücklich genehmigte Veränderungen auf der Betriebssystemebene und an den Datenbeständen eines IT-Systems vornehmen zu können. Dies haben wir nicht nur den Daten verarbeitenden Stellen im Lande über die System-Meldungen der Initiative SUSA (vgl. Tz. 6.3), sondern auch der Firma Microsoft mitgeteilt. Nun war nicht zu erwarten, dass das Unternehmen seine Praxis aufgrund der Bedenken eines einzelnen deutschen Datenschutzbeauftragten ändert. Als sich allerdings die Konferenz der Datenschutzbeauftragten
des Bundes und der Länder im August 2003 in einer kritischen Entschließung zu automatischen Software-Updates unseren Bedenken anschloss, zeigte sie Wirkung.
www.datenschutz-berlin.de/doc/de/konf/65-66/update.htm
Ohne auf die Argumente der Datenschutzbeauftragten näher einzugehen, wird nunmehr ein Konzept propagiert, bei dem ein so genannter Software-Update-Server einen regelmäßigen Kontakt mit der Firma Microsoft hält und die Korrektursoftware herunterlädt. Die Kunden entscheiden, wann und welche Software sie auf ihre Produktivsysteme übertragen.
Die Daten verarbeitenden Stellen haben also weiterhin die Möglichkeit,
|
||
6.5 |
Umbau in der IT-Organisation der Landes
|
|
Die Kosten für den Einsatz der Informationstechnik in der Verwaltung sind immer schwieriger zu erwirtschaften. Deshalb kommen die IT-Strukturen überall auf den Prüfstand. Die Landesregierung hat eine Reorganisation vorgenommen, die sicherlich datenschutzrechtlich, wahrscheinlich aber auch wirtschaftlich sinnvoll ist.
Seit dem Beginn der Automatisierung von Verwaltungsabläufen im Lande hat es ein Koordinierungsgremium gegeben, in dem die einzelnen Ministerien ihre IT-Vorhaben miteinander abstimmten und die Schnittstellen für die ressortübergreifenden Maßnahmen definierten. Zunächst wurde es als Automationskommission und nach einer Reorganisation als IT-Kommission bezeichnet. In ihr waren neben den IT-Referenten der Ministerien und dem Landesrechnungshof auch die Datenzentrale (jetzt dataport) und das ULD sowie der Personalrat mit beratender Stimme vertreten. Obwohl sich die Kommission unter der Federführung des Innenministeriums eine Geschäftsordnung gab, eine Vielzahl von Richtlinien verabschiedete und die Normierung und Standardisierung der Informationstechnik im Lande maßgeblich vorantrieb, wurde die Ressortverantwortung für die konkreten IT-Maßnahmen nicht angetastet. Die Frage, welche Verbindlichkeit die gefassten Beschlüsse für die einzelnen Verwaltungsbereiche hatten, blieb über Jahre hinweg ohne eine abschließende Antwort. Einstimmig getroffene Entscheidungen waren selbstverständlich verbindlich, bei Mehrheitsentscheidungen relativierte sich diese Verbindlichkeit sehr stark.
Dieser Schwebezustand war aus datenschutzrechtlicher Sicht nur so lange hinnehmbar, wie in der Kommission nur über Konzepte diskutiert und entschieden wurde, die eigentliche Verarbeitung personenbezogener Daten aber unter der Regie des einzelnen Fachressorts ablief. Dieser Zustand änderte sich vor einigen Jahren in drei Bereichen:
Während das Finanzministerium bei der Mittelbewirtschaftung und der Sprachkommunikation zweifelsfrei in eigener Zuständigkeit/Verantwortung handelte (die Verfahren wurden im Erlasswege eingeführt und betrieben), trat das Innenministerium gegenüber den anderen Ressorts als Dienstleister auf. Von der IT-Kommission waren so genannte Rahmen- und Anschlussbedingungen erarbeitet worden, die praktisch eine vertragliche Grundlage für die Übernahme von Aufgaben des jeweiligen Fachressorts durch das Innenministerium darstellten. Das Innenministerium bediente sich seinerseits der Datenzentrale als externem Dienstleister. Im datenschutzrechtlichen Sinn war das Innenministerium also Auftragnehmer der anderen Ministerien und somit an deren Weisungen gebunden.
Diese rechtliche Umkehr der tatsächlichen Machtverhältnisse erlangte deshalb eine so große Bedeutung, weil sowohl im Rahmen des Landesnetzes und der damit verbundenen Services als auch im Rahmen des Projektes IKOTECH III Datenbestände mit personenbezogenen Daten aufgebaut wurden (z. B. beim E-Mail-Management) und außerdem wichtige Sicherheitsfunktionalitäten aus den einzelnen Ressorts in das Innenministerium bzw. zu dataport verlagert worden sind (z. B. der zentrale Verzeichnisdienst und die Firewall). Die Frage, welche Daten verarbeitende Stelle für welche Entscheidungen, Vertragsgestaltungen mit Dritten, Implementierungen, Sicherheitsmaßnahmen, Dokumentationen und Kontrollen der Auftragnehmer die Verantwortung übernehmen konnte, war in den letzten Jahren ein ständiger von uns initiierter Diskussionspunkt in den Beratungen der IT-Kommission.
Diesem Dilemma hat die Ministerpräsidentin mit ihrem Organisationserlass über die Geschäftsverteilung der Landesregierung im Jahr 2003 ein Ende bereitet. Der Erlass weist die Zuständigkeit für das Ressortübergreifende strategische und operative IT-Management sowie für die Zentralen Komponenten und Services der IT-Infrastruktur der Landesverwaltung dem Finanzministerium zu. Das bedeutet nicht mehr und nicht weniger, als dass der Finanzminister
nunmehr für das Landesnetz, das Sprachnetz, die Mailprovider-Funktion, den Verzeichnisdienst, den Internet-Übergang (Firewall), den landesweiten Dienst zur Verschlüsselung und zur elektronischen Unterschrift (PKI) und für alle anderen IT-Maßnahmen, die Ressortgrenzen überschreiten, zuständig und damit verantwortlich ist. Die IT-Kommission wird zwar weiterhin das Beratungsgremium für Konzepte bleiben, die problematischen Rahmen- und Anschlussbedingungen haben aber ihre Bedeutung verloren und werden nach Aussagen des Finanzministeriums demnächst durch Erlasse ersetzt werden.
Aus datenschutzrechtlicher Sicht hat diese Veränderung eine außerordentliche Bedeutung für die Evolution der automatisierten personenbezogenen Datenverarbeitung in der Landesverwaltung. Die Grenzen der rechtlichen und sicherheitstechnischen Verantwortungsbereiche sind damit eindeutig festgelegt. Für viele Verarbeitungsprozesse, die bisher in einer Grauzone lagen, ist nunmehr der Finanzminister die Daten verarbeitende Stelle. Werden externe Dienstleister wie z. B. die dataport eingeschaltet, gibt es keine Gemengelage bezüglich der Auftraggebereigenschaft mehr. Die Leistungsbeschreibungen und Sicherheitskonzepte für diejenigen Standards, Hard- und Softwarekomponenten und Verfahrensabläufe, die zwar von den Ressorts genutzt, aber vom Finanzminister verantwortet werden, haben nicht mehr den Charakter eines gemeinsamen (freiwillig zu beachtenden) Codex, sondern sind für alle verbindliche Definitionen. Erstmals können auch in diesem Bereich die Ordnungsmäßigkeitsvorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung (Test, Freigabe, Dokumentation) trennscharf eingehalten werden.
Noch sind allerdings viele Dinge auseinander zu sortieren. Wie die einzelnen Verwaltungsbereiche mit welchen anderen kommunizieren, verantworten sie selbst. Insoweit können die Aufsichtsfunktionen des Finanzministeriums beim Landesnetz verschlankt werden. Das Prinzip der Sicherheitschecks durch zufällig zusammengestellte Teams wird man grundsätzlich überdenken müssen. Es stellt sich auch die Frage, ob das derzeitige Domänenmodell unter den neuen Gegebenheiten Bestand haben kann. Schließlich sind die Infrastrukturprobleme für einen landeseinheitlichen Verschlüsselungs- und Signaturdienst erst ansatzweise gelöst. Ein besonderes Augenmerk wird man auch auf die Frage richten müssen, welche E-Government-Angebote als ressortübergreifend und welche als ressortintern angesehen werden müssen. All dies sind keine akademischen Sandkastenspiele, sondern führen unmittelbar zu konkreten datenschutzrechtlichen Konsequenzen (Vergabe von Zugriffs- und Änderungsrechten, Erfüllung von Löschungspflichten usw.) und zu sicherheitstechnischen Maßnahmen (eindeutige Authentifizierung, Abschottung von Datenbeständen, Virenabwehr, Schutz der Administrationsebene usw.).
|
||
6.6 |
Land und Kommunen bauen ein großes Computernetz
|
|
Wenn die zwischen dem Land und den Kommunen geschlossene E-Government-Vereinbarung in die Praxis umgesetzt worden ist, werden insgesamt ca. 30.000 IT-Arbeitsplätze miteinander vernetzt bzw. vernetzbar sein. Das hierfür erforderliche Sicherheitskonzept muss noch erarbeitet werden.
In der Vergangenheit haben die Kommunen untereinander und mit den Landesbehörden auf ganz konventionelle Weise (per Brief, per Telefon, per Fax) kommuniziert, ohne dass es zu schwerwiegenden Problemen gekommen ist. In jüngster Zeit wird zunehmend auch vom Datenträgeraustausch (Disketten, CD-ROM, USB-Sticks) Gebrauch gemacht und das Internet genutzt, obwohl die mit Letzterem im Zusammenhang stehenden Sicherheitsprobleme nur von wenigen Behörden hinreichend gelöst worden sind (vgl. 24. TB, Tz. 7.1).
Im Zusammenhang mit den E-Government-Strategien
der Verwaltung wird nun angestrebt, das Landesnetz, die Kommunikationsplattform für die Landesbehörden, auch dem kommunalen Bereich zu öffnen. Hierüber besteht seit Ende 2003 eine Absichtserklärung zwischen dem Land und den kommunalen Landesverbänden. In ihr sind u. a. folgende datenschutzrechtlich relevante Zielsetzungen festgelegt:
Wenn diese E-Government-Vereinbarung umgesetzt ist, wird ein Zustand erreicht sein, in dem die Rechnersysteme aller Landes- und Kommunalbehörden miteinander vernetzt bzw. vernetzbar sind. Vom Sicherheitsniveau her ist damit ein Quantensprung
bezüglich des Anforderungsprofils an die Abschottungs- und Steuerungsmechanismen verbunden. Man darf nämlich nicht übersehen, dass E-Government nicht bedeutet, dass die rechtlichen und Verantwortungsgrenzen zwischen den einzelnen Behörden eingerissen werden. In der Vereinbarung wird richtig festgestellt, dass die geplanten Maßnahmen kein Selbstzweck sind, sondern (nur) die Qualität der Leistungen der öffentlichen Verwaltungen in Schleswig-Holstein verbessern sollen.
Aus datenschutzrechtlicher und sicherheitstechnischer
Sicht ist noch eine Vielzahl von Vorbedingungen zu erfüllen, bevor das geplante Supernetz in den Echtbetrieb gehen kann. Hierzu gehören z. B. die Lösung folgender noch offener Probleme:
Die vorgenannten Datenschutzgesichtspunkte beziehen sich im Wesentlichen auf Vertraulichkeitsaspekte. In das noch zu erarbeitende IT-Gesamtkonzept und das daraus abzuleitende Sicherheitskonzept sind zusätzlich auch die Aspekte der Verfügbarkeit
und der Integrität des Gesamtsystems einzuarbeiten. Alles zusammen ist dies eine Aufgabe, die nicht ohne gründliche Vorarbeiten bewältigt werden kann.
|
||
6.7 |
Prüfungen im Bereich Systemdatenschutz |
|
Als Folge der Umstellung der Betriebssysteme in den Daten verarbeitenden Stellen mussten auch unsere Prüfungsteams ihr Wissen um deren Funktionalitäten und Sicherheitsschwächen und -stärken auf den neuesten Stand bringen. Dies war bei uns eine ebenso zeitaufwändige Maßnahme wie in den IT-Stellen der Behörden im Lande. Die dabei gewonnenen Erkenntnisse konnten allerdings bei der Erarbeitung eines backUP-Magazins verarbeitet werden.
Insgesamt mussten also die Prüfungsaktivitäten im Bereich Systemdatenschutz
im Jahre 2003 vorübergehend etwas zurückgefahren werden. Diese Phase ist jedoch zwischenzeitlich durch den Start eines neuen Projektes beendet worden. Seit Ende 2003 wird durch ein darauf spezialisiertes Team daran gearbeitet, in absehbarer Zeit eine Flächendeckung unserer Kontrollen im kommunalen Bereich zu erreichen. Es sollen in nächster Zeit alle 237 Organisationseinheiten mindestens einmal einem Sicherheitscheck unterzogen werden. Dahinter steht die Überlegung, dass die weit überwiegende Mehrzahl der Behördenleiter und IT-Betreuer derartige Kontrollen auch dann begrüßt, wenn es Gründe für Beanstandungen gibt. Für die Verantwortlichen wird nämlich deutlich, in welchen Teilbereichen die realisierten Sicherheitsmaßnahmen ausreichend sind und mit welchen Prioritäten welche Defizite abzubauen sind. Vereinfacht formuliert: Eine Kommune, deren Sicherheitskonzept überprüft worden ist, ist besser dran als diejenige, die noch gar keinen Besuch vom ULD hatte. Diese Ungleichbehandlung gilt es so zügig wie möglich abzubauen.
Neben diesen Routineprüfungen (die in der Regel nicht zu spektakulären Ergebnissen führen) wird es aber auch in Zukunft Kontrollen geben, in denen grundsätzlichen Sicherheitsproblemen nachgegangen wird. Die Ergebnisse derartiger Prüfungsmaßnahmen sind nachfolgend dargestellt. |
||
6.7.1 |
Nach wie vor unsicheres Krankenhausinformationssystem in Itzehoe
|
|
Das Krankenhaus Itzehoe nimmt eine unrühmliche Spitzenstellung bezüglich der bei Prüfungen festgestellten Datensicherheitsmängel ein. Mit deren Bereinigung lässt sich diese kommunale Einrichtung viel zu viel Zeit.
Nachdem die Kontrollen im Zweckverbandskrankenhaus Itzehoe gleich zu Beginn eklatante Sicherheitsdefizite in Bezug auf die Zugriffsrechte externer Dienstleister aufgedeckt haben und diese durch das Krankenhaus unverzüglich bereinigt wurden (vgl. 25. TB, Tz. 7.4.1), bestand die Hoffnung, dass im weiteren Verlauf der Prüfung nicht noch mehr derartig gravierende sicherheitstechnische Schwachstellen zutage treten würden. Diese Hoffnung hat sich leider nicht erfüllt. Am Ende der Prüfungsmaßnahme umfasste der Beanstandungskatalog
mehr als 70 Positionen. Das hat es in den mehr als 20 Jahren, in denen Krankenhäuser und Stellen mit ähnlich sicherheitskritischen Datenverarbeitungsprozessen geprüft werden, noch nicht gegeben. Die wichtigsten Verstöße gegen die Sicherheitsvorschriften des Landesdatenschutzgesetzes und der Datenschutzverordnung sind:
Es bedarf keiner näheren Begründung dafür, dass es sich hierbei um erhebliche Sicherheitsmängel handelt. Dem hat die Krankenhausleitung in den Erörterungen der Prüfungsergebnisse auch nicht widersprochen. Die Tatsache, dass der vorstehende Mängelkatalog auch viele Monate nach Abschluss der Prüfung noch im Präsens formuliert ist, weist darauf hin, dass die Defizite bisher noch nicht abgestellt sind. Gründe hierfür sind uns nicht genannt worden. Es liegt uns noch nicht einmal eine abschließende schriftliche Stellungnahme der Krankenhausleitung vor. Ende 2003 ist uns im Zusammenhang mit der Beschwerde eines Patienten zu einem anderen Sachverhalt lediglich mitgeteilt worden, dass eine externe Datenschutzberaterin damit beauftragt worden ist, einen Plan zu machen, welche Maßnahmen vorrangig in Angriff zu nehmen sind. Dies ist zwar ein Lichtblick, aber noch keine Lösung. Fakt bleibt, dass das Krankenhaus Itzehoe damit datenschutzrechtlich und sicherheitstechnisch als weniger empfehlenswert einzustufen ist.
|
||
6.7.2 |
Wissenschaftliche Auswertung des Krebsregisters
|
|
Nach der Vertrauensstelle des Krebsregisters bei der Ärztekammer ist auch die Registerstelle selbst überprüft worden. Es gab keine Anhaltspunkte dafür, dass medizinische Daten in unbefugte Hände gelangt sind. Eine Reihe von kleineren Sicherheitsmängeln wurden zwischenzeitlich abgestellt.
Im Jahr 2002 haben wir begonnen, die Sicherheitsmaßnahmen im Zusammenhang mit der Verarbeitung der medizinischen Daten des schleswig-holsteinischen Krebsregisters zu durchleuchten. Da die Datenverarbeitungsprozesse nacheinander zunächst in der Vertrauensstelle bei der Ärztekammer und dann in der Registerstelle des Instituts für Krebsepidemiologie an der Medizinischen Universität Lübeck ablaufen, entsprach auch die Gesamtprüfungsmaßnahme
dieser Reihenfolge. Die Kontrollen bei der Vertrauensstelle haben keine wesentlichen Beanstandungen ergeben (vgl. 25. TB, Tz. 7.4.3).
Die Registerstelle arbeitet überwiegend mit anonymisiertem Datenmaterial. Allerdings sieht das Krebsregister vor, dass bei entsprechenden Einwilligungen der Patienten die Vertrauensstelle für bestimmte Forschungszwecke der Registerstelle die personenbezogenen Informationen zu den epidemiologischen Datensätzen bereitstellen darf. Über diese Vorgänge ist das ULD zu informieren. Für unsere Prüfung konnten wir deshalb einen Zeitpunkt wählen, zu dem in der Registerstelle ein entsprechendes Forschungsvorhaben lief und damit ein sehr hohes Sicherheitsniveau erforderlich war.
Dabei zeigte sich, dass die Verfahrensweise des Instituts nicht in allen Punkten dem Krebsregistergesetz entsprach. Die wichtigsten Sicherheitsmängel:
Trotz dieser Beanstandungen kann die Prüfung aus zwei Gründen als ein Erfolg angesehen werden. Es haben sich keine Anhaltspunkte dafür ergeben, dass die Vertraulichkeit der der Registerstelle anvertrauten personenbezogenen Daten tatsächlich verletzt worden ist. Die oben angeführten Schwachstellen sind vom Institut für Krebsepidemiologie unverzüglich abgestellt worden.
|
||
6.7.3 |
EDV aus der Steckdose - nicht ohne Risiko
|
|
Ein seit längerem schwebendes datenschutzrechtliches Problem mit einem Angebot der Datenzentrale (jetzt dataport) ist durch eine Prüfung konkret zutage getreten. Die Situation ist allerdings paradox: Der Kunde ist zufrieden, obwohl er gegen das Landesdatenschutzgesetz verstößt.
Es hätte eigentlich eine der vielen Routinesicherheitsüberprüfungen
in einer kleineren Amtsverwaltung im Lande werden sollen. Konfrontiert wurden wir aber mit einer IT-Organisation, die eine Reihe von Grundsatzfragen aufwirft, die bereits im 23. TB (Tz. 7.2) problematisiert worden sind: Es geht dabei um die vollständige Auslagerung der IT-Administration auf einen externen Dienstleister. Der leitende Verwaltungsbeamte der betreffenden Amtsverwaltung stand vor dem Problem, für die Administration des neu zu installierenden IT-Systems keinen geeigneten Mitarbeiter zur Verfügung zu haben. Bei einem Mitarbeiterstab von 17 Personen war das nicht verwunderlich. Da kam ihm ein Angebot der Datenzentrale recht, alle Administrationsaktivitäten zu übernehmen, die Rechner in der Datenzentrale in einer so genannten Server-Farm zu installieren und die Behörde nur mit Terminals ohne jede Betriebssystemfunktionalität auszurüsten (Terminal-Server-Lösung DZ.net).
Durch dieses Application-Hosting erfolgt ein Rundumservice bezogen auf die Administration, den Support, den Verfahrensbetrieb und die Bereitstellung von Rechenzentrumsressourcen. Der fatale Nebeneffekt derartiger Konstruktionen besteht darin, dass der verantwortliche Betreiber des Systems faktisch keinerlei Kontrollmöglichkeiten bezüglich der korrekten Arbeitsweise seines externen Dienstleisters besitzt. Das Einspielen neuer Softwareversionen, das Eröffnen von Benutzerkonten, das Zuweisen von Zugriffs- und Änderungsrechten usw. erfolgen nach dem Prinzip: Wenn das Vertrauen ausreichend ist, braucht man keine Kontrollen.
Die Amtsverwaltung war sich dieser Tatsache bewusst, sah es aber als das kleinere Übel gegenüber dem Aufbau einer eigenen Systemadministration an. Da beeindruckte auch unser Hinweis auf die Verstöße gegen die datenschutzgesetzlichen Regelungen über die Auftragsdatenverarbeitung (z. B. Pflicht zur Erteilung schriftlicher Vorgaben und Kontrolle deren Einhaltung) wenig. Selbst als im Rahmen der Prüfung deutlich wurde, dass die vertraglichen Vereinbarungen zwischen der Amtsverwaltung und der Datenzentrale in sich nicht konsistent waren und die Amtsverwaltung nicht einmal über alle Vertragsbestandteile verfügte, wurde dies mit dem Hinweis darauf, dass doch die Datenverarbeitung reibungslos funktioniere, relativiert, Beanstandungen in unserem Prüfungsbericht hin, Beanstandungen her.
Uns stellte sich die Frage: Wenn denn der Auftraggeber mit den Leistungen seines Auftragnehmers zufrieden ist, kann man dann den Auftragnehmer schelten? Wir haben deshalb der von uns geprüften Kommune empfohlen, ihren externen Dienstleister mit unseren Beanstandungen zu konfrontieren und Abhilfe
zu fordern. Das ist zwischenzeitlich geschehen. Die Antwort von dataport steht aber noch aus.
|
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |