27. Tätigkeitsbericht (2005)
9 | Gütesiegel und Audit
9.1 | Datenschutz-Gütesiegel
9.1.1 | Projektabschluss "e-Region": Innovationspreis für Schleswig-Holstein
Das Projekt "IT-Gütesiegel", das von uns in den Jahren 2002 und 2003 im Rahmen eines von der EU und vom Wirtschaftsministerium Schleswig-Holstein geförderten Programms durchgeführt wurde, ist in einem Wettbewerb von der Europäischen Kommission mit einem Innovationspreis ausgezeichnet worden.
Nach Abschluss des EU-geförderten Projekts "e-Region Schleswig-Holstein" (26. TB, Tz. 8.1) hat das Wirtschaftsministerium des Landes das ULD-Projekt "IT-Gütesiegel" zum EU-Wettbewerb "Regionale Innovation in Europa" gemeldet, an dem sich insgesamt 126 europäische Regionen um eine Auszeichnung in den drei Bereichen "wissensbasierte Wirtschaft", "Informationsgesellschaft" und "nachhaltige Entwicklung" beteiligt hatten. Ziel dieses Wettbewerbs, der von der Europäischen Kommission – Generaldirektion Regionalpolitik – initiiert wurde, war es, innovative Praktiken ausfindig zu machen und weiterzuverbreiten.
Die Jury hat das schleswig-holsteinische Projekt "IT-Gütesiegel" auf den dritten Platz in der Kategorie "Informationsgesellschaft" gewählt. Die Preisverleihung fand im Europäischen Parlament in Brüssel im Rahmen der Sitzung des Ausschusses der Regionen statt. Verbunden mit der Preisverleihung war eine zweitägige Ausstellung der Preisträger im Gebäude des Europäischen Parlaments, bei der wir Gelegenheit hatten, unser Projekt zu präsentieren.
Was ist zu tun?
Die Auszeichnung mit einem europäischen Innovationspreis belegt, dass ein moderner Datenschutz zum Standortvorteil für eine ganze Region werden kann. Auch der Bund sollte über eine Modernisierung des Datenschutzes nachdenken, um sich einen vorderen Platz in der Informationsgesellschaft zu sichern.
9.1.2 | Abgeschlossene Gütesiegelverfahren
Neben den aus dem Projekt "e-Region Schleswig-Holstein" verbliebenen Verfahren haben wir im Berichtszeitraum eine Reihe weiterer Zertifizierungsverfahren durchgeführt.
Auch in diesem Jahr konnten wir weitere Gütesiegelverfahren erfolgreich abschließen. Insgesamt haben wir sieben weitere Produkte mit einem Gütesiegel ausgezeichnet. Drei dieser Verfahren waren Teil des Projekts "e-Region Schleswig-Holstein", in dem wir unsere Leistungen gebührenfrei erbrachten und die Begutachtungskosten aus dem Förderprogramm bezuschusst wurden.
Im Rahmen des geförderten Verfahrens wurden folgende Produkte zertifiziert:
- active-city, Version 2.3, ein modulares Online-Redaktionssystem für Kommunal- und Kreisverwaltungen zum Einsatz einzelner Informationsbereiche bis zum dynamischen Aufbau und zur Verwaltung vollständiger Portale mit E-Government-Funktionen,
- ALLRIS, Version 3.7, ein Ratsinformationssystem für den kommunalen Sitzungsdienst, mit dem Sitzungen vor- und nachbereitet sowie Informationen abgestuft Amtsangehörigen, Ratsangehörigen und Bürgern zugänglich gemacht werden können,
- TIGRIS, Version TIGRIS 2003 Release SP4, eine Software zur Unterstützung der Aufgabenerfüllung von Gewerbeämtern, insbesondere zur Unterstützung bei der Abwicklung von An-, Um- und Abmeldungen.
- Über das Ende des EU-geförderten Projekts hinaus verzeichnen wir eine konstant hohe Nachfrage nach dem Gütesiegel. Im vergangenen Jahr haben wir laufend weitere Anträge erhalten und bereits vier Produkte ausgezeichnet. Dies sind:
- PROSOZ/S für Windows, Version 7.1 inklusive Update, ein Dialogverfahren zur Erfassung von Sozialhilfedaten, Berechnung rechtlicher Ansprüche und Ausgabe entsprechender Bescheide direkt am Arbeitsplatz,
- Verfahren der Firma Reisswolf, Stand Mai 2004, zur Vernichtung von Akten, elektronischen und optischen Datenträgern zur Löschung von personenbezogenen Daten im Auftrag für Auftraggeber aus dem öffentlichen und nichtöffentlichen Bereich,
- LN-Card, Stand 5.10.2004, eine Bonuskarte für Abonnenten der Lübecker Nachrichten,
- VISOR, Version 2.0, Software zur Online-Prüfung von PCs im Hinblick auf Sicherheitslücken.
Einen Gesamtüberblick über die zertifizierten Produkte enthält das Register auf unserer Homepage unter
Im Wortlaut: § 1 Abs. 2 DSAVO IT-Produkte im Sinne dieser Verordnung sind Hardware, Software und automatisierte Verfahren, die zur Nutzung durch öffentliche Stellen geeignet sind. |
Einige Anfragen von Herstellern mussten wir leider zurückweisen, da die rechtlichen Voraussetzungen für eine Zertifizierung nicht vorlagen. Die Datenschutzauditverordnung eröffnet das Zertifizierungsverfahren nur für Produkte, die zur Nutzung durch öffentliche Stellen geeignet sind. Ein tatsächlicher Einsatz des Produkts in einer schleswig-holsteinischen Behörde muss nicht unmittelbar beabsichtigt sein, aber das Produkt muss für einen solchen Einsatz geeignet sein. Bei den meisten der uns erreichenden Anfragen ist das Produkt für öffentliche Stellen zur Nutzung geeignet. In seltenen Fällen ist ein Einsatz des Produkts in Behörden nicht denkbar.
Zu den nicht zertifizierten Produkten gehören in der Regel Bonuskarten, die Unternehmen für treue Kunden ausgeben. Betreiber solcher Systeme haben im vergangenen Jahr ein deutliches Interesse an der Zertifizierung ihrer Bonussysteme durch uns gezeigt. In der Regel fehlt es in diesen Fällen jedoch an einer Einsatzmöglichkeit für öffentliche Stellen, die an solchen Systemen allenfalls als Endkunden teilnehmen. Anders war die Lage bei der LN-Card der Lübecker Nachrichten. An diesem System können sich regionale Partnerunternehmen beteiligen, zu denen auch öffentliche Stellen, etwa Schwimmbäder oder Museen, gehören können.
Eine Anfrage eines Anbieters eines Anonymisierungsdienstes im Internet, der ein Gütesiegel für das Angebot eines anonymen Zugriffs auf Online-Tauschbörsen anstrebte, mussten wir ablehnen, weil das Verfahren für öffentliche Stellen nicht geeignet war.
9.1.3 | Anerkennung von Sachverständigen
Für die Begutachtung der Produkte im Zertifizierungsverfahren sind Sachverständige nötig, die wir auf Antrag akkreditieren. Die Zahl der bei uns eingehenden Anträge belegt das fortwährende Interesse an der Gutachtertätigkeit.
Im Berichtszeitraum haben wir neun Sachverständige anerkannt. Neun Anträge auf Anerkennung wurden im Berichtszeitraum gestellt, fünf weitere Verfahren wurden aus dem Vorjahr übernommen. Zwei der insgesamt vierzehn im Berichtszeitraum bearbeiteten Anträge wurden nach Beratung zurückgenommen, drei Verfahren sind noch nicht beendet.
Sachverständige können für die Bereiche Recht und/oder Technik anerkannt werden. Von den im Berichtszeitraum ausgesprochenen Anerkennungen ist eine Anerkennung für beide Bereiche erfolgt, vier Sachverständige wurden ausschließlich für den Bereich Technik und weitere vier ausschließlich für den Bereich Recht anerkannt.
Die Anerkennung ist nicht nur für Einzelpersonen möglich, sondern auch für Organisationen oder organisatorische Einheiten innerhalb einer Organisation. Unter den neun im Berichtszeitraum anerkannten Gutachtern befinden sich zwei sachverständige Prüfstellen.
Eine Übersicht über die anerkannten Sachverständigen und sachverständigen Prüfstellen ist abrufbar unter
www.datenschutzzentrum.de/guetesiegel/
9.1.4 | Rezertifizierung und Gebühren
Gütesiegel werden für die Dauer von zwei Jahren für die vorgelegte Produktversion verliehen. Möchte der Hersteller danach das Gütesiegel weiterverwenden oder ändert sich das zertifizierte Produkt innerhalb der Gültigkeitsdauer erheblich, so ist eine Rezertifizierung erforderlich.
Den Ablauf des Rezertifizierungsverfahrens und die Fallgruppen, die eine Rezertifizierung nötig werden lassen, haben wir bereits im letzten Tätigkeitsbericht erläutert (26. TB, Tz. 9.1.4). Eine Rezertifizierung ist erforderlich, wenn das Produkt erhebliche Änderungen erfährt oder sich die rechtlichen bzw. technischen Rahmenbedingungen wesentlich ändern. Nach Ablauf der zweijährigen Gültigkeitsdauer ist in jedem Fall eine Rezertifizierung erforderlich.
Die ULD-Benutzungs- und Entgeltsatzung, die Gebühren für die Zertifizierung festlegt, wurde zum 1. Dezember 2004 um eine Gebührenregelung für das Rezertifizierungsverfahren ergänzt. Diese Regelung sieht eine Grundgebühr für das Rezertifizierungsverfahren in Höhe von 280 Euro vor. Diese relativ geringe Grundgebühr fällt an, wenn ein Produkt in bestimmten Teilen geändert wurde, sodass das Gutachten aus dem vorigen Zertifizierungsverfahren in den nicht geänderten Teilen weiterhin gültig bleibt. Voraussetzung für die Anwendung dieses Gebührenbausteins ist, dass der Hersteller eine Aufstellung über die vorgenommenen Änderungen vorlegt. Diese wird dem Gutachter zur Verfügung gestellt, sodass sich die erforderliche Neubegutachtung auf die geänderten Teile sowie gegebenenfalls auf die geänderten technischen oder rechtlichen Rahmenbedingungen beschränken kann.
Für Produkte, die nicht oder nur unwesentlich geändert wurden und ebenfalls keinen oder nur geringen Änderungen der Rahmenbedingungen unterliegen, enthält die Gebührenregelung einen Ermäßigungstatbestand. Danach kann die Gebühr bis auf 70 Euro reduziert werden. Auf der anderen Seite sieht die Gebührenregelung eine Erhöhung auf bis zu 1120 Euro für besondere Fälle vor. Die Erhöhung kann etwa bei umfangreichen Änderungen des Produkts oder der Rahmenbedingungen zur Anwendung kommen. Möglich ist eine Erhöhung auch, wenn der Hersteller keine Aufstellung über die vorgenommenen Änderungen zur Verfügung stellt, sodass die Begutachtung im Rezertifizierungsverfahren für das gesamte Produkt wiederholt werden muss.
9.1.5 | PETTEP – Privacy Enhancing Technologies Testing and Evaluation Project
Fortschritte bei der Marktdurchdringung datenschutzfreundlicher Technik sind erkennbar. Verstärkt weisen Hersteller auf solche Produktmerkmale in der Werbung hin oder fragen beim ULD nach dem Datenschutz-Gütesiegel, um ihre Produkteigenschaften nach außen transparent machen zu können. Doch was sind die Kriterien für eine datenschutzfreundliche Technik? Und sind diese Kriterien international vergleichbar?
Hinter dem Namen PETTEP – Privacy Enhancing Technologies Testing and Evaluation Project – verbirgt sich eine internationale Initiative, die die Entwicklung von Kriterien für datenschutzfördernde Technik (Privacy Enhancing Technologies) und für den Test von Produkten voranbringen will. Schon im 26. TB (Tz. 9.1.6) war über dieses Team, das auf eine Initiative der Datenschutzdienststelle in Ontario, Kanada, zurückgeht, berichtet worden. Mitglieder sind Experten aus Datenschutzbehörden (u. a. Ontario, Kroatien, Brandenburg, Schleswig-Holstein), Wissenschaft und Wirtschaft. Nach 2001 und 2003 fand auch 2004 anlässlich der Sommerakademie erneut ein PETTEP-Workshop in Kiel statt, bei dem das künftige Vorgehen abgestimmt wurde. Derzeit arbeitet PETTEP an einem Zugang zur weltweiten ISO-Normung. Unterstützt wird es dabei durch einen Beschluss der 26. Internationalen Konferenz der Datenschutzbeauftragten in Wroclaw vom September 2004, in dem die ISO (International Organization for Standardization) zur Einbindung der PETTEP-Arbeiten aufgefordert wird.
Ausgangspunkt der PETTEP-Kriterien sind die "Fair Information Practices", die als Eckpunkte für den Datenschutz international anerkannt sind. Sie werden um weitere wichtige Prinzipien, etwa Datensparsamkeit und Datenvermeidung, erweitert und müssen in die Sprache technischer Normen "übersetzt" werden.
Zwischen den Zielen des Datenschutz-Gütesiegels und denen von PETTEP gibt es viele Überschneidungen. Leider ist die Entwicklung von Standards wegen der vielen beteiligten Partner und Abstimmungen sehr zeitaufwändig und dauert mitunter Jahre. Daher erwies sich unsere Entscheidung, das Datenschutz-Gütesiegel voranzubringen und zeitgleich bei PETTEP mitzuwirken, als richtig: Die Erfahrungen des ULD aus dem Gütesiegelbereich sind wertvoll für PETTEP. Umgekehrt können Erkenntnisse aus der technischen Normung für das Gütesiegelverfahren genutzt werden; dies erlaubt eine Verzahnung des Gütesiegels mit international anerkannten Kriterien und verbreitet so seine Wirkung. Zwar können rein technische Kriterien eine datenschutzrechtliche Prüfung nicht vollständig abbilden, doch sind sie ein wichtiger Bestandteil.
Was ist zu tun?
Die PETTEP-Datenschutzkriterien müssen weiterentwickelt und in den global geltenden ISO-Normungsprozess integriert werden. Damit lässt sich die Idee einer datenschutzfördernden Technik weiterverbreiten.
9.1.6 | Bundesdatenschutzauditgesetz
In Sachen Bundesdatenschutzaudit herrschte lange Zeit Stillstand. Nun scheint neue Bewegung in die Gesetzgebung zu kommen.
Das Thema Datenschutz-Audit ist eines der wichtigen datenschutzrechtlichen Themen im Koalitionsvertrag der Regierungsparteien auf Bundesebene. Nachdem von den Koalitionsfraktionen der Entwurf eines Informationsfreiheitsgesetzes in das parlamentarische Verfahren eingebracht worden ist (Tz. 11.2), verständigten sich diese, als Nächstes ein Bundesdatenschutzauditgesetz in Angriff zu nehmen. Die Erfahrungen aus Schleswig-Holstein mit dem Datenschutz-Gütesiegel und Behördenaudit werden hierbei eine wichtige Rolle spielen.
Zur Vorbereitung des Bundesdatenschutzauditgesetzes hat der Deutsche Akkreditierungsrat, Sektorkomitee Security, im Jahr 2003 eine Projektgruppe "Datenschutzaudit" gegründet, an der wir beteiligt waren (26. TB, Tz. 9.1.3). Aufgabe der Projektgruppe war die Entwicklung von Kriterien für die Gutachteranerkennung und für die Produktprüfung. Verschiedene Modelle wurden dafür gegenübergestellt und diskutiert. Wir haben für die Arbeitsgruppe auf der Grundlage des ULD-Informations- und Pflichtenkataloges für Sachverständige einen Regelungsvorschlag für die Sachverständigenanerkennung erarbeitet, der dem Akkreditierungsrat als Arbeitsergebnis vorgelegt wird.
9.2 | Datenschutz-Audit
9.2.1 | ostseecard*
Die ostseecard* wird seit Mai 2004 zur Zahlung der Tourismusabgabe an 18 Kurorten der schleswig-holsteinischen Ostseeküste eingesetzt. Die mehrjährige Beratung mündete im November 2004 ein in der Verleihung eines Datenschutz-Audits.
Die Ausgabe der ostseecard* und die Verwaltung des zugrunde liegenden Chipkartensystems wird federführend für die beteiligten Gemeinden von dem Ostsee-Holstein-Tourismus e.V. koordiniert. Die Besonderheit des Verfahrens liegt in der Verbindung hoheitlicher Aufgaben der Gemeinde, die Erhebung der Kurabgabe, mit wirtschaftlichem Handeln privater Anbieter, die kostenpflichtige Leistungspakete und Rabatte zur Verfügung stellen.
Die Besucherinnen und Besucher erhalten eine Chipkarte, mit der sie während der Dauer ihres Urlaubs die touristischen Angebote in allen teilnehmenden Gemeinden nutzen können. Die Ausgabe der Chipkarte ist mit dem Ausfüllen des Meldescheins bei der Ankunft im Urlaubsquartier verknüpft. Auf Wunsch kann der Übernachtungsgast der Speicherung seiner Adressdaten zustimmen, um mit Informationsmaterial über die Ostsee beworben zu werden. Zusätzlich kann er weitere Leistungen wie Pauschaltickets erwerben und auf seine Karte buchen lassen. Jede Nutzung der Karte wird elektronisch erfasst. Dies gilt für kontrollierende (z. B. die Zugangskontrolle zum Strand) wie auch verbrauchende Nutzungen (dem Abreißen einer Eintrittskarte vergleichbar). Technisch wäre es so möglich, ein engmaschiges Datenprofil der einzelnen Urlauber zu erstellen.
Ergebnis der datenschutzrechtlichen Beratung des Ostsee-Holstein-Tourismus e.V. und seiner technischen Partner war eine datenschutzfreundliche Lösung, mit der das Entstehen eines solchen Profils verhindert wird. Auf der Karte werden keine personenbezogenen Daten der Urlauber, sondern lediglich eine Kartennummer als Pseudonym gespeichert. Nur anhand dieser Nummer können die Kartennutzungen, die in einer Datenbank ohne Zugriffsmöglichkeit für die einzelnen Anbieter gespeichert werden, zugeordnet werden. Eine Verknüpfung mit den Adressdaten erfolgt im Rahmen der täglichen Nutzung nicht. Die Datenspeicherung auf den Karten ist so organisiert, dass jede beteiligte Stelle Leistungen auf der Karte abbuchen kann, ohne Zugriff auf die Leistungsdaten anderer Anbieter nehmen zu können. Eine Stelle kann also nicht erkennen, welche Leistungen der Urlauber bei der Konkurrenz erworben und eventuell in Anspruch genommen hat. Damit die Urlauber kontrollieren können, welche Leistungen auf ihren Karten aufgebucht wurden, wurde eine Auskunftsfunktion mithilfe von Selbstbedienungsterminals geschaffen. Eine Mustersatzung für die beteiligten Gemeinden, ein solides technisches Konzept und eine klare vertragliche Regelung zwischen den Gemeinden, dem Ostsee-Holstein-Tourismus e.V. und den beteiligten Firmen schaffen für alle Beteiligten rechtliche Klarheit und definieren präzise Rechte und Pflichten der Partner.
Der Diskussionsprozess war nicht immer einfach. Die zum Teil gegensätzlichen Interessen der Gemeinden, des Ostseemarketings, der privaten Leistungsanbieter, der Daten verarbeitenden Firmen und nicht zuletzt des Datenschutzes und des Melderechtes mussten mit den technischen Möglichkeiten in Einklang gebracht werden. Es war daher nur konsequent, das erfolgreiche Ergebnis der langjährigen Beratung in ein Datenschutz-Audit münden zu lassen. So wird auch für die Urlaubsgäste sichtbar, dass sie datenschutzrechtlich gut an der Ostsee aufgehoben sind. Erweiterungen und Änderungen des Verfahrens ostseecard* sind schon für die kommende Saison in Planung. Wesentliche Änderungen des Verfahrens haben zur Folge, dass das Datenschutzauditzeichen keine weitere Gültigkeit haben kann. Bei der Umsetzung von wesentlichen Änderungen des Verfahrens ist daher eine Reauditierung erforderlich.
Was ist zu tun?
Der Ostsee-Holstein-Tourismus e.V. sollte auch weiterhin bei der Erweiterung und Ausgestaltung des Verfahrens die konstruktive Zusammenarbeit mit dem ULD fortsetzen.
9.2.2 | Stadt Neumünster
Mängelrügen einer Datensicherheitskontrolle sollen positive Wirkungen entfalten. Sie können zu einer grundlegenden Neugestaltung der "Security Policy", ja sogar bis zur Verleihung des Auditzeichens für einen wichtigen Teilbereich führen.
So geschehen bei der Stadtverwaltung Neumünster: Als wir im Jahr 2001 eine Überprüfung der technischen und organisatorischen Sicherheitsmaßnahmen vorgenommen hatten, war die Liste der vorgefundenen Mängel erschreckend lang (24. TB, Tz. 7.5.1). Deren zügige Abarbeitung wurde zugesagt. In regelmäßigen Abständen wurden wir über die Zwischenergebnisse unterrichtet. So waren wir nicht überrascht, dass die Stadt Ende 2003 an uns herantrat, um ihr Projekt "Anschluss des internen Netzes der Stadtverwaltung Neumünster an das Internet" auditieren zu lassen. Man legte dabei Wert darauf, sich einem internen und externen Penetrationstest zu unterziehen. Die Details dieser neu geschaffenen Möglichkeit sind unter Tz. 10.1 dargestellt.
Das Audit konnte zügig und erfolgreich abgewickelt werden. Die zuständige Abteilung, der "Fachdienst EDV-Dienste", hatte den Internetanschluss auf einem technisch hohen Niveau realisiert und für sachverständige Dritte gut nachvollziehbar dokumentiert. Grundlagen für die Realisierung des Anschlusses waren ein Sicherheits- und ein Realisierungskonzept mit folgenden signifikanten Festlegungen:
- Zum Schutz vor Übergriffen aus dem Internet werden mehrere Firewall-Systeme eingesetzt. Sie verfügen über "demilitarisierte Zonen" (DMZ), die in vordefinierte Sicherheitsebenen (Security Level) unterteilt sind.
- Pakete von einer Stelle mit einem geringeren Security Level werden nur an eine DMZ mit höherem Security Level weitergeleitet, wenn dafür eine explizite Firewall-Regel eingetragen ist. Alle anderen Pakete werden ausgefiltert.
- Es werden keine Datenpakete, die als Anfragen aus dem Internet kommen, in das Verwaltungsnetz direkt durchgeleitet.
- Die Überwachung und Administration der eingesetzten Firewall-Komponenten erfolgen ausschließlich durch den Fachdienst. Eine Fernadministration der Firewall-Komponenten ist nicht gestattet.
- Unerlaubte Zugriffe werden auf der physikalischen Ebene protokolliert und abgewehrt. Ereignisse von sicherheitsrelevanter Bedeutung führen zu gesonderten Warnmeldungen.
- Es werden nur die E-Mails an den Arbeitsplatz geleitet, die virenüberprüft sind und zugelassene Attachments (z. B. TXT, RTF) enthalten.
- Der Zugriff auf die Webseiten wird in Bezug auf die sicherheitskritischen Komponenten ActiveX, Java und VBScript gefiltert.
- Webseiten werden anhand von Textzensurskripten geprüft und gegebenenfalls für den Aufruf nicht zugelassen.
- Das Herunterladen ausführbarer Programme und Dateien auf die Arbeitsplatzrechner ist nicht zugelassen.
- Über ein Intrusion Detection System (IDS) werden bei Angriffen auf die Firewall Protokolleinträge generiert, die in regelmäßigen Abständen vom Fachdienst ausgewertet werden. Bei Verdacht eines "Einbruches" wird das Netz durch die Deaktivierung des entsprechenden Netzwerkinterfaces sofort vom Internet getrennt.
Der Penetrationstest des Internetanschlusses der Stadtverwaltung wurde in Zusammenarbeit mit einem von uns beauftragten externen Spezialisten durchgeführt. Dieser versuchte als "Hacker" das Netz zu kompromittieren und Sicherheitsdefizite aufzudecken. Der Test beinhaltete umfangreiche Systemanalyseverfahren sowie den Einsatz zahlreicher "Hackertools". Im Ergebnis zeigte sich, dass die Angriffe auf das Verwaltungsnetz von innen und von außen nicht erfolgreich waren – ein Erfolg des Sicherheitssystems! Die guten Erfahrungen mit dem Audit ermutigten nun die Stadt, auch den Teilbereich "Interne Datenverarbeitung" auditieren zu lassen.
Was ist zu tun?
Datenverarbeitungsprozesse einer Verwaltung müssen nicht sofort in ihrer Gesamtheit auditiert werden. Sicherheitstechnisch und rechtlich auditiert werden können auch abtrennbare Module.
9.2.3 | Stadt Bad Schwartau
Datenschutz-Audits erleichtern die Arbeit des behördlichen Datenschutzbeauftragten. Auf dieser soliden Grundlage kann er durch Soll-Ist-Vergleiche auf ein etwaiges Absinken des Datenschutz- und Sicherheitsniveaus reagieren.
Das Audit bei der Stadt Bad Schwartau wurde bezeichnenderweise von den Systemadministratoren initiiert. Sie wollten auf diese Weise bestätigt bekommen, dass sie mit einem modernen, aber in der Verwaltung noch nicht weit verbreiteten Betriebssystem ein hinreichendes Sicherheitsniveau erreicht haben.
Die automatisierte Datenverarbeitung dieser Stadtverwaltung wird auf der Basis eines Terminal-Server-Konzeptes abgewickelt. Es beruht darauf, dass Softwareanwendungen sowie die mit ihnen verarbeiteten Daten zentral auf einem Rechner abgelegt werden. Die Arbeitsplatz-PCs der Benutzer dienen nur noch als Verbindungssysteme für Ein- und Ausgabevorgänge. Zu diesem Zweck benötigen die Clients selbst keine leistungsstarke Hardware. Bei ihnen kann es sich um einen normalen PC mit spezieller Client-Software (Terminalserver-Client) oder um ein dediziertes Windows-Terminal (Thin Client) handeln. Derzeit werden bei der Stadtverwaltung sowohl abgerüstete PCs als auch Thin Clients eingesetzt.
Sicherheitstechnisch hat das Konzept den Vorteil, dass der Benutzer nur diejenigen Ressourcen auf seinem Arbeitsplatz-PC nutzen kann, die ihm explizit zur Verfügung gestellt werden. Die Nutzung und das Installieren von nicht erwünschten Anwendungen sowie das lokale Abspeichern von Daten werden ausgeschlossen, indem derartige Zugriffe nicht unterstützt werden.
Die Fachanwendungen befinden sich auf mehreren Terminal-Servern (Serverfarm), um eine Lastverteilung zu gewährleisten. Für eine sichere und ordnungsgemäße Datenverarbeitung sind folgende Anforderungen an das Sicherheitsniveau erfüllt worden:
- Gewährleistung der Datenabschottung durch eine nachvollziehbare Benutzer- und Rechteverwaltung,
- Bereitstellung der Fachanwendungen auf den Arbeitsplatz-PCs nur im erforderlichen Umfang,
- strukturierte zentrale Datenverwaltung,
- Dokumentation aller Einstellungen an Hard- und Software,
- Aufbau einer qualifizierten IT-Koordination,
- Kontrolle und Überwachung durch den behördlichen Datenschutzbeauftragten.
Hieraus wurden die folgenden konkreten Sicherheitsmaßnahmen abgeleitet:
- Die Verfügungsgewalt (Überwachung und Administration) über die eingesetzten Firewall-Komponenten liegt bei der Stadtverwaltung selbst. Es erfolgt keine Fernadministration der Firewall.
- Es wird sichergestellt, dass Angriffe auf der physikalischen Ebene erkannt und abgewehrt werden. Die Firewall protokolliert alle nicht erlaubten Aktivitäten. Das Protokoll wird täglich von den Administratoren ausgewertet.
- Ausgehende E-Mails dürfen keine personenbezogenen Daten enthalten.
- Kopien der ein- und ausgehenden E-Mails werden für Kontrollzwecke in einem gesonderten Archiv gespeichert.
- Es werden nur virenüberprüfte E-Mails an den Arbeitsplatz geleitet.
- E-Mails mit Anhängen werden in einem nur für den Administrator zugänglichen Fach gespeichert, während eine Kopie der E-Mail ohne Anhang an den Empfänger geleitet wird. Der Empfänger erhält einen Hinweis, dass der Anhang vom Administrator nach vorheriger Überprüfung zugestellt werden kann.
- WWW-Seiten ohne dienstlichen Bezug sind deaktiviert. Es sind nur Webseiten vertrauenswürdiger Stellen freigeschaltet.
- Das Herunterladen ausführbarer Programme und Dateien durch "normale" Benutzer wird nicht zugelassen.
- Die ordnungsgemäße Nutzung der Internetdienste wird regelmäßig vom behördlichen Datenschutzbeauftragten überwacht.
Sicherheitstechnisch waren keine Schwachstellen erkennbar, die die Rechte der betroffenen Bürger und der Mitarbeiter der Stadtverwaltung beeinträchtigen könnten. Die modular aufgebauten Sicherheitskonzepte bilden die Grundlage für ein wirksames Datenschutzmanagement im laufenden Betrieb der automatisierten Verfahren. Der mit dieser Aufgabe betraute behördliche Datenschutzbeauftragte wird in die Lage versetzt, durch einen effektiven Soll-Ist-Vergleich auf Veränderungen in den tatsächlichen Abläufen zu reagieren und Fehlentwicklungen offen zu legen. Diese Rahmenbedingungen sind die Grundlage für eine Steigerung der Effizienz und der Sicherheit der automatisierten Prozesse.
Was ist zu tun?
Dem sicherheitstechnischen Audit könnten vorrangig rechtliche Audits zu den fachlichen Anwendungen folgen.
9.2.4 | Gemeinde Timmendorfer Strand
Auch kleine Kommunen sind in der Lage, ihre IT-Systeme so zu gestalten, dass sie erfolgreich zertifiziert werden können. Die technischen Voraussetzungen hierfür sind mit unterschiedlichen Betriebssystemen zu realisieren. Entscheidend ist die Qualität der IT- und Sicherheitskonzepte.
Mit der zunehmenden Zahl von Audits im kommunalen Bereich zeigt sich immer deutlicher, dass es in der Praxis eine Art Königsweg gibt, um die Sicherheit der lokalen Netzwerke und den Anschluss an das Internet zu gewährleisten. Das eingesetzte Betriebssystem und die Behördengröße sind wichtige Parameter, aber nicht entscheidend. Letztendlich kommt es auf die Qualität der IT- und Sicherheitskonzepte an. Nachfolgend werden die wesentlichen Merkmale der von der Gemeinde Timmendorfer Strand realisierten Konzeption dargestellt, die sich in einigen, aber nicht in allen Punkten mit denen der anderen auditierten Verwaltungen (Tzn. 9.2.2 und 9.2.3) deckt. Das Sicherheitsniveau der IT-Systeme ist wie folgt zu kennzeichnen:
- Gewährleistung einer Datenabschottung durch eine nachvollziehbare Benutzer- und Rechteverwaltung,
- Reduzierung der Funktionalitäten der Arbeitsplatz-PCs auf das erforderliche Maß,
- strukturierte zentrale Datenverwaltung,
- Dokumentation aller Einstellungen an Hard- und Software,
- Aufbau einer qualifizierten IT-Koordination,
- Kontrolle und Überwachung durch den Leiter des Hauptamtes.
Für die Arbeitsplatzrechner und die Server sowie für die Schnittstellen zum Internet ergeben sich hieraus folgende sicherheitstechnische Maßnahmen und Einstellungen:
- Eine Fernwartung durch externe Dienstleister wird nur auf Veranlassung der IT-Koordinatoren durchgeführt. Für die Firewall-Komponenten ist eine Fernwartung nicht zugelassen.
- Die Disketten- und CD-ROM-Laufwerke sowie die USB-Ports sind mit einer speziellen Sicherheitssoftware deaktiviert.
- Die auf den Arbeitsplatz-PCs verfügbaren Systemfunktionen sind durch Gruppenrichtlinien festgelegt.
- Die Einrichtung und Abschottung von Word- und Exceldateien erfolgt nach einem an den Geschäftsverteilungsplan angelehnten Datenablagekonzept.
- Es besteht ein nach Ämtern strukturiertes Active Directory für die Benutzer- und Gruppenverwaltung.
- Alle Fachanwendungen und die mit ihnen verarbeiteten Daten werden auf den Servern zentral verwaltet.
- Ausgehende E-Mails dürfen keine personenbezogenen Daten enthalten.
- Kopien der ein- und ausgehenden E-Mails werden für Kontrollzwecke in einem gesonderten Archiv gespeichert.
- Es werden nur die E-Mails an den Arbeitsplatz geleitet, die virenüberprüft sind und zugelassene Attachments (z. B. TXT, RTF) enthalten.
- Der Zugriff auf die Webseiten wird in Bezug auf die sicherheitskritischen Komponenten ActiveX, Java und VBScript gefiltert.
- Webseiten werden durch Textzensurskripte geprüft und gegebenenfalls für den Aufruf nicht zugelassen.
- Das Herunterladen ausführbarer Programme und Dateien auf die Arbeitsplatzrechner ist nicht zugelassen.
- Alle Einstellungen an den Internetkomponenten werden nachvollziehbar dokumentiert.
- Das Systemprotokoll der Firewall erfasst alle nicht erlaubten Aktivitäten. Es wird täglich von der IT-Koordination ausgewertet.
- Die ordnungsgemäße Nutzung der Internetdienste wird in regelmäßigen Abständen von der IT-Koordination und dem Hauptamtsleiter überwacht.
- Wegen der zurzeit noch nicht hinreichend transparenten Funktionalität des Übergaberouters ist der bestehende Landesnetzanschluss durch eine zusätzliche, von der Gemeinde administrierte Firewall gesichert.
Die IT-Koordination verfügt über eine Testumgebung (Server und Clients), in der die umzusetzenden sicherheitstechnischen Maßnahmen zunächst getestet werden können. Sie nutzt die Testumgebung außerdem für die Vertiefung ihres sicherheitstechnischen Know-hows. Derartige vorbildliche Systeme sind in Kommunen dieser Größenordnung leider nur selten anzutreffen.
Was ist zu tun?
Die derzeit noch bestehenden Defizite in den vertraglichen Beziehungen zur Nutzung des Landesnetzanschlusses sollten so bald wie möglich behoben werden. Über die Funktionalität des Übergaberouters muss sich die Gemeinde kurzfristig Klarheit verschaffen.
9.3 | Gütesiegel , Audit und PRIME
Der Zusammenhang zwischen Gütesiegel, Audit und dem Projekt PRIME, das sich mit der datenschutzfreundlichen Gestaltung von Identitätsmanagementsystemen beschäftigt, liegt nicht unmittelbar auf der Hand. Doch gibt es gemeinsame interessante Ansatzpunkte.
Das Projekt PRIME (Tz. 8.2.1) beschäftigt sich nicht nur theoretisch mit datenschutzfreundlichen Identitätsmanagementsystemen, sondern auch mit der praktischen Umsetzung in Form von Software. Eines der Projektziele ist es, ein nachgewiesen datenschutzkonformes Softwarepaket bereitzustellen. Ein solcher Nachweis kann mithilfe von Zertifikaten geführt werden, die nach einer positiven Evaluation durch unabhängige Dritte verliehen werden. Doch welche förmlichen Verfahren überprüfen die datenschutzgerechte Gestaltung, und welche Kriterien werden dabei zugrunde gelegt? Dieses herauszufinden ist eine der Aufgaben des Projektes. Dafür sind Informationen über die verschiedenen nationalen und internationalen IT-Sicherheits- und Datenschutzzertifizierungen zusammenzutragen und vergleichend zu bewerten.
Diese Aufgabe wird gemeinsam von der Johann Wolfgang Goethe-Universität Frankfurt und uns bearbeitet. Im Rahmen der Entwicklung des Gütesiegels haben wir bereits Vorarbeiten erledigt, auf die nun zurückgegriffen werden kann. Da aber die Entwicklung von Zertifizierungen und auch der zugrunde liegenden Kriterien recht dynamisch verläuft, müssen die Ergebnisse fortlaufend aktualisiert und fortgeschrieben sowie neue Verfahren integriert werden. Ziel der Arbeiten ist es, aus den Evaluationskriterien solche für das Softwaredesign zu gewinnen, über die Datenschutzbelange schon während der Entwicklung berücksichtigt werden.
Technische Zertifizierungsverfahren betrachten in der Regel ausschließlich die IT-Sicherheit, ohne spezifisch auf den Datenschutz, z. B. die Datensparsamkeit, einzugehen. Das Datenschutz-Gütesiegel umfasst neben technischen auch rechtliche Fragestellungen und stellt somit die notwendige Kombination aus Recht und Technik dar, ist aber dem deutschen Datenschutzrecht verhaftet. Für eine Anwendung in PRIME müssen die rechtlichen Fragestellungen nach internationalen Maßstäben integriert werden.
Was ist zu tun?
Durch die Mitarbeit in PRIME ergibt sich die Gelegenheit, die internationalen Erkenntnisse zu Zertifizierungsverfahren aufzuarbeiten und so für die Arbeiten am Datenschutz-Gütesiegel nutzbar zu machen. Diese Ergebnisse können wiederum in die Arbeit beim Projekt PETTEP (Tz. 9.1.5) einfließen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |