Sie sind hier: > Start > Tätigkeitsberichte > 18. TB 1998 > 19. Technischer und organisatorischer Bereich

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 18.12.1998

19. Technischer und organisatorischer Bereich

19.1. Technische Grundsatzfragen

19.1.1. Entwicklung der automatisierten Datenverarbeitung

Nach dem ersten Bayer. Datenschutzgesetz vom 28.4.1978 traten zum 1.1.1979 die Bestimmungen über die technischen und organisatorischen Datensicherungsmaßnahmen in Kraft. Ein knappes Jahr hatte man den datenverarbeitenden Stellen Zeit gegeben, geeignete Sicherungsmaßnahmen einzuführen.

In den vergangenen 20 Jahren hat sich das Erscheinungsbild der automatisierten Datenverarbeitung dramatisch verändert. Während in den "Anfängen des Datenschutzes" in erster Linie die Großrechner die automatisierte Datenverarbeitung prägten, haben wir es heute mit einer Vielzahl von Rechnern unterschiedlicher Größe und Funktion zu tun. Die nahezu unbegrenzten Vernetzungsmöglichkeiten bedeuten für die Datenschutzbeauftragten und die Revisionsinstanzen bei ihren Kontrollaufgaben eine große Herausforderung. Durch die modernen Programmierwerkzeuge ist eine Programmkontrolle in der herkömmlichen Art, als man noch Einsicht in den Sourcecode nahm, heute nicht mehr sinnvoll und erfolgversprechend. In der Client/Server-Umgebung wird mit Standardprodukten und Anwendungssystemen von unterschiedlichen Herstellern oder Softwarehäusern gearbeitet, daß selbst die Anwender bei der Fehlerbehebung oder bei kleinsten Änderungen auf die Hilfe Fremder angewiesen sind. Ob dann bei solchen Eingriffen Verstöße gegen die Datensicherheit oder den Datenschutz - durch die Kenntnisnahme geschützter personenbezogener Daten - aufgetreten sind, läßt sich - bei fehlender Protokollierungsmöglichkeit - meist nicht feststellen.

Die Datenverarbeitung wird also zunehmend unübersichtlicher. Vielerorts unternimmt man zwar Anstrengungen, wieder mehr Transparenz in die Datenverarbeitung zu bringen, manche Anwender haben jedoch schon den Überblick verloren oder wollen nicht mehr so viele Ressourcen in die automatisierte Datenverarbeitung stecken und nehmen die oft günstigen Angebote von externen Dienstleistern in Anspruch (Outsourcing).

Anfang 1997 fand in den Vereinigten Staaten eine repräsentative Umfrage zum Thema "Sicherheit und Verfügbarkeit der automatisierten Datenverarbeitung" statt, an der sich etwa 2000 Unternehmen beteiligten (MERIT-Studie, Maximizing the Efficiency of Resources in Information Technology). Das Ergebnis überrascht eigentlich nicht: Mainframe-Architekturen wurden weit zuverlässiger eingeschätzt als Systeme in verteilten Client/Server-Umgebungen. 70 Prozent der Unternehmen, die Großrechner einsetzen, haben Verfügbarkeitswerte von über 99,5 Prozent, hingegen können nur 55 Prozent, die mit Client/Server-Umgebungen arbeiten, mit gleicher Verfügbarkeit aufwarten. Als Gründe für das bessere Abschneiden des Großrechners wurden geringere Ausfallzeiten, als Folge stabilerer Software, und bessere Wiederherstellungsmechanismen genannt. Die Ausfälle der Client/Server-Systeme hatten ihren Grund meist in Anwendungsfehlern, in Fehlern in der Software, in einer unzureichenden Änderungskontrolle oder in der fehlenden Prozeßautomation. Überlastung, vorher nicht erkannte Spitzenlasten und ungenügende Bandbreiten wurden als Gründe für die Netzwerkausfälle genannt. Die Ausfälle bei den Datenbanken resultierten häufig aus unzureichenden Speicherkapazitäten, vollen Protokolldateien oder sonstigen Überlastungen. Die Anwendungsfehler waren auf eine ebenfalls unzureichende Änderungskontrolle, auf Betriebsfehler oder mangelnde Automatisierung zurückzuführen. Führende Softwarehäuser haben deshalb auf diese Erscheinung reagiert und bieten plattformübergreifende Softwareprodukte zur Steuerung und Überwachung dieser Systemumgebungen an. Alle Probleme lassen sich jedoch auch mit diesen Produkten nicht lösen.

Viele, vor allem kleinere Anwender werden jedoch weiterhin mit diesen Problemen leben müssen, weil sie sich keinen Großrechner leisten können und über keine Fachleute verfügen, die eine so komplexe Steuerungs- und Überwachungssoftware bedienen können. Denn der Betreuungsaufwand einer solchen Software ist nicht zu unterschätzen und die Personaldecke in der Informationstechnik ist häufig dünn. Auf den Einsatz der Datenverarbeitung zu verzichten, kann sich bei den gestiegenen Anforderungen bei der Aufgabenerledigung jedoch heute niemand mehr leisten. Das Angebot von externen Dienstleistern kann zwar gewisse Zwänge mildern. Auf der anderen Seite treten bei manchen Institutionen, die unter einem besonderen Schutz stehende Daten verarbeiten, dann wieder datenschutzrechtliche Probleme auf.

19.1.2. Wachsende Bedeutung von Sicherheitszertifikaten

In der heutigen Zeit streben die Menschen nach einer immer größeren Absicherung in allen Lebensbereichen. Neben vielen gesetzlich vorgeschriebenen Pflichtversicherungen wird für alle möglichen und unmöglichen Dinge Vorsorge getroffen. Ziel einer jeden Vorsorgemaßnahme ist es, sich gegen unvorhergesehene Ereignisse abzusichern, um beim Eintritt einer entsprechenden Katastrophe keinen finanziellen Schaden zu erleiden.

In der automatisierten Datenverarbeitung sieht es meistens etwas anders aus. Liegt das daran, daß die Beteiligten die Risiken vieler evidenter Sicherheitsdefizite nicht erkennen oder daß bisher zu wenig Schäden und IT-Katastrophen auf Sicherheitsdefizite zurückzuführen waren? Oder liegt es einfach daran, daß man nicht dazu in der Lage ist, zu erkennen, welche der angebotenen Sicherheitskomponenten die Sicherheit in der Datenverarbeitung entscheidend verbessern können? Viele Anwender sind bei der Beurteilung der Wirksamkeit dieser Sicherheitseinrichtungen sicherlich überfordert. Sie sind auf das Urteil eines sachverständigen Dritten angewiesen. Bei der Vielfältigkeit heutiger Datenverarbeitungsprozesse und der nahezu unbegrenzten Datenvernetzung ist man auf eine Sicherheitszertifizierung, wie sie vom BSI und den vom BSI akkredidierten Zertifizierungsstellen angeboten wird, mehr denn je angewiesen.

Der Wunsch nach einer Sicherheitszertifizierung von IT-Komponenten tauchte schon in den Anfängen des Datenschutzes auf. So beschäftigte man sich bereits auf einer Sitzung des Beirats beim Bayer. Landesbeauftragten für den Datenschutz Anfang der 80er-Jahre mit diesem Thema. Wohl durch die damaligen US-amerikanischen Bestrebungen ermutigt, forderte man, auch in Deutschland von einer unabhängigen Stelle die Sicherheitsfunktionen in IT-Systemen hinsichtlich ihrer Effektivität und Stärke zertifizieren zu lassen. Zu jener Zeit glaubte man noch, ohne größere Probleme kompletten Anwendungssystemen sog. typgeprüfte Sicherheitsplaketten verleihen zu können, die dem Anwender die Systemauswahl wesentlich erleichtern könnten. Heute, fast 20 Jahre danach, ist man - infolge der rasanten technischen Entwicklung - von einer solchen Wunschvorstellung noch immer weit entfernt.

Das Szenario stellt sich vielmehr etwa folgendermaßen dar:

• Der Markt wird von einer Unzahl von Hard- und Softwareprodukten überschwemmt, die alle Möglichkeiten, Informationen zu verarbeiten, eröffnen.
• Über das Internet kann man Verbindung zu einer Vielzahl von Rechnern aufnehmen und sich dort Daten beschaffen. Diese Daten werden im eigenen Rechner gespeichert, nach beliebigen Kriterien ausgewertet und mit anderen Daten zu neuen Qualitäten verknüpft.
• Viele Institutionen sind überfordert, wenn sie abschätzen sollen, in welchen Systemen welche Sicherheitslücken enthalten sind oder durch unsachgemäße Handhabung entstehen können.

Die Datenschutzkontrollinstanzen befinden sich in diesem Spannungsfeld; sie sollen Sicherheitsdefizite aufdecken und Lösungsvorschläge entwickeln. Bei dem breiten Spektrum der Produktpalette der verschiedenen Hersteller ist das ein Unterfangen, das eigentlich nur mit zusätzlichen Experten möglich wäre. Diese Experten müßten über leistungsfähige Instrumente und über Verfahrensweisen verfügen, die es ihnen erlauben, die Funktionalität und Qualität von Sicherheitsfunktionen in den IT-Systemen nach einheitlichen, international anerkannten Kriterien (ITSEC oder Common Criteria) zu bewerten, sprich zu zertifizieren. Seit Anfang der 90er-Jahre gibt es mit dem BSI eine solche staatliche Zertifizierungsstelle.

Leider entspricht die Anzahl bisher sicherheitszertifizierter IT-Produkte nicht dem Bedarf, den Anwender und Kontrollinstanzen haben. So erhebt sich die Frage, wo die Gründe für diese Erscheinung zu suchen sind:

• Einmal dürften wohl die beträchtlichen Kosten, die für eine Zertifizierung zu entrichten sind, viele Unternehmen von einem Gang zur Zertifizierungsstelle abschrecken. Zudem erscheint es fraglich, ob sich ein zertifiziertes Produkt besser verkauft als ein nichtzertifiziertes, da es noch keine verbindlichen Vorgaben (ausgenommen in bestimmten besonders sicherheitsrelevanten Bereichen) gibt, ausschließlich zertifizierte Produkte einzusetzen. Auf der anderen Seite wächst das Bewußtsein in der Öffentlichkeit über die datenschutz- und -sicherheitsmäßigen Risiken in der modernen Informationstechnologie.
• Eine weitere Hemmschwelle, ein Produkt zertifizieren zu lassen, dürfte auch in den langen Zertifizierungszeiten liegen. Es ist keine Seltenheit, daß sich Zertifizierungen über Zeiträume hinziehen, die größer als die üblichen Innovationszyklen der Produkte und länger als die Lebensdauer einer Version sind.
• Schließlich garantiert der Einsatz eines zertifizierten Produktes dem Anwender noch lange nicht die gewünschte Sicherheit. Sie hängt häufig sehr davon ab, unter welchen Rahmenbedingungen ein zertifiziertes Produkt eingesetzt wird. Sogenannte gekapselte Systeme sind äußerst selten anzutreffen.

Um aus diesem Dilemma herauszukommen, müssen unbedingt neue Wege beschritten werden. Folgende Maßnahmen können dabei helfen:

1. Herabsetzung der Zertifizierungszeiten
2. Senkung der Kosten für eine Zertifizierung
3. Zusammenarbeit aller Zertifizierungsinstanzen mit dem Ziel, Sicherheitszertifikate gegenseitig anzuerkennen
4. Inhouse-Zertifizierung durch potente, vertrauenswürdige Anbieter
5. Entwicklung von Sicherheitsstandards, die sich in Anwendungssysteme problemlos integrieren lassen, so daß diese Anwendungssysteme nicht mehr zertifiziert zu werden brauchen. Als Beispiel wären hier Systeme zur Sicherung der Vertraulichkeit übertragener Informationen anzuführen.
6. Einbeziehung von Services, wie Wartung, Fernwartung oder "outgesourcte" Systemdienste in die Zertifizierung.

Viele Anwender stehen heute durch die Aufgabenmehrung unter einem erhöhten Leistungsdruck, der nur mit Hilfe der automatisierten Datenverarbeitung zu bewältigen ist. Sie verfügen jedoch meist nicht über das wünschenswerte Know-how auf dem Gebiet der Systemsicherheit, weil sie personell so spartanisch ausgestattet sind, daß sie sich keine Spezialisten leisten können. Diese Anwender warten geradezu auf Produkte, die von einer vertrauenswürdigen Stelle sicherheitszertifiziert wurden.

Durch die Anerkennung von Sicherheitszertifikaten privater Zertifizierungsstellen durch die amtliche Zertifizierungsbehörde (BSI) wird seit Anfang 1998 ein viel versprechender Weg beschritten, die oben vorgeschlagenen Maßnahmen zeitnah zu realisieren. Es bleibt nur zu hoffen, daß diese positiven Ansätze nicht durch zu hohe Kosten, die auf die Anwender weitergeben werden, im Keime ersticken. Diese Kosten könnten sich kontraproduktiv auf die Bereitschaft, die entsprechenden Schutz- und Vorsorgemaßnahmen zu treffen, auswirken.

19.1.3. Datenschutzfreundliche Technologien

Der zunehmenden Gefährdung der Privatheit des Einzelnen durch die stetig zunehmende Nutzung von IuK-Technik kann nur durch eine weitgehende Reduzierung der Menge der gespeicherten Daten wirksam begegnet werden. Den Ansprüchen der Datenschutzfreundlichkeit können IuK-Systeme demzufolge zukünftig nur noch gerecht werden, wenn sie nach dem Prinzip der Datensparsamkeit arbeiten. Dabei werden so wenig personenbezogene Daten wie möglich erhoben, gespeichert und verarbeitet. Datenvermeidung, d.h. es werden bei der Nutzung von IuK-Systemen keine personenbezogenen Daten erhoben, gespeichert und verarbeitet, ist die stets anzustrebende Form der Datensparsamkeit.

Inhaltlich sind diese Forderungen (siehe schon meine "Überlegungen zu aktuellen Problemen des Datenschutzes" 1996, S. 16f, einseh- und abrufbar auf meiner Homepage) bereits seit längerem in den Datenschutzgesetzen des Bundes und der Länder durch den Grundsatz der Erforderlichkeit festgelegt. Dieser war auch schon bisher bei der Ausgestaltung der IuK-Technik zu beachten, mit der technischen Entwicklung gewinnt er aber zunehmende Bedeutung. Es ist daher sehr zu begrüßen, daß der Grundsatz der Datenvermeidung nunmehr im Informations- und Kommunikationsdienste-Gesetz (IuKDG), dort in Art. 2 Teledienstedatenschutzgesetz (TDDSG), und im Mediendienste-Staatsvertrag (MDStV) ausdrücklich enthalten ist. Danach haben Anbieter von Tele- bzw. Mediendiensten den Nutzern die Inanspruchnahme und Bezahlung entweder vollständig anonym oder unter Verwendung eines Pseudonyms zu ermöglichen, soweit dies technisch möglich und zumutbar ist.

Der Rat für Forschung, Technologie und Innovation, der unter Federführung des Bundeskanzleramts und des Bundesministers für Bildung, Wissenschaft, Forschung und Technologie einen ausführlichen Bericht erstellt hat, betont in Kapitel 2.5 seiner Entschließung zu der Empfehlung an den Europäischen Rat "Europa und die globale Informationsgesellschaft" und zu der Mitteilung der Kommission "Europas Weg in die Informationsgesellschaft: Ein Aktionsplan" (Deutscher Bundesrat, Drucksache 776/96, 10.10.1996, Bonn) folgendes: "Den Vorrang verdienen Verfahren, die den Betroffenen ein Höchstmaß an Anonymität gegenüber Netzbetreibern und Dienstleistungsanbietern sichern".

Die europäische Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr (Richtlinie 95/46/EG vom 24. Oktober 1995, Amtsblatt Nr. L 281, S. 31) enthält den Grundsatz, daß eine Verarbeitung personenbezogener Daten nur stattfinden darf, soweit sie im Hinblick auf bestimmte und festgelegte Zwecke notwendig ist. Sie geht deshalb auch von dem Prinzip aus, daß das Recht auf Privatsphäre und Selbstbestimmung dadurch am wirksamsten geschützt wird, daß möglichst keine personenbezogenen Daten erhoben werden. Im Hinblick auf die Umsetzung dieses Grundsatzes fördert die Europäische Kommission die Entwicklung und Anwendung datenschutzfreundlicher Technologien, insbesondere im Rahmen des elektronischen Handels, sowie beispielsweise die Möglichkeit eines anonymen Zugangs zu Netzen und anonyme Zahlungsweisen (Kommissionsvorschlag zum 5. Rahmenprogramm für Forschung und technologische Entwicklung, KOM (97)142 und Mitteilung der Kommission zum elektronischen Handel, KOM (97)157).

In Abschnitt 18.1.6. meines 17. Tätigkeitsberichts habe ich ausgeführt, daß sich der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Datenschutzbeauftragten des Bundes und der Länder mit den Fragen der datenschutzfreundlichen Technologien befaßt und ein entsprechendes Grundsatz- und Arbeitspapier erstellt. Auf der 54. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 23. und 24. Oktober 1997 in Bamberg haben die Datenschutzbeauftragten den Abschlußbericht des Arbeitskreises zum Thema "Datenschutzfreundliche Technologien" zustimmend zur Kenntnis genommen.

In dem unter meiner Federführung erstellten Teil I (als Grundsatzbericht) wird

• verdeutlicht, in welchem Umfang die Nutzung moderner Techniken, z. B. in Computernetzen, Chipkartensystemen oder elektronischen Medien, umfangreiche elektronische Spuren hinterläßt, durch die Verhaltens- und Verbraucherprofile bis hin zu kompletten Persönlichkeitsbildern gewonnen werden können, und
• ausgeführt, wie und wo sich die Speicherung und Verarbeitung personenbezogener Daten minimieren läßt, z.B. durch Einsatz von kryptografischen Verfahren (Verschlüsselungsver-fahren) und der Anwendung von Anonymisierungs- und Pseudonymisierungstechniken. An Hand mehrerer Beispiele wird aufgezeigt, welche Möglichkeiten dazu bestehen, u.a. im Medienbereich, bei elektronischen Zahlungsverfahren, im Gesundheitsbereich und im Bereich Transport und Verkehr.

Der unter Federführung meiner Kollegin aus Nordrhein-Westfalen erstellte Teil II befaßt sich speziell mit "Datenschutzfreundlichen Technologien in der Telekommunikation".

Das Grundsatzpapier "Datenschutzfreundliche Technologien" steht auf meiner Homepage zum Abruf bereit. Der Vorsitzende des AK Technik hat die gesamte Ausarbeitung in einer Broschüre, die auch bei meiner Geschäftsstelle angefordert werden kann, herausgegeben.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder faßte zu dem Thema "Datenschutzfreundliche Technologien" eine Entschließung, mit der sie sich sowohl an den Gesetzgeber wie auch an Hersteller und Anbieter von IuK-Systemen wendet und diese auffordert,

• die Verwendung datenschutzfreundlicher Technologien durch entsprechende gesetzliche Rahmenbedingungen zu forcieren und
• bei der Konzeption von IuK-Systemen von vornherein auf eine konsequente Minimierung der Verarbeitung und Speicherung personenbezogener Daten zu achten.

Außerdem fordert die Konferenz in der Entschließung, daß Informations- und Kommunikationssysteme (IuK-Systeme) schon in der Konzeptionsphase durch Einsatz intelligenter Technik und Organisation datenschutzfreundlich gestaltet werden. Der Text der Entschließung ist diesem Tätigkeitsbericht als Anlage (Anlage 12) beigefügt.

19.1.4. Einsatz kryptografischer Verfahren

Allgemeines

Auch in diesem Berichtszeitraum wurde mir häufig die Frage gestellt, wie schutzwürdige Daten bei der Speicherung auf Festplatten (z.B. in Laptops und Notebooks), aber ganz besonders bei der Übertragung über Datennetze gegen eine unbefugte Kenntnisnahme und Veränderung geschützt werden können. Insbesondere vor dem Hintergrund der dramatisch zunehmenden internen und auch hausübergreifenden Vernetzung, der Anbindung von Außenstellen an hauseigene DV-Netzwerke und der Einrichtung von Telearbeitsplätzen kommen der Sicherstellung der Authentizität und der Vertraulichkeit der Kommunikationsinhalte sowie der Sicherstellung der Datenintegrität bei einem Übertragungsvorgang über fremde Datenleitungen besondere Bedeutung zu.

Es ist festzustellen, daß

• die Datennetze von sich aus keine Sicherheitsmechanismen bereitstellen, mit denen Authentizität, Integrität und Vertraulichkeit gewährleistet werden können,
• Daten bei Speicherung und bei Übertragung nur durch den Benutzer selbst und durch Anwendung geeigneter kryptografischer Verfahren (Verschlüsselungstechniken) vor unbefugter Kenntnisnahme und vor unbefugter Veränderung wirksam geschützt werden können und
• es in der Bundesrepublik Deutschland keine gesetzliche Regelung bzgl des Einsatzes kryptografischer Verfahren gibt, er also zulässig ist.

Kryptodebatte

In der ersten Hälfte des Berichtszeitraums wurde bundesweit eine heftige Diskussion, die sog. Kryptodebatte oder Kryptokontroverse, um ein eventuelles Kryptografiegesetz in der Bundesrepublik geführt.

Dabei ging es um das Für und Wider einer staatlichen Reglementierung des Kryptografieeinsatzes in der Form, daß nur solche kryptografischen Produkte zur Verfügung stehen sollten bzw. verwendet werden dürften, die durch staatliche Stellen bzw. durch staatlich akkreditierte Privateinrichtungen zugelassen sind. Entscheidend dabei wäre auch, daß die verwendeten Schlüssel entweder als Nachschlüssel (Key Escrow) sicher hinterlegt werden müßten oder eine Rekonstruktion der verwendeten Schlüssel möglich wäre (Key Recovery), um unter bestimmten gesetzlichen Bedingungen für Sicherheitsbehörden zugänglich zu sein.

Anläßlich der Eröffnung des 5. IT-Sicherheitskongresses des Bundesamts für Sicherheit in der Informationstechnik am 28. April 1997 in Bonn bezeichnete der Bundesinnenminister die Kryptografie als eine Schlüsseltechnologie für eine sichere Informationsgesellschaft. Er betonte ausdrücklich, daß die Verschlüsselung zum Schutz der Vertraulichkeit eine unverzichtbare Grundvoraussetzung für die Anwendung der Informationstechnik sei. Gleichzeitig hob er jedoch das Bedürfnis und den Anspruch des Staates nach legalen Überwachungsmöglichkeiten durch die Strafverfolgungs- und Sicherheitsbehörden hervor.

Ich sehe die konkurrierenden Zielsetzungen - eine Lösung dieses Dilemmas vermag auch ich nicht zu nennen. Ich vertrete jedoch die in der Debatte genannten Argumente, nämlich daß

• die Kryptografie ein ausgezeichnetes Mittel zur Wahrung der Privatheit des Einzelnen, zur Wahrung des informationellen Selbstbestimmungsrechts und damit zur Sicherung des Datenschutzes ist,
• ein Kryptoverbot oder eine Kryptoeinschränkung die Zielrichtung nach Kriminalitätsbekämpfung verfehlen würde, weil sie praktisch nicht durchsetzbar wären und
• eine Schlüsselhinterlegung ebenso wie Methoden zur Schlüsselwiedergewinnung abzulehnen sind, weil dadurch zusätzliche Risiken für die Wahrung der Vertraulichkeit, der Authentizität und der Integrität entstünden und solche Maßnahmen den sicherheitsphilosophischen Grundaspekten der Public-Key-Systeme (Privater Schlüssel, Öffentlicher Schlüssel) zuwiderlaufen und diese insgesamt in Frage stellen würden.

Auch die Enquete-Kommission des Deutschen Bundestages "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" kommt in ihrem Vierten Zwischenbericht zum Thema Sicherheit und Schutz im Netz (Drucksache 13/11002, 22.06.1998, Bonn, S. 69) vom 22.06.1998 zu den gleichen Ansichten. Im übrigen vertritt die Kommission die Auffassung, daß "alle Maßnahmen und Hemmnisse, die einer breiten Nutzung von Verschlüsselungsverfahren entgegenwirken, vermieden und abgebaut werden müssen. Darüber hinaus sollte die breite Nutzung kryptografischer Verschlüsselungsmethoden aktiv unterstützt und gefördert werden. In diesem Zusammenhang sind Bund und Länder aufgefordert, geeignete Verschlüsselungsmethoden systematisch in ihrem elektronischen Datenverkehr einzusetzen." Diese Einschätzung macht die Kommission in ihrem Schlußbericht zum Thema Deutschlands Weg in die Informationsgesellschaft (Drucksache 13/11004, 22.06.98, Bonn, S. 14 ff.) vom 22.06.98 noch deutlicher, in dem sie schreibt: "... Eine Beschränkung des Gebrauchs von Verschlüsselungstechniken ist nach derzeitigem Erkenntnisstand daher abzulehnen." Außerdem hebt die Kommission hervor, daß "...IT-Sicherheit nicht nur als Kostenfaktor dargestellt werden" sollte, sondern "vielmehr ... als Leistungsmerkmal von IT-Systemen und ... als Wettbewerbsfaktor ..." gesehen werden sollte. Beide Berichte sind im Internet unter der Adresse "http://www.bundestag.de/gremien/enquete/14344x.htm verfügbar. In diesem Zusammenhang sei auch auf das Papier "Datenschutzfreundliche Technologien" des AK Technik verwiesen.

Die Debatte ist derzeit etwas abgeflaut, sie ist aber noch nicht abgeschlossen.

Praktische Anwendungsformen

Im Abschnitt 18.1.4 meines 17. Tätigkeitsberichts von 1996 bin ich auf die verschiedenen Formen der Verschlüsselungstechniken (symmetrische Verschlüsselung, asymmetrische Verschlüsselung, hybride Verschlüsselung) eingegangen und habe deren Funktionsweisen und Unterschiede näher beschrieben.

In der Praxis kann der Einsatz kryptografischer Verfahren auf zwei grundlegend verschiedene Arten erfolgen:

• Werden die Daten permanent verschlüsselt im DV-System gespeichert, so entfällt der Bedarf für eine Verschlüsselung speziell für Übertragungszwecke und die Daten können grundsätzlich ohne weiteres übertragen werden. Dieses Vorgehen ist bei besonders schutzwürdigen Daten zu empfehlen.
• Werden die Daten erst und nur für die Übertragung verschlüsselt, so kann der Verschlüsselungsvorgang
• einerseits bewußt durch den Anwender oder
• andererseits automatisch durch entsprechende Software, durch Zusatzgeräte (Kryptoprozessor, Kryptierkarte, Kryptierbox) oder durch Netzkopplungselemente (Netzkarten, Router)

durchgeführt werden. Die bewußt durch den Anwender angestoßene Verschlüsselung ermöglicht zwar eine Differenzierung nach Schutzwürdigkeit der zu übertragenen Daten, birgt aber die Gefahren der Fehlentscheidung und des Vergessens. Die automatisch angestoßene Verschlüsselung bietet insoweit eine höhere Zuverlässigkeit und dürfte auch als anwenderfreundlicher betrachtet werden. In der Regel kann auch davon ausgegangen werden, daß Verschlüsselungshardware weniger Rechnerleistung verbraucht und schneller, aber teurer als Verschlüsselungssoftware ist.

Grundsätzlich gilt natürlich, daß der Einsatz von Kryptografieprodukten i.d.R. bei allen Kommunikationspartnern die gleiche bzw. eine kompatible Ausstattung bzgl. dieser Kryptografieprodukte bedingt. Es gibt mittlerweile aber auch Lösungen, die durch entsprechende Voreinstellungen sowohl eine verschlüsselte Kommunikation mit vordefinierten Partnern als auch eine unverschlüsselte Kommunikation mit anderen Partnern ermöglichen. Gerade solche Lösungen erscheinen für die Verwendung in Netzwerken der öffentlichen Verwaltung, die auch Kommunikation z.B. mit Bürgern betreiben wollen, besonders geeignet.

Die am weitest verbreiteten und in entsprechender Software bzw. Hardware verwendeten Verschlüsselungsalgorithmen stammen derzeit noch aus den USA. Diese Implementierungen verwenden aber einerseits kleine Schlüssellängen, die keine hinreichende Sicherheit mehr bieten, und andererseits unterliegt der Auslandsvertrieb dieser Produkte mit größeren und damit hinreichenden Schlüssellängen strengen US-Exportrestriktionen. Ausnahmegenehmigungen wurden und werden allerdings nur erteilt für bestimmte Branchen bzw. wenn entsprechende Key Recovery-Mechanismen durch den Hersteller dem zuständigen US-Wirtschaftsministerium zur Verfügung gestellt werden.

Wie oben dargestellt, lehne ich derartige Key Recovery Methoden ab. Aber auch wenn die vorhandenen Werkzeuge bekanntermaßen Schwachstellen aufweisen, so möchte ich deutlich darauf hinweisen, daß deren derzeitige Nutzung immer noch besser ist als überhaupt keine Schutzmechanismen einzusetzen.

Erfreulich ist in diesem Zusammenhang, daß eine Reihe von Behörden und Einrichtungen Bayerns bereits von sich aus dies erkannt und trotz der zusätzlichen Kosten nach für ihre Bedürfnisse geeigneten Lösungen suchen und gesucht haben und z.T. bereits einsetzen.

Zunehmend stehen auf dem Markt auch deutsche und europäische Kryptografieprodukte sowohl auf Hardware- als auch auf Softwarebasis zu erschwinglichen Preisen und für alle möglichen Anforderungen zur Verfügung. Es sind auch Kryptografieprodukte erwerbbar, deren Leistungsumfang sich nicht nur auf die Verschlüsselung von Daten beschränkt, sondern mit denen auch digitale Signaturen angefertigt und die in Kombination mit Chipkarten (als starkem Authentifizierungshilfsmittel und ggf. sicherem Speicher der elektronischen Schlüssel) verwendet werden können. In diesem Zusammenhang sei auf das Projekt BASILIKA im Rahmen von Bayern Online (Nr. 19.3.1) hingewiesen.

Digitale Signaturen

Neben dem oben dargestellten Schutzziel der Vertraulichkeit sind die Schutzziele der Integrität und der Authentizität bei einer Datenübertragung über offene Netze von besonderer Bedeutung, d.h.

• zu gewährleisten, daß der Empfänger die vom Absender übermittelte Information unverändert erhält bzw. unzulässige Veränderungen zumindest erkennen kann;
• zuverlässig erkennen zu können, daß eine Information auch tatsächlich von dem angegebenen Absender stammt;
• bei Bedarf eine Garantie zu erhalten, daß jemand eine bestimmte Nachricht tatsächlich verfaßt, versandt bzw. erhalten hat (Unabstreitbarkeit).

Diesen Aspekten wird mit dem Gesetz zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz - IuKDG) vom 13. Juni 1997 und hier speziell mit dem Artikel 3, Gesetz zur digitalen Signatur (Signaturgesetz - SigG), sowie der dazu erlassenen Verordnung zur digitalen Signatur (Signaturverordnung - SigG) vom 22. Oktober 1997 Rechnung getragen. Zweck des Signaturgesetzes ist, "Rahmenbedingungen für digitale Signaturen zu schaffen, unter denen diese als sicher gelten und Fälschungen oder Verfälschungen von signierten Daten zuverlässig festgestellt werden können." (§ 1 Abs. 1 SigG).

Digitale Signaturen basieren auf dem Konzept der Public-Key-Kryptosysteme. Hierbei verfügt jeder Benutzer über ein Schlüsselpaar, bestehend aus einem nur ihm bekannten Privaten Schlüssel und einem publizierten Öffentlichen Schlüssel. Zur Signierung eines digitalen Dokuments wird zunächst über komplexe mathematische Verfahren (sog. Hashverfahren) aus dem zu signierenden Dokument ein Wert fester Länge (sog. Hashwert) errechnet. Dieser Hashwert wird sodann mittels des Privaten Schlüssels und eines Signaturverfahrens verschlüsselt und dem Dokument angefügt. Dies bedeutet, daß die digitale Signatur eines Benutzers für jedes zu signierende Dokument separat berechnet wird und demzufolge bei zwei verschiedenen Dokumenten im Ergebnis auch unterschiedlich aussieht.

Der Empfänger des signierten Dokumentes kann nun unter Anwendung des gleichen Signaturverfahrens mit dem Öffentlichen Schlüssel des Absenders den verschlüsselten Hashwert des Dokuments entschlüsseln. Stimmt der entschlüsselte Hashwert mit dem durch den Empfänger aus dem übersandten Dokument ermittelten Hashwert überein, so kann der Empfänger sicher sein, daß das Dokument unverändert übermittelt wurde und daß das Dokument vom Inhaber des Privaten Schlüssels, der zu dem ihm bekannten Öffentlichen Schlüssel gehört, stammt. Ergibt dieser Vergleich keine Übereinstimmung, so wurde das Dokument während des Transports entweder verändert oder es stammt nicht von dem angenommenen Absender.

Es ist damit aber für den Empfänger einer Nachricht noch nicht zweifelsfrei nachgewiesen, daß das Schlüsselpaar auch wirklich zu dem angenommenen Absender gehört. Diese Unsicherheit zu beseitigen, ist ein Ziel des Signaturgesetzes.

Aus technischer Sicht hängt die Sicherheit einer digitalen Signatur primär von der Stärke der zugrunde liegenden Kryptoalgorithmen und der Umgebung ab, in der das Schlüsselpaar, Öffentlicher und zugehöriger Privater Schlüssel, erzeugt und angewendet werden. Das Signaturgesetz, die Signaturverordnung und die zugehörigen Bekanntmachungen tragen diesen Aspekten durch die Vorgaben Rechnung, daß

• eine digitale Signatur auf asymmetrischen Kryptoverfahren (Public Key-Systemen) basiert,
• diese Kryptoverfahren bestimmte Kriterien erfüllen müssen (siehe Bekanntmachung der Regulierungsbehörde für Telekommunikation und Post zur digitalen Signatur nach Signaturgesetz und Signaturverordnung vom 09.02.1998, Bundesanzeiger Nr. 31, 14.02.98),
• nur zertifizierte technische Einrichtungen zur Erzeugung des Schlüsselpaares angewendet und
• nur zertifizierte technische Einrichtungen zur Speicherung und Anwendung des Privaten Schlüssels verwendet werden dürfen.

Die Prüfung der technischen Komponenten hat dabei nach den "Kriterien für die Bewertung der Sicherheit von Systemen in der Informationstechnik" zu erfolgen.

Aus organisatorischer Sicht hängt die Sicherheit einer digitalen Signatur davon ab, wie zuverlässig die Zuordnung Benutzer und Privater Schlüssel erfolgt und wie sorgfältig der Benutzer mit seinem Privaten Schlüssel umgeht. Hinsichtlich dieser Aspekte bestimmen das Signaturgesetz und die Signaturverordnung eine IT-Sicherheitsinfrastruktur, die aus

• der Regulierungsbehörde für Telekommunikation und Post (RegTP),
• Zertifizierungsstellen,
• anerkannten Prüfstellen und
• dem Antragsteller (Teilnehmer)

besteht. Ein Hauptelement in dieser IT-Sicherheitsinfrastruktur ist eine zweistufige Zertifizierungsstruktur mit einer nationalen Wurzelzertifizierungsstelle. Auch die Aufgaben der einzelnen Komponenten der IT-Sicherheitsinfrastruktur sind festgelegt.
So haben die Zertifizierungsstellen, in der Literatur auch häufig Trust Center, Vertrauensstellen, Trusted Third Parties (TTP) und Certification Authorities (CA) genannt, gem. Signaturgesetz und Signaturverordnung folgende Aufgaben:

• zweifelsfreie Identifikation und Registrierung eines Antragstellers
• ggf. Erzeugung des Schlüsselpaares für den Antragsteller
• ggf. Ausgabe der Schlüssel an den Antragsteller
• Zuordnung eines Öffentlichen Schlüssels zu einer Person (Personalisierung und ggf. Pseudonymisierung)
• Zertifizierung des Öffentlichen Schlüssels
• Betrieb und Pflege von öffentlichen Schlüsselverzeichnissen
• Sperrung von Zertifikaten
• Versehen digitaler Daten mit einem Zeitstempel

Ein vom Antragsteller selbst erzeugter Öffentlicher Schlüssel kann auch durch eine Zertifizierungsstelle i.S.d. Signaturgesetzes zertifiziert werden, allerdings nur dann, wenn der Antragsteller zur Erzeugung des Schlüsselpaares sowie zur Speicherung und Anwendung des Privaten Schlüssels zertifizierte technische Komponenten verwendet. Für einen privaten Antragsteller dürfte dies eher die Ausnahme sein.

Durch die zweifelsfreie Identifizierung und Registrierung eines Antragstellers sowie durch die Zertifizierung des zugehörigen Öffentlichen Schlüssels, d.h. digitale Signierung des Öffentlichen Schlüssels durch die Zertifizierungsstelle, wird es für einen Dritten zweifelsfrei möglich, die Authentizität einer digitalen Signatur und damit einer signierten Nachricht festzustellen.

Der Sachstand bei der Umsetzung des Signaturgesetzes (zum Zeitpunkt des Redaktionsschlusses für diesen Tätigkeitsbericht)

Die Regulierungsbehörde für Telekommunikation und Post (RegTP) hat am 01.01.1998 ihre Arbeit aufgenommen.

Als Prüfstellen wurden von der Regulierungsbehörde bereits einige Stellen

• für die Bestätigung von technischen Komponenten (§ 17 Abs. 4 SigG und § 14 Abs. 4 SigG),
• für die Prüfung und Bestätigung der Umsetzung von Sicherheitskonzepten (§ 4 Abs. 3 Satz 3 SigG) und
• für die Prüfung der Sicherheit von technischen Komponenten (§ 14 Abs. 4 SigG und § 17 Abs. 1 SigV)

anerkannt bzw. vorläufig anerkannt. Die Liste der anerkannten und vorläufig anerkannten Prüfstellen ist im Bundesanzeiger veröffentlicht und steht auf der Homepage der Regulierungsbehörde unter der Adresse "http://www.regtp.de" zum Abruf bereit.

Die erforderlichen Maßnahmenkataloge (mit Stand jeweils zum 15.07.1998) für Zertifizierungsstellen (§ 12 Abs. 2 SigV) und für technische Komponenten (§ 16 Abs. 6 SigV) sind mittels der Bekanntmachung vom 14. September 1998 im Bundesanzeiger veröffentlicht und stehen ebenfalls auf der Homepage der Regulierungsbehörde zum Abruf bereit.

Eine Reihe von Unternehmen haben die Zulassung als Zertifizierungsstelle beantragt. Man rechnet damit, daß Ende 1998 die ersten Zulassungen gem. Signaturgesetz erfolgen. Wann die entsprechenden technischen Komponenten auf dem Markt zur Verfügung stehen werden, läßt sich schwer vorhersagen.

Zusammenfassend bedeutet dies, daß eine digitale Signatur nach dem Signaturgesetz erst bei Vorliegen von Zertifizierungsstellen und von zertifizierten technischen Komponenten realisierbar ist. Über diesen Zeitpunkt können keine Angaben gemacht werden.

Entgegen häufig anzutreffenden Meinungen ist mit dem Signaturgesetz die digitale Signatur der handschriftlichen Unterschrift nicht gleichgestellt. Es gilt lediglich die Sicherheitsvermutung der zertifizierten digitalen Signatur nach § 1 Abs. 1 SigG. Um das Ziel der rechtlichen Gleichstellung mit der Schriftform des § 126 BGB zu erreichen, müßten noch erhebliche Anstrengungen durch den Gesetzgeber unternommen werden, wie auch aus dem Vierten Zwischenbericht der Enquete-Kommission des Deutschen Bundestages "Zukunft der Medien in Wirtschaft und Gesellschaft - Deutschlands Weg in die Informationsgesellschaft" zum Thema Sicherheit und Schutz im Netz (Drucksache 13/11002, 22.06.1998, Bonn, S. 61) vom 22.06.1998 hervorgeht: "... Mindestens 3907 Regelungen in 908 rechtlichen Vorschriften verlangen heute die Schriftform mit eigenhändiger Unterschrift auf einer Papierurkunde. ..."

Vor dem Ziel, ggf. Verwaltungshandlungen (Anträge, Bescheide, usw.) auch elektronisch abwickeln zu können, ist dies noch eine beträchtliche Einschränkung bzgl. Rechtsgültigkeit und Verbindlichkeit und damit der Nutzbarkeit von digitalen Signaturen auch im Bereich der öffentlichen Verwaltung. In diesem Zusammenhang verweise ich auf den Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über gemeinsame Rahmenbedingungen für elektronische Signaturen (KOM(1998) 297 endg., Brüssel) vom 13.05.1998. Nach Art. 5 dieses Richtlinienvorschlages soll die digitale Signatur Rechtsgültigkeit haben und auch, bei Vorliegen entsprechender Voraussetzungen, einer handschriftlichen Unterschrift gleichgestellt und vor Gericht als Beweismittel zugelassen werden.

Nach § 1 Abs. 2 SigG ist die Anwendung anderer Verfahren für digitale Signaturen freigestellt. Eine Sicherheitsvermutung wie nach § 1 Abs. 1 SigG im Sinne einer Beweiserleichterung im Wege eines vorweggenommenen Anscheinsbeweises bei einer Streitigkeit vor Gericht ist bei Nutzung derartiger Verfahren aber nicht gegeben. Verfahren zur Erzeugung von digitalen Signaturen sind hinlänglich bekannt, erprobt und verfügbar. Als ein Beispiel sei hier nur das aus dem Internet bekannte Pretty Good Privacy (PGP) genannt. Es gibt auch bereits Verfahren und Systeme, die auf Chipkartenbasis operieren, d.h. bei denen eine Chipkarte als Träger des Privaten Schlüssels und gleichzeitig als starkes Authentifizierungsmerkmal ("Wissen und Besitz") fungiert.

Durch kommerziell betriebene Trust Center besteht auch seit geraumer Zeit die Möglichkeit, digitale Signaturen zertifizieren zu lassen; allerdings nicht mit der gesetzlichen Beweiserleichterungswirkung des § 1 Abs. 1 SigG, da es sich bei einer solchen Zertifizierung - jedenfalls derzeit - nicht um eine solche nach dem Signaturgesetz handelt. Gerade geschlossene Kommunikationsgruppen (z.B. Verwaltungsbereiche) können so, zumindest übergangsweise, entweder eine vorhandene Zertifizierungsinfrastruktur nutzen oder sie könnten auch alternativ eine eigene Zertifizierungsinfrastruktur aufbauen und damit einen erheblichen Zugewinn an Sicherheit in ihrer Kommunikation erlangen (siehe hierzu auch den Abschnitt Nr. 19.3.1, Bayern Online - Sicherheitsarchitektur BASILIKA).

Der mindestens ebenso bedeutsame Aspekt der Vertraulichkeit in offenen Netzen wird durch das IuKDG leider nicht berührt. Bezüglich der Vertraulichkeit obliegt es dem Benutzer der IuK-Technik nach wie vor selbst, geeignete Maßnahmen zu ergreifen, zumal auch die benutzten Netzwerke i.d.R. keine diesbezüglichen Funktionalitäten bereitstellen.

Die meisten verfügbaren Publik-Key-Verfahren bieten jedoch neben der Funktionalität zur Erzeugung digitaler Signaturen auch eine Option zur Verschlüsselung der Daten, so daß bei Nutzung dieser Funktionalität auch dem Aspekt der Vertraulichkeit Rechnung getragen werden kann.

Praxisbeispiel: Speicherung sensibler Daten auf PC

Im März 1998 erschienen Presseberichte zu einem Vorfall im Thüringischen Innenministerium, bei dem ein Personal Computer, auf dem besonders schutzwürdige Daten gespeichert waren, abhanden gekommen war. In Schreiben an die bayerischen Ministerien und die Bayerische Staatskanzlei habe ich daher insbesondere auf folgende Aspekte hingewiesen:

• Besonders schutzwürdige Daten sollten nur auf zentralen Servern bzw. Zentralrechnern und nicht auf lokalen Festplatten von Personal Computern (PC) gespeichert werden.
• Sollen oder müssen im Ausnahmefall besonders schutzwürdige Daten dennoch lokal auf PC gespeichert werden, so sollten diese Daten, die betreffenden Verzeichnisse oder die ganze Festplatte verschlüsselt werden.
• Die Verwendung von Wechsel-Festplatten, die vom PC getrennt zugriffssicher aufbewahrt und nur bei Bedarf in den PC eingebracht werden können, ist ebenfalls angeraten.

Diese Forderungen möchte ich an dieser Stelle erneut herausstellen und auch darauf hinweisen, daß sie in ganz besonderer Weise für mobile Geräte (Laptops, Notebooks, usw.) gelten.

19.1.5. Sicherheitsaspekte bei der Nutzung des Internets

Datenspuren

Wie die "Arbeitsgruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten" der Europäischen Kommission in ihrer Empfehlung 3/97 feststellt, sind sich die meisten Internet-Benutzer über die durch ihre Online-Tätigkeit für ihre Privatsphäre entstehenden Risiken jedoch nicht bewußt. Insbesondere nicht darüber, daß mit jeder Nutzung des Internet umfangreiche Datenspuren hinterlassen werden.

Erfolgt der Zugang zum Internet aus einem mit einem Firewall-System und Proxy-Diensten abgesicherten Netzwerk heraus, so fallen je nach Konfiguration dieses Firewall-Systems dort eine Vielzahl an rechnerbezogenen Protokollierungsdaten an. Dies ist normalerweise der Fall bei lokalen Netzwerken und bei Inanspruchnahme eines Providers. Ist der benutzte Personal Computer einer bestimmten Person zuordenbar, so sind diese Daten personenbezogen und eventuelle Auswertungen dieser Protokolldaten haben sich an der strikten Zweckbindung zu orientieren und auf die Mitbestimmungsrechte der Personalvertretung wird hingewiesen. Im Internet selbst tritt bei einer derartigen Konstruktion nur die Rechneradresse des Proxy-Servers auf.

Die Erfassung persönlicher Online-Daten kann somit erfolgen durch

• eigene Firewall-Systeme;
• Provider, die Zugangs- und Verbindungsdaten zu Abrechnungszwecken speichern - teilweise erfolgt dies im Ausland und ist dem Geltungsbereich des deutschen Rechts entzogen;
• Logfiles auf den besuchten Zielrechnern im Internet;
• unbemerkte Datenübertragung durch die verwendete Browser-Software vom eigenen zum Zielrechner im Internet (Cookie-Problematik);
• Überwachungsprogramme auf Zielrechnern im Internet, die so persönliche Nutzungsprofile erstellen, sofern die persönlichen Daten des Nutzers bekannt sind oder ermittelt werden können;
• Index-Suchmaschinen über Newsgroups, um so z.B. alle Beiträge einer Person zu finden;
• leichtfertige und auch bewußte Preisgabe eigener persönlicher Daten, die dann mit ursprünglich einem bestimmten Benutzer nicht zuordenbaren Daten verknüpft werden können.

Dadurch entstehen Risiken für das informationelle Selbstbestimmungsrecht in Form

• der Schaffung von Möglichkeiten der Überwachung, in dem personenbezogene Daten ohne Einwilligung des Nutzers preisgegeben und Kommunikationsvorgänge überwacht werden können,
• der Profilbildung durch Verknüpfung der anfallenden Datenspuren und
• der Intransparenz der Datenerhebung und -verarbeitung für den Betroffenen.

Systemdatenschutz

Vom Internet selbst werden nur wenige Sicherheits- und Schutzmechanismen bereitgestellt. Dies liegt am derzeit verwendeten IP Protokoll der Version 4 und natürlich an der Grundkonzeption des Internet an sich, das zunächst nur für die freie und offene wissenschaftliche Kommunikation gedacht war. Hinzu kommen die Schwächen, Lücken und Fehler in den nutzbaren Diensten. Da Datenpakete im Prinzip von jedermann auf der Übertragungsstrecke ausgewertet werden können, lassen sich unter Ausnutzung dieser Schwächen übertragene Daten (Benutzerkennungen, Paßwörter, sonstige schutzwürdige Daten) mitlesen, verändern, erweitern, fehlleiten oder vernichten und ggf. für weitere Angriffe verwenden.

Sinnvollerweise sollten bereits von den Netzen und der IuK-Technik selbst, wie im Abschnitt "Datenschutzfreundliche Technologien" ausgeführt, Mechanismen bereitgestellt werden, die zumindest die Authentizität und Vertraulichkeit der übertragenen Daten sicherstellen. Vor diesem Hintergrund sind die Bemühungen nach einer Verbesserung des IP Protokolls in Form der Version 6 (IPv6, IPng) zu sehen. Nähere Informationen können z.B. bei der Universität Münster unter der Internet-Adresse "http://www.join.uni-muenster.de" abgerufen werden. Wann IPv6 allerdings realisiert und flächendeckend umgesetzt sein wird, ist derzeit nicht erkennbar.

Selbstdatenschutz

Da die vom Internet bereitgestellten Mechanismen nicht ausreichen, muß der Benutzer selbst entsprechende Maßnahmen ergreifen, um sich und seine Daten zu schützen. Das sind beispielsweise:

• Zurückhaltung bei der Weitergabe von persönlichen Daten wie E-Mail-Adresse, Name, Anschrift, Telefonnummer usw.
• Zurückhaltung, wenn die anzugebenden Daten für den Zweck der gewünschten Dienstleistung überzogen oder unnötig erscheinen
• Verwendung neuer Browser-Versionen (nach angemessener Zeit) und Nutzung der darin enthaltenen Schutz- und Warnmechanismen
• Nutzung verfügbarer kryptografischer Methoden und Techniken wie
• digitale Signatur
• Datenverschlüsselung
• zertifizierte Web-Server
• sichere Protokolle und Technologien (z.B. SSL, S/MIME)
• Soweit möglich anonyme bzw. pseudonyme Nutzung des Internet, z.B. durch Nutzung von Anonymisierungsservern und "Remailern", die einen pseudonymen Versand von E-Mail ermöglichen
• Löschung der Cookie-Dateien unmittelbar nach Ende einer Internet-Sitzung oder zumindest Benutzung der im verwendeten Browser evtl. vorhandenen Option, bei Anlegen eines Cookies eine Meldung am Bildschirm auszugeben
• Nutzung der im verwendeten Browser evtl. vorhandenen Optionen zur Sicherheitseinstellung bzgl. ActiveX und JAVA-Applets ggf. bis dahin, eine Ausführung derartiger Komponenten nicht zuzulassen.

Es sei auch auf die von der spanischen Datenschutzkommission herausgegebenen Empfehlungen für Internet-Benutzer (http://www.ag-protecciondatos.es), die Feststellungen im Vierten Zwischenbericht der Enquete-Kommission Zukunft der Medien in Wirtschaft und Gesellschaft des Deutschen Bundestages zum Thema Sicherheit und Schutz im Netz vom 22. Juni 1998 sowie auf den Entwurf der Richtlinien für den Datenschutz im Internet der Projektgruppe zum Datenschutz (CJ-PD) des Europarats vom 13. Mai 1998 (http://www.coe.fr/dataprotection (externer Link)) hingewiesen.

Technischer Datenschutz

Bereits in meinem letzten Tätigkeitsbericht habe ich in Abschnitt 18.1.1 grundsätzliche Forderungen bzgl. notwendiger Basissicherheitsmaßnahmen für den technischen Datenschutz erhoben. An dieser Stelle sei auch nochmals auf die Orientierungshilfe des AK Technik zu "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" hingewiesen, die auch auf meiner Homepage abrufbar ist.

19.2. Prüfungstätigkeit

19.2.1. Kontrolle und Beratungen

Die Kontrolle der technischen und organisatorischen Datensicherheitsmaßnahmen war erneut einer der Schwerpunkte im Berichtszeitraum.

Folgende Dienststellen habe ich nach Art. 7 BayDSG (teilweise in Verbindung mit § 9 BDSG und Anlage) im Berichtszeitraum kontrolliert:

• AOK-Datenannahme und Verteilungsstelle (DAV)
• AOK-Dienstleistungszentrum Regensburg
• AOK-Rechenzentrum Nordbayern
• Bayer. Staatsministerium für Ernährung, Landwirtschaft und Forsten (Landwirtschaftsrechenzentrum)
• Bayerisches Rotes Kreuz (Rettungsleitstelle Passau)
• Fachhochschule Würzburg-Aschaffenburg-Schweinfurt
• Flüchtlingsamt München
• Gemeinde Bayrischzell
• Gemeinde Seefeld
• Landesversicherungsanstalt Oberfranken und Mittelfranken
• Landkrankenhaus Coburg
• Landratsamt Cham
• Landratsamt Freyung-Grafenau
• Landratsamt Passau
• Registerstelle des Epidemiologischen Krebsregisters in Bayern
• Staatliches Schulamt Weissenburg-Gunzenhausen
• Staatsanwaltschaft beim Landgericht Fürth
• Stadt Coburg
• Städtisches Krankenhaus München-Bogenhausen
• Städtisches Krankenhaus München-Harlaching
• Städtisches Krankenhaus München-Neuperlach
• Tumordokumentationsstelle des Klinikums der Universität Regensburg
• Tumorregister im Zentralklinikum Augsburg
• Tumorzentrum der Universität Erlangen-Nürnberg
• Tumorzentrum der Universität Würzburg
• Vertrauensstelle des Epidemiologischen Krebsregisters in Bayern

Die Prüfungen bei den städtischen Krankenhäusern in München betrafen hauptsächlich die Datensicherheitsmaßnahmen im Krankenhausinformationssystem SAP R/3.

Beim Landratsamt Cham wurden insbesondere die für das Bürger- und Kommunale Behördennetz getroffenen technischen und organisatorischen Maßnahmen des Datenschutzes geprüft.

Zusätzlich habe ich wieder zahlreiche Dienststellen hinsichtlich der Datensicherheit beraten, wobei vor allem die Gefahren bei einem Öffnung der lokalen Netze nach außen (insbesondere bei einem Internetanschluß) und die dabei zu ergreifenden Sicherheitsmaßnahmen im zunehmenden Maße Gegenstand der Beratungen waren. Auch bei der Entwicklung geeigneter Notfallkonzepte für die lokalen Netze wird meine Geschäftsstelle immer häufiger beteiligt.

19.2.2. Ergebnisse der Kontrolltätigkeit

Die weiterhin angespannte Haushaltslage zwingt viele Dienststellen zum Sparen. Trotzdem bemühten sich die meisten kontrollierten Dienststellen, den Datenschutz und die Datensicherheit zu gewährleisten. So konnte ich einigen Dienststellen bescheinigen, daß die Datensicherheit nahezu vorbildlich gewährleistet ist. Allerdings mußte ich auch in diesem Berichtszeitraum wieder einige schwerwiegende Mängel feststellen. Auf einige möchte ich etwas ausführlicher eingehen:

Verschlüsselung bei der Datenfernübertragung

Sensible personenbezogene Daten, die über öffentliche Leitungen und für jedermann zugängliche Netze übertragen werden, müssen verschlüsselt werden, da die Vertraulichkeit der Informationen sonst nicht gewährleistet ist und die Daten für mißbräuchliche Zwecke aufgezeichnet und verwendet werden könnten. Dies gilt auch für das Behördennetz, da auch hier die Vertraulichkeit der Informationen in den Knotenrechnern des Netzbetreibers oder eventueller Subunternehmer nicht gewährleistet ist. Es gibt eine Reihe von wirksamen Kryptoverfahren, die sich dafür eignen. Insbesondere sollte der Einsatz von Hardwarekomponenten bedacht werden.

Reaktion des Systems auf Fehlversuche

Nach mehrmaliger (höchstens fünfmaliger) mißbräuchlicher oder ungültiger Anmeldung im Netzwerk in ununterbrochener Reihenfolge muß bei allen Clients der Anmeldedialog abgebrochen und das entsprechende Endgerät "out of service" gesetzt bzw. die betreffende Benutzerkennung gesperrt werden. Den Ursachen für fehlerhafte Anmeldeversuche ist nachzugehen, damit Vorsorge gegen etwaige Wiederholungsfälle getroffen werden kann.

Entsorgung von Festplatten

Für die Wartung von Festplatten außer Haus müssen zusätzliche Regelungen getroffen werden, in denen die erforderlichen Sicherheitsmaßnahmen (z. B. physikalisches Löschen der Daten bzw. Vernichtung der Datenträger) beschrieben sind. Auch die Einschaltung von Subunternehmern und die Weitergabe der Datenträger ins Ausland (ob überhaupt und gegebenenfalls unter welchen Bedingungen) müssen geregelt werden.

Katastrophenvorsorge

Jede datenverarbeitende Stelle (unabhängig von ihrer Größe) muß ein detailliertes Backup-Konzept in Form eines Notfallhandbuches für den Katastrophenfall erstellen, damit die Dauer des Ausfalls der EDV bei einem Notfall minimalisiert wird. Insbesondere sollte die Trennung der zentralen Netzverteilung von den Rechnern (Servern) und die Aufstellung von Ersatzservern in einem eigenen Brandabschnitt bedacht werden.

Ich möchte auch auf die in den vorherigen Tätigkeitsberichten aufgeführten Maßnahmen zur Mängelbeseitigung (z. B. Absicherung von Server- und Netzverteilungsräumen, revisionsfähige Dokumentation der Zugriffsberechtigungen, Paßwortvergabe und -änderung durch den Anwender, Protokollauswertung, Deaktivierung von Modems außerhalb der Benutzung, Bestellung und Einbindung eines internen Datenschutzbeauftragten, Führen eines Anlagen- und Verfahrensverzeichnisses) hinweisen, weil diese noch nicht in dem gebotenen Maße bekannt sind.

19.3. Technische Einzelfragen

19.3.1. Bayern Online

Die Bayerische Staatsregierung fördert seit 1995 aus Privatisierungserlösen im Rahmen des Projektes "Bayern Online" eine Reihe von Telekommunikationsvorhaben. Diese Initiative hat mit ihren Pilotprojekten dazu beitragen, daß moderne Telekommunikationstechnologien in Bayern sowohl der Bevölkerung als auch der Privatwirtschaft und öffentlichen Verwaltung frühzeitig zugänglich wurden. Die Grundlage dafür war die Schaffung eines Telekommunikationsnetzes, das hohe Datenübertragungsraten zuläßt. Durch Ausbau und Erweiterung des bayerischen Hochschulnetzes, das alle 25 bayerischen Hochschulstandorte miteinander verbindet, konnte das erreicht werden.

Bei einem derartigen Netz, das vielen Benutzern auch den Zugang zum Internet ermöglicht, handelt es sich um ein offenes Netz. Der Anschluß von internen Netzen erfordert deshalb eine Reihe von Sicherheitsmaßnahmen, die sowohl eine vertrauliche und verbindliche Kommunikation zulassen als auch die internen Netze gegen unbefugte Eindringlinge abschotten. Bayern Online fördert auch dafür einige Projekte (Health Care Professional Protocol (Telemedizin), BASILIKA), deren Implementierung Voraussetzung dafür ist, daß auch in einem offenen Netz eine vertrauliche Kommunikation möglich ist. Eine Kürzung der Fördermittel für diese Projekte, wie sie von Seiten des Staatsministeriums der Finanzen beabsichtigt ist, halte ich deshalb für unvertretbar.

Sicherheit im Bayerischen Behördennetz (BYBN)

Das aufgrund der Ministerratsbeschlüsse vom 05.03. und 07.05.1996 aufgebaute Bayerische Behördennetz (BYBN) für die Dienststellen des Freistaats Bayern wird derzeit von dem auch für Bayern Online ausgewählten Provider betrieben. Für den Raum München gibt es ein vom Landesamt für Statistik und Datenverarbeitung (LfStaD) betriebenes Teilnetz (Kernnetz), das in das Behördennetz durch einen dort eingerichteten zentralen Übergang integriert ist.

Es sind u.a. nachfolgende Sicherheitsmaßnahmen ergriffen:

• Trennung von anderen Benutzern auf o.a. Overlay-Netz auf OSI-Ebene 2 (Link Layer, Verbindungssicherungsschicht)
• kein Durchschleusen der Teilnehmeradressen
• Konfiguration als geschlossenes Multi-Protokollnetz
• Übergang zum Internet nur an einer zentralen Stelle
• Absicherung dieses Übergangs durch ein Firewall-System
• restriktive Freischaltung von Diensten und Ports
• verbindliche Sicherheitsgrundsätze für alle Teilnehmer
• Einrichtung eines zentralen Notfall- und Aktionsteams (CERT) mit weitreichenden Befugnissen
• Einrichtung weiterer CERT in den jeweiligen Subnetzen.

Der Zugang zum BYBN erfolgt in der Regel über Festverbindungen. Der Zugang über ISDN-Wählverbindungen zu einem Einwählknoten des Providers ist ebenfalls möglich. In diesem Fall wird zusätzlich eine Rufnummernidentifizierung durchgeführt und das Sicherheitsprotokoll CHAP (CHallenge Authentication Protocol) angewendet.

Angeschlossene Behörden können bei Bedarf und je nach Anschlußumfang ihre eigenen Netze oder besonders sensible Teile davon mit eigenen Firewall-Systemen, die vom zentralen CERT freigegeben oder vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert wurden, zusätzlich schützen. Dadurch sind im Bayerischen Behördennetz Kaskadierungen von Firewall-Systemen möglich. Grundsätzlich gilt, daß jede angeschlossene Behörde für ihr eigenes Netz selbst verantwortlich ist.

Der Zugangsschutz zu Diensten und Applikationen wird in erster Linie auf Anwendungsebene (meist durch Paßwortmechanismen) realisiert.

Da im BYBN das aus dem Internet bekannte TCP/IP als Standardprotokoll verwendet wird, sind zusätzliche Maßnahmen erforderlich, um auch innerhalb des Behördennetzes eine vertrauliche und nicht manipulierbare Datenübertragung zu gewährleisten. Dazu dienen die Bemühungen im Projekt BASILIKA. Der flächendeckende Einsatz dieser Lösungen steht aber noch aus, so daß die Sicherheit schutzwürdiger personenbezogener Daten bei der Übertragung über das Bayerische Behördennetz derzeit nicht in vollem Umfang gegeben ist. Hierauf habe ich die Staatskanzlei hingewiesen.

Sicherheitsarchitektur BASILIKA

Hauptrahmenbedingungen der für das Bayerische Behördennetz entwickelten Sicherheitsarchitektur sind

• die Verwendung von Standards und damit die Vermeidung proprietärer Lösungen,
• die Verwendung von zertifikatsbasierenden Protokollen (X.509),
• die Verwendung kryptographischer Funktionen, die frei sind von Key Recovery und Key Escrow-Mechanismen, d.h. europäische/deutsche Implementierungen, und
• die Verwendung von flexiblen und skalierbaren Lösungen.

Mit BASILIKA sollen abgedeckt werden:

• Verbindungsverschlüsselung durch Anwendung der Secure Socket Layer-Technologie (SSL V.3 in Verbindung mit TLS V.1) zur Herstellung sicherer Kanäle innerhalb des BYBN und sicherer Kanäle nach und von außen

Als Implementierungsmechanismen gelangen Sicherheitsproxies für Clients und Server, Single Sign On-Technologien und chipkartenfähige Produkte zum Einsatz. Diese Techniken werden in den Projekten Multifunktionale Chipkarte (MUCK) der Universität Würzburg und GEWAN (Gewerbeanmeldung) des Bayer. Landesamt für Statistik und Datenverarbeitung erprobt.

• Sichere E-Mail

Ziel ist es, eine Implementierungslösung zu finden, die in die im Behördennetz verwendeten Standardprodukte für elektronische Kommunikation integrierbar ist und auch sichere Mechanismen zur Verschlüsselung und digitalen Signatur auf Zertifikatsbasis bereitstellt.

• Sonstige gesicherte Datenübertragungsanforderungen durch Anwendung von generischen Sicherheitsdienste-API

Für besondere Anwendungen (z.B. Austausch von Patientendaten zwischen Ärzten) sollen entsprechende Anwendungsadapter (Schnittstelle zum HCP-Protokoll aus dem Bereich der Telemedizin) bereitgestellt werden.

Als Ergebnis von Praxistests wurde durch die Arbeitsgruppe "Sicherheit" im Sommer/Herbst 1998 eine Empfehlung zugunsten des Produktes TrustedMime zum Einsatz für sichere E-Mail im Behördennetz ausgesprochen. Dadurch, daß TrustedMime im europäischen Raum entwickelt wurde, können die sich auch aus bestehenden Exportbeschränkungen ergebenden Nachteile für nicht-europäische Kryptoprodukte vermieden werden. Der Freistaat Bayern beabsichtigt, für TrustedMime eine Generallizenz zu erwerben. Zum Redaktionsschluß waren die Verhandlungen mit dem betreffenden Unternehmen leider noch nicht abgeschlossen.

Vor diesem Hintergrund befindet sich auch eine Zertifizierungsinfrastruktur für das Bayerische Behördennetz in Aufbau. Die Wurzelinstanz für die Verwaltung der öffentlichen Schlüssel für Verschlüsselung und Signatur wird beim Landesamt für Statistik und Datenverarbeitung eingerichtet (Trust Center, Certification Authority). Sie stellt auch den X.500-Verzeichnisdienst zur Verfügung. Bei den am BYBN teilnehmenden Behörden können bei Bedarf weitere Zertifizierungs- und Registrierungsinstanzen eingerichtet werden.

Ich begrüße die gewählten Ansätze in BASILIKA und die Entscheidung, nicht auf die Verfügbarkeit der technischen Komponenten und Sicherheitsinfrastruktur nach dem Signaturgesetz (siehe Abschnitt 19.1.4, "Einsatz kryptografischer Verfahren") zu warten. Die Bemühungen nach einem flächendeckenden Einsatz von Sicherheitskomponenten müssen rasch weiter vorangetrieben werden. Ein wichtiger Schritt ist mit der Entscheidung für TrustedMime und den Verhandlungen zum Erwerb einer Generallizenz bereits getan. Es kommt nun darauf an, die noch laufenden Verhandlungen bald zu einem erfolgreichen Abschluß zu bringen und dieses Produkt auch rasch zur Absicherung von E-Mail flächendeckend einzusetzen.

Erst wenn alle derzeit bekannten Schwachstellen beseitigt sind, kann das Bayerische Behördennetz auch den erwarteten Nutzen für die Verwaltung bringen. Auf die Sicherheitslücken habe ich - wie bemerkt - mehrfach hingewiesen. Ich werde die Entwicklungen weiter verfolgen. Eine Nutzung dieses offenen Netzes für die Übermittlung von personenbezogenen Informationen, ohne Einsatz entsprechender Sicherheitsmaßnahmen, werde ich beanstanden.

Zentrale Übergänge zu anderen Auskunftssystemen

Ein weiteres wesentliches Ziel des Bayerischen Behördennetzes ist die Reduzierung der bisher anfallenden, z.T. recht hohen Kommunikationskosten mit anderen zentralen Systemen. Aus diesem Grund hat das LfStaD in enger Abstimmung mit dem Bundesverwaltungsamt im Behördennetz einen zentralen Zugang zum Ausländerzentralregister (AZR) bereitgestellt.

Dabei wurden eine ganze Reihe weiterer Sicherheitsmaßnahmen, die über die sonstigen, im Behördennetz vorhandenen Maßnahmen hinausgehen, ergriffen. Es konnten die im AZR üblichen Zugangs- und Zugriffsschutzmechanismen unverändert beibehalten und bzgl. der Berechtigungserteilung und ihrer Revisionsfähigkeit für bayerische Zugangsberechtigte erhöht werden. Für die Übertragung der Daten über das Behördennetz von und zum jeweiligen Arbeitsplatz ist, wie oben dargestellt, die Sicherstellung der Vertraulichkeit und Integrität derzeit noch nicht gegeben. Mit flächendeckender Verfügbarkeit der entsprechenden Komponenten aus BASILIKA sollen diese eingesetzt und diese Schwachstelle geschlossen werden. Ich werde die Bemühungen weiter aufmerksam begleiten.

Eine vergleichbare Lösung untersucht das LfStaD auch für die Anbindung des Behördennetzes an das Kraftfahrtbundesamt (KBA) und weitere zentrale Systeme.

19.3.2. Überlegungen zum Outsourcing von DV-Leistungen

Outsourcing ist ein Begriff, der immer häufiger pauschal und insbesondere im Zusammenhang mit Einsparungspotential bei unterschiedlichen Ressourcen (auch Personal) in die Diskussion eingebracht wird. Dabei ist jedoch zu präzisieren, was mit Outsourcing im konkreten Einzelfall gemeint ist, d.h. welche Leistungen nicht selbst erledigt, sondern an Dritte (meist Privatfirmen) abgegeben werden.

Grundsätzlich kommen beispielsweise folgende DV-Aufgaben für eine Vergabe außer Haus in Betracht:

• Konzeption von DV-Systemen und Netzwerken
• Entwicklung, Wartung und Pflege von Software
• Wartung von Hardware
• Administration einzelner Rechnersysteme (z.B. Firewall-Rechner)
• Administration von Netzwerken
• Bereitstellung und Betrieb von Rechnersystemen
• Bereitstellung und Betrieb ganzer Rechenzentren
• Abwicklung von sonstigen DV-Arbeiten (z.B. Datenerfassung, Datenpflege)
• Bereitstellung von Backup-Systemen
• Vollständige Abwicklung ganzer DV-Aufgaben.

Eine pauschale Bewertung und Aussage, welche Datenschutz- und Datensicherungsmaßnahmen bei welchem Umfang von Outsourcing notwendig und angemessen sind, läßt sich selten treffen. Es ist stets eine Einzelfallprüfung erforderlich. Hinzu kommt, daß natürlich die Art der gespeicherten, be- und verarbeiteten Daten hinsichtlich ihrer besonderen Schutzbedürftigkeit berücksichtigt werden muß (vgl. Outsourcing im Krankenhausbereich, Nr. 3.3.5), so daß schon aus diesen Gründen das Outsourcing vielfach ausscheiden wird. Im übrigen kann gerade in solchen Fällen sehr schnell der Zustand erreicht werden, daß die Erreichung der mit dem Outsourcing angestrebten Ziele (Einsparung von Ressourcen) aufgrund der zu ergreifenden Datenschutz- und Datensicherungsmaßnahmen in Frage gestellt oder gar verfehlt wird. Auch eine Wirtschaftlichkeitsbetrachtung der Outsourcingmaßnahme unter Berücksichtigung des Aufwandes für die erforderlichen Sicherheitsmaßnahmen ist hier dringend geboten.

Nach einer Untersuchung der Gartner Group wird das weltweite Outsourcing-Geschäft in den Bereichen "Netzwerk" und "PC/LAN" von 5,6 Milliarden Dollars im Jahre 1995 auf etwa 17 Milliarden Dollars im Jahre 2000 steigen, sich also etwa verdreifachen. Im Vergleich dazu wird sich das klassische Outsourcing-Segment "Rechenzentrum" nur von 10,2 Milliarden auf 17,9 Milliarden Dollars erhöhen.

Als Hauptgründe dafür werden angesehen: Die zunehmende Vernetzung und die ständig steigende Leistungsfähigkeit der DV-Systeme erfordern auch einen immer höheren Betreuungsaufwand, den sich kleinere Institutionen, mittlere Unternehmen oder kostenbewußte DV-Anwender nicht mehr leisten können oder wollen. Deshalb bieten externe Dienstleister, die sich auf eine bestimmte Dienstleistung spezialisiert haben und über ein kompetentes Expertenteam verfügen, vermehrt DV-Services der unterschiedlichsten Art an, um den Anwender bei schwierigen Spezialaufgaben zu entlasten.

Bei an Private vergebenen Datenverarbeitungsaufgaben handelte es sich früher meist um Datenerfassungs- und Versandarbeiten. Die Datenerfassung spielt heute eine geringe Bedeutung, weil sie meist im Rahmen der Sachbearbeitung erledigt wird, hingegen ist das Auslagern von Versandarbeiten (ePost) im Kommen. Auch das Vorhalten von Backup-Kapazitäten für den Katastrophenfall ist heute noch ein klassisches Outsourcing-Feld. Viele Institutionen haben ihre DV-Aktivitäten in ein einziges Rechenzentrum verlagert. Diese Entwicklung wurde durch die ständig leistungsfähiger werdenden Rechner begünstigt, die immer mehr Endanwender versorgen können. Im Katastrophenfall weicht man dann meist auf einen Backup-Rechner eines Dienstleisters oder des Herstellers aus.

Es gibt aber auch Beispiele, bei denen sich das Vorhalten eigener Ressourcen überhaupt nicht rechnet, wie die Herstellung der Krankenversichertenkarte. Für diesen Prozeß gibt es Spezialfirmen, die die Chipkarten für die Krankenkassen herstellen und gleich an die Versicherten versenden. Auch die DATEV e.V. in Nürnberg betreut viele Steuerberater in Deutschland DV-technisch.

In all diesen Fällen behält der Auftraggeber jedoch stets die Verfügungsgewalt über seine Daten. Auf die Fälle, bei denen eine Funktionsübertragung stattfindet, soll an dieser Stelle nicht näher eingegangen werden.

19.3.3. Rechenzentrumssicherheit

Während früher in den einzelnen Geschäftsbereichen häufig mehrere Rechenzentren an unterschiedlichen Standorten betrieben wurden, die bei Ausfall eines Rechners gegenseitig die Funktion als Backup-Rechner übernehmen konnten, zeichnet sich heute eine Entwicklung zur Konzentration der Rechnerkapazitäten in einem einzigen Rechenzentrum ab. Diese Lösung ist zwar sehr wirtschaftlich, enthält aber häufig gravierende Sicherheitsmängel, wenn bei der Planung an der Investition für geeignete Sicherheitsmaßnahmen gespart wurde. Der Ausfall eines solchen zentralen Rechners kann die betroffene Stelle unter Umständen tagelang lahm legen. Um das Ausfallrisiko möglichst klein zu halten, muß man sich gut überlegen, wo solche Rechenzentren eingerichtet werden. Am besten ist es, für solche Rechenzentren eigene Sicherheitstrakte in einem separaten Gebäude vorzusehen, damit Brand- und Sabotagerisiken minimiert werden. Fremde Personen und Behördenbesucher haben dann in solchen Gebäuden nichts verloren.

Um die Verfügbarkeit der automatisierten Datenverarbeitung zu erhöhen, sind schließlich geeignete Notfallkonzepte zu entwickeln und regelmäßig zu proben. Meist ist es weniger die Hardware, die in der Regel kurzfristig vom Hersteller zur Verfügung gestellt werden kann, als die in Mitleidenschaft gezogene DV-Infrastruktur (Verkabelung etc.) oder die fehlenden Räumlichkeiten, die eine Wiederaufnahme des Rechenbetriebs verzögern. Ein Notfallkonzept ist demnach unzureichend, wenn lediglich mit dem Hardwarehersteller Vereinbarungen über eine Ersatzgestellung von DV-Geräten getroffen wurden.

19.3.4. Sicherheitsmaßnahmen bei automatisierten Krankenhausverwaltungssystemen

Die Automatisierung im Krankenhaus schreitet stetig voran. Zwar ist man von einer elektronischen Krankenakte noch weit entfernt, in Teilbereichen ist sie allerdings schon Realität geworden, wenngleich wegen der Vollständigkeit und Beweissicherheit auf die Papierdokumentation nicht verzichtet werden kann. Vor Jahren beschränkte man sich bei der Datenverarbeitung im Krankenhaus auf die Patientenabrechnung, die damals noch ohne medizinische Daten auskam. Die auf dem Markt befindlichen Patientenverwaltungssysteme sehen heute stets die Speicherung medizinischer Patientendaten vor. Diese Daten unterliegen der ärztlichen Schweigepflicht, so daß auf sie nur zugreifen kann, wer mit der Behandlung des Patienten betraut ist. Das bedingt wiederum, daß die zum Einsatz kommenden DV-Systeme das im Krankenhaus übliche Zugriffsschutzkonzept abbilden können.

Die Vielfalt der auf dem Markt angebotenen Patientenverwaltungssysteme ist derzeit noch recht groß, so daß uns die unterschiedlichsten Systeme begegnen, deren Sicherheitsfunktionen häufig unterschiedlicher Qualität sind. Je nach Leistungsfähigkeit und Komplexität des Systems wird meist ein hohes Maß an DV-Wissen an Anwender, Betreiber und Prüfinstanz gestellt. Die Prüfungen haben deshalb auch gezeigt, daß der Betreiber eine Reihe qualifizierter Mitarbeiter bereitstellen muß, wenn er einen ordnungsgemäßen Betrieb des Systems sicherstellen will. Zwar kann der Betreiber auch die Hilfe des Herstellers in Anspruch nehmen, das kostet aber in der Regel viel Geld und trägt obendrein noch dazu bei, daß die Anwender oft im Unklaren über Stärken und Schwächen des jeweiligen Systems gelassen werden. Ein sicherer Betrieb setzt gediegene Kenntnisse des eingesetzten Systems voraus, auch die Prüfung der Einhaltung der gebotenen Sicherheitsmaßnahmen ist nur mit entsprechenden Systemkenntnissen möglich. Daraus folgt, daß der Betreiber eine Reihe qualifizierter, gut geschulter Mitarbeiter für die Einhaltung eines ordnungsgemäßen Betriebs abstellen muß. Tut er das nicht, können Sicherheitsdefizite entstehen, die letztlich auch dazu führen können, daß Unbefugte unbemerkt Zugriff auf Patientendaten erhalten. Mächtige DV-Systeme können einerseits bei mangelhafter Generierung nicht vorgesehene Aktionen zulassen, die Qualität der Verarbeitung nachhaltig verändern, andererseits aber auch nicht gewünschte Veränderungen der Organisationsform initiieren. Solche Begleiterscheinungen gilt es möglichst frühzeitig zu untersuchen und datenschutzrechtlich zu bewerten.

Entscheidend für den ordnungsgemäßen Einsatz eines DV-Systems ist seine Benutzerfreundlichkeit. Diese Erkenntnis ist zwar nicht neu, verdient aber, immer wieder erwähnt zu werden. Eine gründliche Schulung aller Benutzer ist für einen reibungslosen Einsatz unerläßlich. Die Sicherheitsmaßnahmen müssen sich außerdem an der Organisation der einsetzenden Stelle orientieren, damit sie von den Benutzern akzeptiert werden. Schwierig zu handhabende Maßnahmen verfehlen bekanntlich ihren Schutzzweck, weil sie sonst nicht oder nur mangelhaft genutzt werden.

Wegen der besonderen Sensibilität medizinischer Daten müssen die Sicherheitsmaßnahmen auch von besonders hoher Qualität sein. Patientenverwaltungssysteme müssen deshalb im einzelnen nachfolgende Forderungen erfüllen:

Jeder Bedienstete darf nur auf die Daten zugreifen können, die er für seine Aufgabenerfüllung bzw. für die Behandlung der ihm anvertrauten Patienten benötigt. In der Praxis wird das durch die Einrichtung benutzerbezogener Zugriffsberechtigungen gelöst (vgl. hierzu in rechtlicher Hinsicht unter Nr. 3.3.2 dieses Tätigkeitsberichts). Die Systeme müssen deshalb über einen sog. Profilgenerator verfügen, der die Einrichtung bedarfsgerechter Zugriffsberechtigungen unterstützt. Meist lassen sich bestimmte Benutzerprofile zu Gruppenprofilen zusammenfassen. In einem größeren Krankenhaus wird man trotzdem auf eine ganze Anzahl unterschiedlicher Gruppenprofile kommen. Die Zugriffsberechtigungen müssen auch revisionsfähig sein, das heißt, es muß eine Dokumentation vorhanden sein, aus der hervorgeht, wer über welchen Zeitraum über welche Zugriffsberechtigungen verfügte. Nur so wird sichergestellt, daß nachträglich eine Überprüfung der Zugriffsberechtigungen möglich ist. Das System muß auch Überweisungen an andere Abteilungen innerhalb eines Krankenhauses abbilden können.

Der Zugriff muß mindestens über Benutzerkennung und Paßwort gesteuert sein. Als Identifikationsmedium ist jedoch die Chipkarte anzustreben, die zusätzlich über ein Paßwort aktiviert wird. Diese Chipkarte sollte außerdem für die Dauer des Dialogs im Lesegerät der Datenstation stecken bleiben. Das Entfernen der Chipkarte muß für eine Dunkelschaltung des Bildschirms und eine Unterbrechung des Dialogs, die nur mit der Chipkarte (und Eingabe des Paßworts) wieder aufgehoben werden kann, sorgen. Diese Funktionen sind gerade im Stationsbereich, wo die Arbeit am Bildschirm häufig unterbrochen werden muß, von sehr großem Nutzen.

Werden die Daten eines Patienten nicht mehr benötigt, beispielsweise wenn die Behandlung abgeschlossen ist, sind sie zu sperren. Eine Aufhebung der Sperre kann nur derjenige veranlassen, der dazu aufgrund seiner Aufgabenerfüllung (u.a. Wiederaufnahme des Patienten im Krankenhaus) dazu berechtigt ist. Denkbar wäre, daß auf Altpatienten nur unter bestimmten Kennungen und von bestimmten Rechnern bei gleichzeitiger Protokollierung der lesenden Zugriffe zugegriffen werden kann.

Gespeicherte medizinische Patientendaten (elektronische Patientenakte) sind so abzusichern, daß sie nicht mehr geändert oder gelöscht werden können. Die Manipulationssicherheit ist eine der wichtigsten Sicherheitsmaßnahmen. Schließlich muß erkennbar sein, wer für die Korrektheit der gespeicherten Patientendaten verantwortlich ist ("Signierung") und wann die Daten eingespeichert wurden.

Im Rahmen der Beweissicherung muß das System bestimmte Protokollaufzeichnungen unterstützen. Zum einen müssen alle vom System als Sicherheitsverletzungen erkannte Aktionen revisionsfähig und benutzerfreundlich protokolliert werden. Ebenso sind alle Aktionen der Wartung am Anwendungssystem zu protokollieren, daß diese Einträge von sachverständigen Dritten ausgewertet werden können.

Lesende Zugriffe sind immer dann zu protokollieren, wenn der Zugriff über Kennungen erfolgt, die keinen restriktiven Zugriffsbeschränkungen unterworfen sind, beispielsweise für Notärzte, die Zugriff auf alle Patienten haben müssen (Analogie zum automatisierten Abrufverfahren). Für solche Zugriffe sind in einer speziellen Protokolldatei Zeitstempel, Benutzerkennung, Patientennummer und eventuell die Ursache für den Zugriff festzuhalten.

Bei meinen Prüfungen in Krankenhäusern konnte ich feststellen, daß manche Sicherheitsmaßnahmen noch realisiert werden müssen.

19.3.5. Krankenhaus am Internet

Im Berichtszeitraum wurde immer wieder die Frage an mich heran getragen, unter welchen Umständen Krankenhäuser sich der Vorteile des Internets als Informationsquelle und als Transportnetz zu Nutzen machen können.

Beim Anschluß eines Krankenhauses ans Internet ist auf die Einhaltung folgender Sicherheitsmaßnahmen zu achten:

Wird das interne Netz durch einen geeigneten Firewall-Rechner vom Internet abgeschottet, kann von jedem Client aus auf das Internet zugegriffen werden. Fehlt ein Firewall-Rechner, muß das interne Netz von solchen Rechnern getrennt werden, die Verbindung zum Internet aufnehmen können. Da eine physikalische Trennung meist Medienbrüche verursacht und schwer zu kontrollieren ist, ob die Trennung in jedem Falle eingehalten wird, sollte der ersten Alternative der Vorzug gegeben werden. Außerdem ist zu beachten, daß das Internet heute umfangreiche Informationsmöglichkeiten (Health Online, Gesundheitsdienst) eröffnet, von denen Ärzte zunehmend Gebrauch machen werden.

Beim Versand von Arztbriefen über das Internet ist zu berücksichtigen, daß das Internet ein offenes Netz ist, das keinerlei Vertraulichkeit bietet. Aus diesem Grunde sind alle über das Internet zu versendenden Dokumente vertraulichen Inhalts vorher zu verschlüsseln. Als hinreichend sichere Algorithmen gelten beispielsweise Triple-DES, RSA und IDEA. Geeignete Softwareprodukte stehen im Internet sowie auf dem Markt zur Verfügung. Es wird empfohlen, eine Schlüssellänge von wenigstens 512 Bit zu verwenden.

19.3.6. Telearbeit

Bereits im 17. TB wurden unter der Textziffer 18.3.3 einige Sicherheitsanforderungen an Telearbeitsplätze vorgeschlagen. Zum damaligen Zeitpunkt waren jedoch nur ganz vereinzelt Arbeitsplätze anzutreffen. In der Zwischenzeit hat die gesamte maschinelle Datenverarbeitung durch die Möglichkeiten des Internet oder Intranet eine rasante Fortentwicklung erfahren, wovon nicht zuletzt auch die Telearbeitsplätze profitieren können. Allerdings haben sich damit auch die Risiken erhöht, denen man wiederum durch höherwertige Sicherheitsmaßnahmen begegnen muß.

Über die allgemeinen Vor- und Nachteile von Telearbeitsplätzen braucht man an dieser Stelle keine Worte verlieren, dazu sind in der einschlägigen Literatur zahlreiche interessante Beiträge zu finden. Unbeschadet der technischen und organisatorischen Maßnahmen bleibt aber festzuhalten, daß bei der Telearbeit der Personalrat zu beteiligen ist und Art und Umfang der Telearbeit häufig mit der Personalvertretung in einer Personalvereinbarung geregelt wird..

Im Prinzip sind auch für Telearbeitsplätze die Vorgaben, wie sie für die Auftragsdatenverarbeitung gelten, anzuwenden. Aufgaben, die nicht außer Haus (an Dritte) gegeben werden dürfen, eignen sich auch nicht, in Telearbeit erledigt zu werden.

Da die datenverarbeitende Stelle die unmittelbare Verfügungsgewalt über die Daten verliert, sind vertragliche Vereinbarungen über die Telearbeit zwischen dem Arbeitgeber bzw. Dienstherrn auf der einen Seite und den Beschäftigten auf der anderen Seite notwendig. In diesen schriftlichen Vereinbarungen sind Art und Umfang der Aufgaben und die Rahmenbedingungen, unter denen die Aufgaben abzulaufen haben, zu definieren. Sie müssen außerdem detaillierte Aussagen über die Pflichten der in Telearbeit stehenden Mitarbeiter enthalten, was letztlich auch in Form eines Vertrages oder einer Dienstanweisung geschehen kann. Der in Telearbeit stehende Mitarbeiter muß schließlich über die Risiken aufgeklärt werden.

Bei der Telearbeit werden die erforderlichen IT-Geräte, die für die Verarbeitung notwendige Software und die Telekommunikationsverbindungen vom Arbeitgeber gestellt. Nur in begründeten Ausnahmefällen sollte die Verwendung privater IT-Komponenten gestattet sein. Die Schulung und Einweisung in die DV-Systeme wird ebenso vom Arbeitgeber vorgenommen, wie die Systemadministration. Eine zentrale Systemadministration garantiert einen reibungslosen Ablauf der Arbeiten und vermindert Störungen.

Entsprechend der Schutzbedürftigkeit der verarbeiteten Daten sind angemessene Sicherheitsmaßnahmen zu ergreifen, die eine unbefugte Systemnutzung und einen unberechtigten Zugriff auf die gespeicherten Daten ausschließen. Gefährdungen können am Telearbeitsplatz (Diebstahl von IT-Komponenten, unberechtigte Kenntnisnahme von Informationen, Verlust der Verfügbarkeit der Daten durch technische Störungen), auf den Telekommunikationsverbindungen (Verlust der Integrität und Vertraulichkeit der Daten) sowie bei der Anbindung der IT-Komponenten selbst (Anschluß an offene Netze) entstehen.

Folgende Maßnahmen können die Datensicherheit entscheidend verbessern:

• Identifikation und Authentisierung als Maßnahmen der Zugriffskontrolle (mittels Paßwort u.U. mit Chipkarte gekoppelt) und Verschlüsselung der gespeicherten Daten als Maßnahme zur Sicherung der Vertraulichkeit bei Diebstahl des Computers
• Begrenzte Speicherhaltung der Nutzdaten, sofern sie für eine weitere Bearbeitung nicht mehr benötigt werden. Aus Gründen der Datensicherheit empfiehlt es sich, wenn man für Recherchezwecke auf einen zentralen Datenbestand beim Arbeitgeber zugreift und somit eine dezentrale Speicherung des Datenbestands vermeidet.
• Einsatz eines Virenscanner zum Schutze vor einem Virenbefall (von Diskette oder über Leitung)
• Die Datenkommunikation über Leitungen mit dem zentralen Rechner ist aus Gründen der Vertraulichkeit nur in verschlüsselter Form durchzuführen; beim Datenträgeraustausch auf dem Postweg (sofern vorgesehen) sollte ebenfalls verschlüsselt werden.
• Alle dienstlichen Unterlagen sind verschlossen aufzubewahren, damit Unbefugte keine Kenntnis von den Inhalten dieser Unterlagen nehmen können.
• Um den Benutzer zu entlasten und Bedienungsfehlern vorzubeugen, empfiehlt es sich, die Datensicherung von der Zentrale aus anzustoßen und die Sicherungsbestände auch zentral zu verwalten. Dem Benutzer bleiben somit alle notwendigen Backup-Maßnahmen erspart, und im Notfall oder nach einer schwerwiegenden Systemstörung ist ein schneller Wiederanlauf damit gewährleistet.
• Der Arbeitnehmer stimmt in der Betriebsvereinbarung dem Kontrollrecht des Arbeitgebers und des Datenschutzbeauftragten zu. In einem Merkblatt, das dem Telearbeiter ausgehändigt wird, sollen alle Regelungen, insbesondere die Notfallmaßnahmen (Aktionen und Ansprechpartner) zusammengefaßt werden.
• Die vom Dienstherrn zur Verfügung gestellte technische Infrastruktur ist nur für dienstliche Zwecke und nur vom Arbeitnehmer selbst zu verwenden.
• Zur Sicherung der Kommunikationsanschlüsse bieten sich am zentralen Rechner der Einsatz spezieller Kommunikationsrechner, einer Call-Back-Funktion und sicherer Identifikations- und Authentisierungsmechanismen an. Am dezentralen System ist durch spezielle Maßnahmen sorge zu tragen, daß ausschließlich erlaubte Kommunikationsverbindungen hergestellt werden können. Ist ein Zugang zum Internet nicht erforderlich, ist dieser zu sperren, um teuere Abschottungsmaßnahmen (Firewall-Systeme) zu sparen.

19.3.7. Protokollierung von lesenden Zugriffen

Betriebssysteme, systemnahe Software und Anwendungsprogramme zeichnen in der Regel eine Reihe von Benutzungsdaten auf. Diese Benutzungsdaten, auch Ablaufdaten genannt, werden in sog. Log-Dateien (Protokolldateien) abgespeichert. Sie dienen in erster Linie der Beweissicherung eines ordnungsgemäßen Ablaufs von DV-Aktionen. Sie sind jedoch auch für eine nachträgliche Kontrolle von Benutzeraktivitäten, insbesondere für die Datenschutzkontrolle geeignet.

Die Protokolldaten sind personenbezogen, da sie Aufschluß über die Aktivitäten eines Benutzers geben. Sie unterliegen nach dem Datenschutzrecht einer strikten Zweckbindung (Art. 17 Abs. 4 BayDSG) und dürfen nur zum Nachweis der fehlerfreien und ordnungsgemäßen Datenverarbeitung oder zur Aufdeckung von mißbräuchlichen Zugriffen oder Zugriffsversuchen, keinesfalls jedoch für Zwecke der Verhaltens- oder Leistungskontrolle der Mitarbeiter verwendet oder ausgewertet werden. Es empfiehlt sich deshalb, die Personalvertretung bei der Festlegung der zulässigen Auswertungen bzw. bei der Kontrolle der Protokolldateien sowie der Art ihrer sonstigen Nutzung rechtzeitig einzubinden.

In der Praxis wird auf die Protokollierung von lesenden Satzzugriffen meist verzichtet, da den Benutzern ein aufgabenbezogenes Zugriffsberechtigungsprofil zugeordnet wurde, so daß Lese- und Schreibzugriffe nur im Rahmen dieser Zugriffsberechtigung auftreten können. Schreibende Zugriffe, wie Einfügen, Ändern, Löschen, werden in vielen Anwendungen ohnehin veranlasserbezogen festgehalten, so daß für einen festgelegten Zeitraum dokumentiert bleibt, wer aus welchem Grund was verändert hat. Auch Datenbanksysteme protokollieren alle schreibenden Zugriffe.

Die Aufzeichnung von solchen Lesezugriffen würde zu dem in vielen Fällen eine Unmenge von Protokolldaten erzeugen, die für die Kontrolle der Zugriffsberechtigung eigentlich irrelevant sind, weil diese bereits vorher maschinell erfolgt ist.

Es gibt jedoch Ausnahmen, bei denen auch die Protokollierung von satzbezogenen Lesezugriffen für eine effektive Beweissicherung Sinn macht, nämlich bei automatisierten Abrufverfahren (Übermittlung i. S. des Datenschutzrechts).

Beispiele für automatisierte Abrufe aus dem öffentlichen Bereich sind Abrufe beim maschinellen Grundbuch (SOLUM STAR), beim Kfz-Halter-Register des Kraftfahrt-Bundesamts oder beim Ausländerzentralregister.

Bei manchen Verfahren wird wegen der Menge der Abfragen nur stichprobenweise protokolliert.

Eine Protokollierung eines satzbezogenen Zugriffs kann auch bei der Patientenstammdatei eines großen Klinikums geboten sein, wenn Ärzte anderer Abteilungen zur Behandlung bestimmter Patienten beratend hinzugezogen werden, so daß ihnen ein Zugriff auf diese Patienten eröffnet werden muß.

Für einen solchen Fall bietet sich für den Benutzer die Einrichtung zweier Zugriffskennungen an:

• eine Kennung für ihn als behandelnder Stationsarzt für den Zugriff auf alle Patienten seiner Station (keine Protokollierung),
• eine andere Kennung für ihn als diensthabenden Notarzt oder hinzugezogenen Konsiliarius (sog. Generalschlüssel) mit dem umfassenden Zugriff auf alle Patienten (Protokollierung des satzbezogenen Zugriffs).

Im Prinzip wäre auch eine satzweise Freischaltung des Zugriffs möglich. Eine solche Vorgehensweise wäre jedoch vom Handling her viel zu aufwendig. Deshalb wird dieser Kennung der gesamte Datenbestand zur Verfügung gestellt und jeder Zugriff für spätere Kontrollzwecke protokolliert.

19.3.8. Hoax-Viren und Hostile Applets

Die Unkenntnis der Funktionsweise von Viren und die Tatsache, daß immer mehr Computerviren und Trojanische Pferde auftauchen, führt seit Jahren dazu, daß den über das Internet mittels E-Mail verbreiteten Warnungen, Hinweisen und Informationen zu Computerviren zunehmend mehr Beachtung geschenkt wird. Bei der Menge dieser Meldungen ist es kaum noch möglich, diese auf Echtheit zu überprüfen. Diese Tatsache ist der ideale Nährboden für eine neue Virenart, die sich rapide ausbreitet, den sogenannten Hoaxes. Ein Hoax (Bluff oder schlechter Scherz) ist eine Falschmeldung, die vor einem nicht vorhandenen Virus warnt und damit zu einer großen Verunsicherung der Anwender und Verantwortlichen und zu bedeutenden finanziellen Schäden führen kann. Diese Falschmeldungen werden zum Teil ohne Berücksichtigung der Konsequenzen bewußt erzeugt und versandt. Zumeist werden die Empfänger aufgefordert, diese Mitteilung an möglichst viele Anwender weiterzuleiten. Damit wird der Empfänger unbewußt zum "Virenüberträger", da er wiederum beim neuen Empfänger eine Verunsicherung - "den Schadensteil" - auslöst.

Bekannteste Beispiele sind "Good Times" (mit den Varianten "Deeyenda", "Join the crew" und "Penpal Greetings") sowie "Irina".

Auch wenn diese Hoaxes keine Systeme unmittelbar befallen, so muß doch immer mehr Aufwand betrieben werden, um Falschmeldungen von echten Viren zu unterscheiden. Zudem können Hoaxes dazu eingesetzt werden, Empfänger zu manipulieren. Hoaxes müssen zu der Gattung der Viren gezählt werden, da sie

• sich ausbreiten (sie werden per E-Mail repliziert),
• eine Wirkung haben (zumindest einen Zeitaufwand, um echte von falschen Warnungen zu unterscheiden) sowie
• einen Wirt zu ihrer Vermehrung benutzen (der Adressat einer Warnung folgt der Aufforderung und verteilt die Warnung an weitere Anwender).

Folgende Punkte sollten deshalb beim Empfang von E-Mails beachtet werden:

• Durch das alleinige Lesen einer E-Mail wird der Computer durch Hoaxes noch nicht infiziert.

Dies kann sich allerdings durch den Einsatz des Betriebssystems Windows 98 und der Komponenten Outlook 98 bzw. Outlook Express ändern. Diese Programme können E-Mails im HTML-Format versenden und empfangen. Im HTML-Code kann jedoch eine Programmierroutine (in Visual Basic) versteckt sein, die den Zugriff auf das Dateisystem des Empfängerrechners ermöglicht Damit könnte das in der Mail versteckte Programm Dateien löschen, Trojanische Pferde einschleusen oder sonstige Viren installieren. Um sich als Outlook-Benutzer gegen einen Virenbefall zu schützen, muß die Sicherheitsstufe im Internet Explorer über das Menü "Ansicht/(Internet)optionen/Sicherheit" auf "Hoch (am sichersten)" eingestellt sein. Dies verhindert die Ausführung der automatischen Programmroutine in den E-Mails. Diese Einstellung wirkt sich auch auf Outlook aus, weil Outlook den Internet Explorer zum Anzeigen der HTML-Mails verwendet. Allerdings kann der Internet Explorer bei dieser Einstellung generell keine Visual-Basic-Scripts mehr verarbeiten, was zu Fehlermeldungen beim Internet-Surfen führt.

• Ein Anhang (Attachment) einer E-Mail kann ein ausführbares Programm oder einen Makrocode (z. B. zur Ausführung in Word-Dokumenten) enthalten. Beide können bei einem Öffnen des Attachments mit Doppelklick den Rechner mit einen Virus verseuchen.

Immer mehr in den Mittelpunkt rücken auch sogenannte Hostile Applets - also feindliche Anwendungen - aus dem Internet. Diese Art von Viren wird in der immer mächtiger werdenden plattformübergreifenden Programmiersprache Java geschrieben oder als ActiveX-Control für den Microsoft Internet Explorer verkleidet. Zu den Hostile Applets zählen auch Viren in Form von Trojanischen Pferden, die zum Beispiel Daten innerhalb einer Behörde sammeln können und diese an Dritte versenden. Ein aktuelle Beispiel hierfür sind die "T-Online-Powertoys", eine Software, die durchaus nützliche Hilfsprogramme zum T-Online-Dekoder enthält. Bei der Online-Registrierung dieser Software werden aber auch die Benutzerkennung und das auf der Festplatte gespeicherte Paßwort zum T-Online-Aufruf ausgelesen und an dem Empfänger der Registrierung weitergeleitet.

Dies zeigt einmal mehr, wie wichtig heutzutage Antivirenprogramme sind. Mit diesen Programmen müssen auch die Internetübergänge, E-Mails, Server und die einzelnen Arbeitsstationen überwacht werden.

19.3.9. Systemunterstützung im Kommunalbereich durch die AKDB

Wie bereits oben erwähnt, haben kleinere Dienststellen einen größeren Systemberatungsbedarf, weil sie sich aufgrund ihrer Personaldecke kaum EDV-Experten leisten können. Das trifft vor allem für den Großteil der bayerischen Gemeinden zu. Während die Anwenderbetreuung meist noch von einem Bediensteten der Dienststelle erledigt wird, benötigt man bei Systemfragen externen Sachverstand, der meist von dem Ersteller des DV-Systems kommt. In einigen Gemeinden hat man mit dem Hard- sowie Systemsoftwarelieferant und dem Lieferanten der Anwendungssoftware sogar zwei Ansprechpartner. Die Kommunikation erfolgt in der Regel online über ISDN-Leitung.

Seit Mitte 1998 hat die Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB) ein System im Einsatz, das alle Aktionen einer Tele-Systemunterstützung protokolliert. In einer Datei werden wie bei einem Video alle Bildschirminhalte und Aktionen aufgezeichnet, wobei diese Datei durch ein Checksummenverfahren gegen nachträgliche Manipulationen abgesichert ist. Es ist also möglich, zu einem späteren Zeitpunkt, etwa für Revisions- und Prüfzwecke den gesamten Dialog zeitgenau noch einmal ablaufen zu lassen. Dieses Verfahren wird für alle Fernwartungsaktivitäten und Systemunterstützungen angewandt; die Möglichkeit der Datenübertragung von und zur Dienststelle ist ebenfalls gegeben. Vor Ort kann der Systemverantwortliche den gesamten Dialog mitverfolgen und gegebenenfalls jederzeit abbrechen. Zusätzliche Sicherheitsmaßnahmen sind: Verbindungsaufbau nach dem Call-Back-Verfahren und Verschlüsselung des gesamten Dialogs (auf Routerbasis).

19.3.10. Mechanische Sicherungen

Trotz der zunehmenden Automatisierung und Vernetzung ist ein papierloses Büro nach wie vor Zukunftsmusik. Die Verwaltung ist bei der Aufgabenerledigung immer noch auf konventionell geführte Akten und Karteien angewiesen. Diese Bestände enthalten auch vielfach recht sensible personenbezogene Daten. Zum Schutze dieser Daten empfehle ich stets geeignete mechanische Sicherungsmaßnahmen, damit diese Daten nicht zu leicht in unrechte Hände gelangen können.

Einige Sachversicherer berichteten nun, daß die Anzahl der Einbrüche auch in öffentliche Einrichtungen in den letzten Jahren stark zugenommen habe. Ziel dieser Einbrüche seien Wertgegenstände, wie Bargeld oder technisches Equipment. Da Zimmer- und Schranktüren nach Dienstschluß verschlossen würden, seien die Schäden, die durch den Aufbruch dieser Türen entstanden sind, oft größer, als die eigentlichen Diebstahlsschäden. Die Sachversicherer empfehlen deshalb, Zimmer- und Schranktüren außerhalb der Dienstzeit nicht abzuschließen und stärkeres Gewicht auf die Installierung einer geeigneten Einbruchmeldeanlage zu legen, die manche Einbrüche von vornherein verhindern kann.

Diese Betrachtungsweise kann aus der Sicht des Datenschutzbeauftragten nicht geteilt werden. Eine Einbruchmeldeanlage wird in der Regel erst dann aktiviert, wenn der letzte Bedienstete das Haus verlassen hat. Maßnahmen gegen unberechtigte Kenntnisnahme von personenbezogenen Daten richten sich jedoch nicht allein gegen Eindringlinge von außen, sondern in erster Linie gegen Insider, Besucher und gegen den Reinigungsdienst, der zu meinen Bedauern häufig von Fremdfirmen erledigt wird. Kriminelle Eindringlinge haben es meines Erachtens kaum auf Aktenschränke abgesehen, wenn diese als solche erkennbar sind, so daß Aktenschränke durchaus verschlossen zu halten sind.

Sorgen bereiten aber die zahlreichen DV-Geräte, die in den ungesicherten Büroräumen der Bediensteten stehen. Werden auf diesen Geräten personenbezogene Daten unverschlüsselt gespeichert, wovon man in der Regel eigentlich ausgehen kann, so gelangen diese bei Diebstahl des Computers in fremde Hände. Ein wirksamer Schutz solcher Daten läßt sich eigentlich nur dadurch erreichen, daß alle Datenbestände und sensiblen Schriftstücke auf einem Server gespeichert werden, der sich in einem durch eine Einbruchanlage gesicherten Bereich befindet. Da heute bereits jeder Sachbearbeiter über einen eigenen Rechner verfügt und die Rechner untereinander vernetzt sind, sollte jede Dienststelle diese Sicherheitsmaßnahme einführen.

Ein besserer Schutz wäre natürlich zu erreichen, wenn die gesamte Dienststelle zusätzlich durch eine eigene Einbruchmeldeanlage geschützt wäre. Solche Anlagen können allerdings recht kostspielig werden, wenn sie ein größeres Gebäude wirksam schützen sollen. Hier wird man dann wohl einen Kompromiß eingehen müssen und lediglich die sensiblen Bereiche (wie Serverraum, Datenarchiv, Tresorraum) durch eine solche Anlage schützen. Gegen Einbrüche in das Gebäude, die auch ohne Diebstahl großen Schaden anrichten können, ist man dadurch jedoch nicht gefeit.

19.3.11. Funktelefone

Im Sommer 1997 wurde in verschiedenen Presseberichten auf ein neu entwickeltes, deutsches Gerät, den sog. IMSI-Catcher, aufmerksam gemacht. Mit diesem Gerät ist es möglich, den Standort von Mobiltelefonen zu ermitteln und Gespräche abzuhören, in dem es Schwachstellen in den Übertragungsprotokollen der Mobilfunktechnik (GSM = Global System for Mobile Communications, internationaler Standard für digitale zellulare Mobilfunknetze) ausnutzt. Der GSM-Standard wird auch in den in der Bundesrepublik verfügbaren Mobilfunknetzen verwendet. Diese Mobilfunknetze galten bis dahin allgemein als abhörsicher.

Die grundsätzliche Funktionsweise des IMSI-Catchers besteht darin, daß er eine legale Basisstation des jeweils ausgewählten Mobilfunknetzes simuliert und alle auf Empfang gestellten Mobilfunktelefone in seiner Reichweite zur Übermittlung ihrer IMSI/TMSI (IMSI = International Mobile Subscriber Identität, TMSI = Temporary Mobile Subscriber Identity), d. h. ihrer Benutzerkennung, auffordert. GSM-konform antworten die Mobiltelefone dieser stärksten (vermeintlichen) Basisstation und offenbaren dadurch, welche Benutzerkennungen sich zum jeweiligen Zeitpunkt in diesem geografischen Einzugsbereich aufhalten. Mobilfunktelefone, von denen ein Gespräch geführt wird, antworten nicht, so daß ein Aufschalten auf ein laufendes Telefongespräch nicht möglich ist.

Durch eine andere Softwareversion und in Kombination mit einem weiteren Mobilfunktelefon kann bei einem Verbindungswunsch des abzuhörenden Mobiltelefons das Gespräch, für den Benutzer nicht erkennbar, über den IMSI-Catcher geleitet werden. Dazu fängt der IMSI-Catcher zunächst in der oben beschriebenen Weise das Mobiltelefon und veranlaßt dieses GSM-konform zur unverschlüsselten Datenübertragung, so daß der Gesprächsinhalt abhörbar ist.

Die Ursachen für die Funktionstüchtigkeit des IMSI-Catchers liegen in den Schwächen des weltweiten GSM-Standards:

• Es erfolgt keine gegenseitige Authentifizierung zwischen Mobilfunktelefon und Basisstation. Eine Authentifizierung des Mobilfunktelefons geschieht erst nach Weiterreichen der Identifikationsdaten des Mobilfunktelefons an eine im Mobilfunknetz "weiter innen" liegende Schaltzentrale (MSC, Mobile Switching Center). Das Mobilfunknetz und seine Komponenten authentifizieren sich dem Mobilfunktelefon gegenüber überhaupt nicht, d.h. der Benutzer muß darauf vertrauen, mit seinem Mobilfunknetz über dessen Komponenten verbunden zu sein.
• Ob eine verschlüsselte Kommunikation erfolgt oder nicht, hängt technisch gesehen ausschließlich vom Mobilfunknetz, d.h. von der betreffenden Basisstation, ab. Dieses entscheidet, ob kryptiert wird oder nicht und "weist" das Mobilfunktelefon entsprechend an. Eine Einflußnahme durch den Mobilfunkteilnehmer ist nicht gegeben, eine Anzeige am Mobilfunktelefon "verschlüsselt/unverschlüsselt" ist nicht vorhanden. Nach Angaben der Netzbetreiber ist dies in dieser Form wegen der unterschiedlichen nationalen Regelungen zur Verwendung kryptografischer Methoden in Europa erforderlich und in der Bundesrepublik selbst soll die Kommunikation üblicherweise verschlüsselt erfolgen.

Wie im Arbeitspapier "Datenschutzfreundliche Technologien in der Telekommunikation" festgestellt wird, lagen die vorrangigen Zielsetzungen beim Aufbau der Mobilfunknetze in der Erbringung der geforderten Leistungen und in der funktionsgerechten Steuerung und Überwachung aller Aktivitäten für den Betreiber. Datenschutzfreundliche Techniken und mehrseitige Sicherheit haben bei der Systementwicklung keine Rolle gespielt. Nunmehr obliegt es den Betreibern, in geeigneter Form nachzubessern und es obliegt den Benutzern, derartige Nachbesserungen zu fordern.

Auf meine Nachfragen bei bayerischen Sicherheitsbehörden wurde erklärt, daß der IMSI-Catcher dort nicht eingesetzt wird.

19.3.12. Elektronische Steuererklärung (ELSTER)

In Abschnitt 21.3.6 meines 16. Tätigkeitsberichts (1994) bin ich auf ein Pilotverfahren des Bayer. Staatsministeriums der Finanzen eingegangen, bei dem Steuererklärungsdaten von der Lohnsteuerhilfe Bayern e.V. und von der DATEV e.G. auf elektronischem Weg an das Zentralfinanzamt übermittelt werden. Zur Datenübertragung wird der Telebox-400-Dienst der Deutschen Telekom AG bzw. das Übertragungsverfahren FTAM i.V.m. Wählleitungen benutzt. An diesem Verfahren können Steuerberater, die der DATEV e.G. angeschlossen sind, und die Beratungsstellen des Lohnsteuerhilfevereins Bayern e.V. teilnehmen. Eine unmittelbare Nutzung durch den Bürger ist mit diesen Verfahren nicht gegeben.

Bedingt durch die in den letzten Jahren

• drastisch gewachsene Anzahl an Personal Computern im Heimbereich,
• die breite Marktverfügbarkeit von Softwareprodukten zur Erstellung von Steuererklärungen und
• die Verbreitung des Internets mit seinen Möglichkeiten

verfolgt die Steuerverwaltung nun das Ziel, daß jedermann seine Steuererklärung direkt auch elektronisch übermitteln kann.

Bei dieser Fortentwicklung der Elektronischen Steuererklärung hat mich das Bayerische Staatsministerium der Finanzen leider nicht vorab beteiligt, so daß ich erst aus der Presse von dem Vorhaben erfahren habe und beim Bayerischen Staatsministerium der Finanzen schriftlich nachfragen mußte.

Im Rahmen des Projektes ELSTER erstellte die Steuerverwaltung einen Softwarebaustein, der in die kommerziell verfügbare Steuererklärungssoftware eingebaut werden kann und überließ diesen entsprechenden Softwareherstellern für einen Pilotversuch. Dieser Softwarebaustein druckt die Steuerklärung aus und veranlaßt die elektronische Datenübertragung an das Rechenzentrum der Steuerverwaltung. Zusätzlich zur elektronischen Übermittlung der Steuererklärung ist auch eine Steuererklärung in einer vereinfachten Form auf Papier abzugeben. Dies ist erforderlich, da für Steuererklärungen noch die eigenhändige Unterschrift gefordert wird (siehe hierzu Nr.19.1.4, Einsatz kryptografischer Verfahren - Signaturgesetz) und auch notwendige Belege zur Steuerklärung eingereicht werden können.

Wie im bisherigen Verfahren mit der Lohnsteuerhilfe Bayern e.V. und der DATEV e.G. wird eine sog. Telenummer auf der Steuerklärung aufgedruckt und auch den elektronisch übermittelten Daten mitgegeben. Dadurch ist eine zweifelsfreie Zuordnung der elektronischen zu den in Papierform vorliegenden Daten möglich.

Bevor die Daten vom privaten PC über Internet oder Wählleitung an die Steuerverwaltung abgeschickt werden, erfolgt eine durch den o.a. Softwarebaustein automatisch angestoßene kryptografische Verschlüsselung nach dem RSA/DES-Hybridverfahren. Im Rechenzentrum der Steuerverwaltung gelangen die übertragenen Daten zunächst in einen nicht vernetzten PC. Vor ihrer Weiterverarbeitung werden die Daten auf Viren geprüft und dechiffriert.

Im Rahmen einer Fortentwicklung ist daran gedacht, die Steuererklärung selbst als WWW-Formular im Internet zur Verfügung zu stellen, wodurch die Einbindung in ein Steuererklärungsprogramm entbehrlich würde.

Ergebnisse

Die Steuerverwaltung setzt ihre Bemühungen konsequent fort, die modernen IuK-Techniken zur weiteren eigenen Effizienzsteigerung und zu mehr Bürgerfreundlichkeit zu nutzen.

Dabei nutzt sie auch die Möglichkeiten der Kryptografie zur Sicherstellung der Vertraulichkeit bei der Datenübertragung über offene Netze und zur Sicherstellung der Datenintegrität. Den Aspekten der Authentizität und Zurechenbarkeit wird über die Zuordnung der elektronisch übermittelten Daten zu den in Papierform übermittelten Daten mittels der verwendeten Telenummer Rechnung getragen. Zum Schutz der Netzwerke der Steuerverwaltung vor unberechtigtem Zugriff von außen und vor Beschädigung durch Computerviren werden als Sicherheitsmaßnahmen ein einzelstehender PC als Kommunikations-PC und die Virenprüfung eingesetzt.

In Abhängigkeit

• von der Implementierung der Verschlüsselungsalgorithmen,
• von der verwendeten Schlüssellänge,
• von der Eineindeutigkeit der Erzeugung der Telenummer und
• von der Manipulationssicherheit des Softwarebausteins

hat die Steuerverwaltung - soweit erkennbar - alle derzeit verfügbaren Möglichkeiten ausgeschöpft, um eine datenschutzgerechte Lösung für die auch durch den Bürger selbst elektronisch übermittelte Steuererklärung zu ermöglichen.

19.3.13. Reinigung von Diensträumen und Aufbewahrung von Akten

Im Rahmen meiner technisch-organisatorischen Prüfungen stelle ich immer wieder fest, daß geeignete Behältnisse für die zugriffssichere Aufbewahrung von Akten mit personenbezogenem Inhalt nicht in ausreichendem Umfang zur Verfügung stehen. Ein unbefugter Zugriff Dritter, etwa durch Personal eines Reinigungsunternehmens, kann nicht ausgeschlossen werden. Dieses Thema war auch 1998 Gegenstand eines entsprechenden, letztlich abgelehnten Antrages mehrerer Abgeordneter an den Bayerischen Landtag.

Zur Lösung des Problems eröffnen sich eine Reihe von Möglichkeiten:

• Generelles Ziel sollte sein, in den jeweiligen Dienstzimmern eine ausreichende Anzahl an geeigneten Behältnissen zur zugriffssicheren Aufbewahrung dort benötigter schutzwürdiger Unterlagen bereitzustellen.
• Eine gewisse Entspannung der Situation läßt sich sehr häufig bereits dadurch erreichen, daß bei den Sachbearbeitern in den Diensträumen nur die jeweils unmittelbar benötigten Akten vorrätig sind.

Für derart reduzierte Mengen reichen die verschließbaren Behältnisse in den Dienstzimmern dann häufig aus. Archive und Registraturen sind wie zentrale EDV-Räume meist ohnehin aus dem üblichen Reinigungsverfahren ausgenommen, so daß sich hier die Problematik eines unberechtigten Zugriffs durch Dritte so nicht stellt.

• Gelegentlich ist auch eine Form des Mischbetriebs mit eigenem und fremdem Personal bei der Durchführung der Dienstgebäudereinigung vorzufinden.

Dabei sind besonders schutzwürdige Bereiche (z.B. Behördenleitung, Personalbereiche, Archive, DV-Räume) einer Reinigung durch eigenes Personal vorbehalten. Die übrigen Räume werden durch ein damit beauftragtes Unternehmen gereinigt.

• Sind vorübergehend keine der obigen Maßnahmen durchführbar und steht kein eigenes Personal für Reinigungsarbeiten (mehr) zur Verfügung, so sollte zumindest auf folgendes geachtet werden:
• Die Reinigung besonders sensibler Bereiche soll nur innerhalb der Dienstzeit erfolgen, da dann eine Beaufsichtigung durch eigene Bedienstete möglich ist.
• Das beauftragte Unternehmen soll schriftlich verpflichtet werden, immer nur dieselben Kräfte zur Reinigung des Dienstgebäudes einzusetzen.
• Die auftraggebende Behörde soll diese Reinigungskräfte gem. § 1 des Gesetzes über die förmliche Verpflichtung (Verpflichtungsgesetz) verpflichten.
• Nicht verpflichtete Reinigungskräfte können nur in nicht sensiblen Bereichen verwendet werden; in der Regel aber sollten sie stets verpflichtet werden
• Zur Kontrolle der Reinigungskräfte sollten Anwesenheitslisten geführt werden.

Sehr häufig wird angeführt, daß sich der Oberste Bayerische Rechnungshof in Abschnitt 16.1.1 seines Berichtes von 1990 für den Übergang von Eigenreinigung auf Fremdreinigung ausgesprochen habe. Dies ist zutreffend. Der Oberste Bayerische Rechnungshof hat aber auch darauf hingewiesen, daß es Bereiche geben kann, in denen aufgrund besonderer Sicherheitsanforderungen eine Eigenreinigung der Fremdreinigung vorzuziehen ist. Zu denken ist hier in erster Linie an den Finanz-, Sozial- und Justizbereich. In Krankenhäusern hat der Reinigungsdienst in der Regel keinen unbeobachteten Zugang zu Krankenakten.

Was die Beschaffung der erforderlichen Behältnisse betrifft, so verkenne ich nicht die Situation der Mittelknappheit in den öffentlichen Haushalten. Durch zeitliche Aufteilung der Beschaffungsmaßnahmen in Verbindung mit den oben erwähnten organisatorischen Maßnahmen bin ich jedoch überzeugt, daß sich eine datenschutzgerechte Lösung finden läßt.

19.4. Orientierungshilfen

19.4.1. Homepage des BayDSB

Mit Einrichtung einer eigenen Homepage ursprünglich auf dem Bayern-Server (http://www.bayern.de/dsb) habe ich am 13.02.1997 meine Internet-Präsenz begonnen.

Es freut mich, daß bis heute, also im Zeitraum von knapp zwei Jahren, über 90.000 Zugriffe auf meine Homepage aus nahezu allen europäischen Ländern und auch aus anderen Kontinenten erfolgten. Dies bedeutet durchschnittlich ca. 3.900 Seitenabrufe pro Monat. Besonders nachgefragt wurden dabei die Rubriken "Datenschutz aktuell" (mit Presseerklärungen und Beiträgen zu aktuellen Themen und Fragen) und die Rubrik "Informationsmaterial" (zu technischen und organisatorischen Fragen). Darüber hinaus sind natürlich weitere interessante Rubriken, wie z.B. Tätigkeitsberichte, im Angebot.

Mit der Verlagerung meiner Dienststelle zum Bayerischen Landtag habe ich meine Homepage an das dortige Angebot äußerlich angepaßt und inhaltlich überarbeitet. Sie ist nunmehr unter der Adresse "http://www.datenschutz-bayern.de" im Internet zu finden. Hinweise und Anregungen nehme ich gerne entgegen.

19.4.2. Zusammenstellung der neuen Orientierungshilfen

Im Berichtszeitraum wurden in meiner Dienststelle folgende Orientierungshilfen neu erstellt bzw. überarbeitet:

• Datensicherheit bei der Installation und beim Betrieb von Datenverarbeitungsanlagen - RM200, RM300, RM400, RM600, RM1000 - mit dem Betriebssystem SINIX/Reliant UNIX der Siemens Informationssysteme AG (diese Orientierungshilfe wurde in Zusammenarbeit mit Mitarbeitern der Siemens Nixdorf Informationssysteme AG erstellt)
• Sicherheitsbelehrung für die Benutzung von Personal Computern (diese Orientierungshilfe ersetzt die bisherige Orientierungshilfe "Verpflichtungserklärung für PC-Benutzer")
• Datensicherheit bei der Installation und beim Betrieb von Windows NT

Der Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder hat die Orientierungshilfe zu "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" vollständig überarbeitet und neu herausgegeben.

Diese Unterlagen können bei meiner Geschäftsstelle kostenlos angefordert werden und stehen auch auf meiner Homepage zum Abruf über das Internet zur Verfügung.

19.4.3. Werkzeug zum BSI-Grundschutzhandbuch

Im Abschnitt 18.4.1. meines 18. Tätigkeitsberichts war ich auf den Grundschutz im allgemeinen und das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) u.a. in Zusammenarbeit mit einigen Aufsichtsbehörden erstellte IT-Grundschutzhandbuch (IT-GSHB) eingegangen.

Das BSI stellt als Ziel des Grundschutzes dar, daß durch geeignete Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standardsicherheitsmaßnahmen ein grundlegendes Sicherheitsniveau für IuK-Systeme erreicht werden soll. Dieses erreichbare Sicherheitsniveau ist für einen mittleren Schutzbedarf angemessen und ausreichend. Da es sich dabei um die überwiegende Zahl der IuK-Systeme handeln dürfte, verringert sich durch die Anwendung des IT-GSHB der Aufwand für die Erstellung des Sicherheitskonzeptes erheblich. Für IuK-Systeme mit höherem Schutzbedarf kann der Grundschutz als Ausgangsbasis dienen.

In den Jahren 1997 und 1998 wurde das IT-Grundschutzhandbuch überarbeitet. Es wurde u.a. um folgende Bausteine ergänzt:

• Häuslicher Arbeitsplatz

• Allgemeines nicht vernetztes IT-System

• Novell 4.x-Intranetware

• Heterogene Netze

• Elektronischer Datenaustausch per E-Mail

• LAN-Anbindung eines IT-Systems über ISDN

• Datenbanken

• Telearbeit

Da sich auch die Arbeit mit dem gedruckten IT-GSHB noch relativ zeitaufwendig gestaltete, beauftragte das BSI ein Unternehmen mit der Entwicklung und dem Vertrieb eines entsprechenden DV-gestützten Werkzeugs. Dieses Werkzeug, das BSI-Tool IT-Grundschutz, kann beim Bundesanzeiger-Verlag, Postfach 10 05 34, 50445 Köln, Tel: 0221/97668-200, Fax: 0221/97668-278, ISBN: 3-88784-853-5, bezogen werden. Die jährlich neu erscheinende Version des IT-GSHB kann mittels einer Importfunktion in das Tool importiert werden.