Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.08.2007
3.1 Erstellung einer Dienstanweisung
3.2 Protokollierung
3.3 Analyse des Kommunikationsbedarfs
3.4 Erstellung einer Security Policy und eines Sicherheitskonzeptes
3.5 Sicherheitsmaßnahmen innerhalb des Landkreis-Behördennetzes
3.6 Abschottung der Netzteilnehmer untereinander
3.7 Absicherung der Übergänge ins externe Netz
3.8 Einsatz von Firewall-Systemen
3.9 Nutzung von Intrusion Detection Systemen
3.10 Absicherung der eigenen Web-Server
3.11 Einsatz von virtuellen privaten Netzen (VPN)
3.12 Ausfiltern unerwünschter Seitenzugriffe (Content-Filtering)
3.13 Verschlüsselung und elektronische Signatur
3.14 Bekämpfung von Schadenssoftware (Malware)
3.15 Generierung der Web-Browser
3.16 Sicherheitsmaßnahmen bei der Kommunikation mit dem Bürger
4.1 Allgemeine Hinweise
4.2 Behandlung von virenverdächtigen Mails bzw. Spam-Mails
4.2.1 Löschung bzw. Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der ausschließlich dienstlichen Nutzung
4.2.2 Löschung oder Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der privaten Nutzung
4.2.3. Blocken von Spam-Mails
Immer mehr Landratsämter errichten für ihre Verwaltungen und für die Kommunen ihres Landkreises ein so genanntes Landkreis-Behördennetz. Viele dieser Kommunalen Behördennetze sind auch an das Bayerische Behördennetz angeschlossen.
Ziele dieser speziellen Art eines Intranets sind beispielsweise:
Einem Landkreis-Behördennetz drohen (wie jedem anderen Netz auch) Gefahren, die sowohl von den eigenen Mitarbeitern, als auch von außenstehenden Dritten und von technischen Mängeln ausgehen können. Dabei stellen insbesondere alle Übergänge von und nach außen potenzielle Gefahrenquellen dar. Die Bedrohungen der Sicherheit des Landkreis-Behördennetzes können sowohl unbeabsichtigt (z. B. fehlerhafte Eingaben von Mitarbeitern bzw. Fehlbedienung, Fehler in der Infrastruktur und Technik, Softwarefehler, höhere Gewalt) als auch beabsichtigt (z. B. unautorisierter Zugang zum Netzwerk bzw. Missbrauch von Zugriffsrechten, unbefugte Informationsbeschaffung, unbefugte Datenveränderung, Vortäuschen einer falschen Identität, Erschleichen von Übertragungsdienstleistungen, unbefugte Beeinträchtigung der Funktionalität und Sabotagehandlungen) sein.
Die aufgeführten Gefahren bedrohen die
(Vertraulichkeit bedeutet, dass nur befugte Personen (personenbezogene) Daten zur Kenntnis nehmen können.)
(Durch die Gewährleistung der Integrität wird die Echtheit, Korrektheit und Vollständigkeit der Daten, Systeme und Netze sichergestellt.)
(Verfügbarkeit bedeutet, dass der Zugriff auf Informationen sowie IT-Systemen und Komponenten für Berechtigte innerhalb definierter Zeitspannen möglich ist.)
(Authentizität stellt sicher, dass die Daten ihrem Ursprung (z. B. Erzeuger) zugeordnet werden können. Der Begriff Authentizität wird auch verwendet, wenn die Identität von IT-Komponenten oder Anwendungen geprüft wird.)
(Anwendungs- oder sicherheitsrelevante Aktionen und Ereignisse müssen auch nachträglich beweisbar sein)
der Daten.
Einige der größten Gefahren im Landkreis-Behördennetz (mit Anschluss ans Internet) sind:
Zur Gewährleistung der Datensicherheit innerhalb des Landkreis-Behördennetzes sollte vom Betreiber dieses Netzes (in der Regel das Landratsamt) ein entsprechendes Sicherheitskonzept erarbeitet werden, in dem beispielsweise auch die private E-Mail- und Internet-Nutzung geregelt ist. Das Sicherheitskonzept sollte insbesondere auf folgenden Maßnahmen beruhen:
Bezüglich der Nutzung des Landkreis-Behördennetzes/Internets und der zur Verfügung gestellten Dienste sollte eine Dienstanweisung erstellt werden, die allen Benutzern schriftlich zur Kenntnis gebracht werden muss. Sinn dieser Richtlinie ist die Sensibilisierung der Benutzer für die Gefahren bei der Nutzung des Internets bzw. Intranets und die Vermittlung von Verhaltensregeln. Begleitend zu der Betriebsanweisung muss eine Schulung zu Sicherheitsmaßnahmen erfolgen. Außerdem müssen die Benutzer darüber aufgeklärt werden, dass ihre Verbindungen ins Internet (bei Verbot der Privatnutzung) protokolliert werden. Dabei sollte der Grund der Protokollierung (Festhaltung der Verstöße gegen die vorgegebenen Datensicherheits- und Datenschutzregeln) erläutert werden. Die Aufklärung hat auch einen gewissen Warneffekt, der Anwender von einem potenziellen Missbrauch abhalten kann.
Bei einer regelmäßig (täglich) stattfindenden Auswertung der Protokolle muss es - wie erwähnt - vor allem darum gehen, Verstöße gegen die vorgegebenen Datensicherheits- und Datenschutzregeln festzuhalten, um deren Ursachen nachgehen zu können. Gemäß Art. 17 Abs. 4 BayDSG ist eine Verarbeitung und Nutzung von gespeicherten Protokolldaten nur zulässig, wenn sie ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitung dienen. Durch eine Dienstvereinbarung mit dem Personalrat muss daher sichergestellt sein, dass das Instrument der Protokollierung nicht zweckentfremdet verwendet wird, etwa für die Durchführung einer Verhaltens- oder Leistungskontrolle der Mitarbeiter. In dieser Vereinbarung sollten die zulässigen Auswertungen der Protokolldateien (wer darf diese wie, mit welchen Hilfsmitteln, in welchen Abständen und zu welchen Zwecken auswerten) sowie die Art ihrer Nutzung festgelegt werden (siehe auch Nr. 4 - Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz).
Sonstige Hinweise zur Protokollierung enthalten die Orientierungshilfen "Datenschutzrechtliche Protokollierung beim Betrieb informationstechnischer Systeme (IT-Systeme)" sowie "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" (beide auf unserer Homepage).
Bereits während der Planung des Landkreis-Behördennetzes sollte eine Analyse des Kommunikationsbedarfs innerhalb und außerhalb des Netzwerkes durchgeführt werden. Dabei sollte ein strenger Maßstab angelegt werden. Selbst wenn die Erforderlichkeit bejaht wird, ist zu prüfen, ob dabei die erforderliche Sicherheit gewährleistet werden kann. Insbesondere ist Folgendes zu analysieren und zu regeln:
Aufgrund der Kommunikationsanforderungen und einer ebenfalls durchgeführten Risikoanalyse muss ein ausführliches Regelwerk, eine so genannte Security Policy, erstellt werden, in dem die Bedingungen zur Einrichtung, zum Betrieb und zur Verwaltung der Systeme für die Verbindungen zum Internet/Intranet festgelegt werden. Diese Security Policy enthält Festlegungen in Bezug auf Firewalls sowie flankierende Vorgaben z. B. hinsichtlich Virenschutz und Notfallkonzept.
Diese Security Policy sollte schließlich in der Erstellung eines Sicherheitskonzeptes für die Nutzung des Internets/Intranets münden. Dieses Sicherheitskonzept enthält dann die konkreten Umsetzungsmaßnahmen.
Neben den aus dem lokalen Netz bekannten Sicherheitsmaßnahmen (z. B. rigorose Einschränkung der Zugriffs- und Nutzungsrechte auf das unbedingt Notwendige, Auswertung von Sicherheitsverletzungen in den maschinell geführten Protokollen und effektiver Passwortschutz - siehe Sicherheitsgrundsätze zur Passwortvergabe, -wahl und -verwaltung auf der Homepage des Bayer. Landesbeauftragten für den Datenschutz) müssen zur Absicherung des Intranets zusätzliche Maßnahmen ergriffen werden. So müssen beispielsweise alle Server und Firewalls durch Maßnahmen der Zugangskontrolle physisch geschützt werden. Die Datenzugriffe auf Server und insbesondere die Nutzung administrativer Berechtigungen müssen intensiv mit Hilfe der Protokollierung überwacht werden (beachte aber Einschränkungen bezüglich der Protokollierung bei der gestatteten privaten Nutzung des Internets und des E-Mail-Dienstes im Kapitel 4).
Es muss natürlich durch Ergreifung entsprechender Sicherheitsmaßnahmen (z. B. durch Nutzung von zusätzlichen Firewalls) auch eine Abschottung der Netzteilnehmer untereinander gewährleistet sein, sodass beispielsweise der Netzbetreiber oder die Gemeinde A nicht unerlaubterweise auf die im Netz der Gemeinde B gespeicherten Daten zugreifen kann.
Entsprechende Sicherheitsmaßnahmen müssen auch zur Gewährleistung der Vertraulichkeit beim Versand von internen E-Mails getroffen werden.
Alle Übergänge zum externen Netz müssen rigoros abgesichert und überwacht werden, um ein unbefugtes Eindringen in das Intranet und damit ein Lesen, Ändern und Löschen von (personenbezogenen) Daten verhindern zu können.
Mittlerweile existieren einige Sicherheitsverfahren, mit denen sich die Identität eines Teilnehmers überprüfen lässt, bevor er Zugang zum System erhält:
Bei einem Call Back-Verfahren wird der anrufende Teilnehmer vom System identifiziert und die Verbindung wird zunächst abgebrochen. Durch eine eingespeicherte Rückrufnummer wird der Anrufer angewählt und dadurch seine Identität überprüft.
Das Softwareverschlüsselungssystem Kerberos (benannt nach dem dreiköpfigen Höllenhund aus der griechischen Sage) hat durch die Einbindung in Microsofts Active Directory einen neuen Aufschwung bekommen und sich zum Standard für die sichere Benutzeranmeldung entwickelt. Kerberos ermöglicht eine sichere und einheitliche Authentisierung in einem heterogenen Netzwerk, indem es Passwörter verschlüsselt und mittels einer Verständigung (über so genannte "Tickets") zwischen den Computern den Anwender eindeutig authentifiziert. Die Kommunikationspartner stellen sich in verschlüsselter Form je eine Meldung zufälligen Inhalts zu (Zweiweg-Authentisierung), die nur sie entschlüsseln können.
Jeder Anwender erhält vom System eine Liste mit einmalig verwendbaren Passwörtern, die er mit jedem Zugang der Reihe nach abarbeitet. Sind die Passwörter aufgebraucht, verschickt das System automatisch eine neue Liste.
Beim Challenge Response-Verfahren stellt ein Kommunikationsteilnehmer dem anderen eine Aufgabe (engl. challenge), die dieser lösen muss (engl. response), ohne dass er dieses Wissen veröffentlichen darf - da es sonst von Unbefugten zur Kenntnis genommen und für eigene Zwecke verwendet werden könnte. Bezüglich einer Authentifikation bedeutet dies, der Kommunikationsteilnehmer muss nicht das richtige Passwort übertragen, sondern er muss lediglich sicher beweisen, dass er das Passwort kennt. So muss er beispielsweise eine zufällig ausgewählte Frage (zumeist eine mathematische Verknüpfung von Zahlen -) beantworten, bevor er Zugang erlangt. Die Form der Verknüpfung ist nur dem betreffenden Teilnehmer bekannt.
Firewall-Systeme (aus dem Englischen: Brandschutzmauern) sind Lösungen und Konzepte, die ein eigenes sicheres Netzwerk vor der Außenwelt schützen sollen. Sie bestehen aus einer oder mehreren Hard- und/oder Softwarekomponenten oder nur aus Software, die einen kontrollierten zentralen Übergang zwischen zwei Netzen darstellen.
Der Hauptzweck einer Firewall besteht also darin, den Benutzern eines externen Netzes die Dienste des internen Netzwerks zu verweigern und zu verhindern, dass interne Daten nach außen gelangen, dabei aber gleichzeitig den internen, berechtigten Benutzern alle notwendigen Dienste des externen Netzwerks (z. B. des Internets) zur Verfügung zu stellen. Ein weiteres Ziel ist es, potentielle Angreifer schnellstmöglich zu erkennen und abzuwehren. Firewalls können helfen, Cracker und Hacker von Netzwerken fernzuhalten. Nahezu jedes Sicherheitssystem kann aber überwunden werden, wenn man entsprechende intensive Bemühungen einsetzt.
Für komplexe Netzwerke und insbesondere für Netze mit heterogenen Schutzbedürfnissen von Teilnetz zu Teilnetz (z. B. innerhalb eines Landkreis-Behördennetzes) oder gar von Rechner zu Rechner kann auch eine Kaskadierung von Firewall-Systemen erforderlich sein, d.h. einzelne oder alle Teilnetze schützen sich ihrerseits nochmals selbst durch ein geeignetes Firewall-System gegenüber den anderen Teilnetzen (siehe vorhergehender Punkt). Dadurch ist eine feinere Abstimmung auf die spezifischen Schutzbedürfnisse in jedem einzelnen Teilnetz möglich, der finanzielle, administrative und organisatorische Aufwand steigt allerdings entsprechend an.
Außerdem sollten zumindest bei größeren Landkreis-Behördennetzen zusätzliche Filterelemente (beispielsweise Router) vor- und nachgeschaltet werden.
Wie jede Brandschutzmauer in einem Gebäude kann aber auch ein Firewall-System keinen hundertprozentigen Schutz gegen alle Risiken bieten. Die Schutzwirkung von Firewall-Systemen kann sich nur unter wohl definierten Umständen und Konfigurationen und nur gegenüber bestimmten, d.h. bekannten, Risiken und Angriffsversuchen entfalten. Die Stärke eines Firewall-Systems hängt wesentlich von der eingesetzten Technik und ihrer korrekten Konfiguration und Administration ab.
Außerdem kann eine Firewall nur diejenigen Kommunikationsverbindungen schützen, von denen sie durchlaufen wird. Existieren zusätzliche Übergangsmöglichkeiten zu unsicheren Netzen, wird die Firewall unterlaufen. Daher müssen zusätzliche Sicherheitsmaßnahmen, wie z. B. Authentisierung, der Firewall nachgeschaltet werden und es vervollständigen. Zur Gewährleistung der Datenintegrität ist außerdem eine generelle Virenprüfung sämtlicher übertragenen Dokumente (gilt auch für E-Mail) mit möglichst zwei unterschiedlichen, aktuellen Virensuchprogrammen unbedingt erforderlich.
Nähere Informationen über den Einsatz von Firewalls - insbesondere auch hinsichtlich der Auswertung der Firewall-Protokolle - enthält die Orientierungshilfe "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz.
Als Ergänzungssoftware zu Firewalls wurden die so genannten Intrusion Detection Systeme (IDS) entwickelt. Diese Analysesysteme sind primär auf das Entdecken von Eindringlingen ausgelegt und erlauben dabei - sobald Unregelmäßigkeiten festgestellt werden - ein automatisches Auslösen von Alarmen und/oder von Gegenmaßnahmen, z.B.:
Im Gegensatz zu Firewalls überwachen Intrusion Detection Systeme den gesamten Datenverkehr auch innerhalb eines LAN oder Intranets. Damit können auch Angriffe aus dem eigenen Netz erkannt und abgefangen werden.
Intrusion Detection Systeme können durch das Sammeln von Informationen auch Angriffe erkennen, die sich über einen längeren Zeitraum erstrecken bzw. versuchen, sich zu tarnen.
Sind die eingesetzten IDS in der Lage, selbstständig und automatisch Gegenmaßnahmen zu ergreifen (z. B. die Beendigung der Internetverbindung) so spricht man von Intrusion Prevention Systemen (IPS).
Zum Schutz der Inhalte und Anwendungen auf dem eigenen Web-Server vor unbefugtem Zugriff oder Veränderung, ist es zunächst wichtig, die Rechte der eigenen Benutzer klar festzulegen, die Inhalte auf dem Server einstellen bzw. pflegen dürfen.
Als nächstes muss der Web-Server gegen Angriffe von außen (also z. B. über das Internet, aber auch aus dem Intranet heraus) abgesichert werden. Neben Angriffen auf die Webserver-Anwendung sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme möglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventuell vorhandenen FTP-Zugang oder auf freigegebene Verzeichnisse.
Ebenfalls in den Schutz mit eingebunden werden müssen, die zur Realisierung eines Webangebots genutzten weiteren IT-Systeme, z. B. die Datenbankserver, da immer mehr Webangebote nicht mehr ausschließlich aus statischen HTML-Seiten bestehen, sondern beispielsweise über entsprechende Anwendungen Zugriff auf Datenbanken bieten.
Für den Schutz von Web-Servern sind insbesondere folgende Maßnahmen erforderlich:
Ein VPN ist ein privates Netzwerk, welches von der öffentlichen Telekommunikationsstruktur Gebrauch macht, gleichzeitig die Privatsphäre durch den Einsatz von so genannten Tunnelling- und Sicherheitsprotokollen sowie starker Verschlüsselungstechniken schützt und in der Regel über das Internet realisiert wird. Dabei wird sich häufig den Funktionen von Firewalls bedient. So sollen beispielsweise die Vertraulichkeit und Integrität der Datenübertragung sowie die Benutzerauthentisierung gewährleistet sein.
Virtuell bedeutet dabei, dass der Anwender glaubt, seine Daten laufen über exklusive (private) Verbindungen. In Wirklichkeit wird die vorhandene Netzstruktur jedoch - aus Kostengründen - von verschiedenen Anwendern gemeinsam genutzt.
Das Ausfiltern unerwünschter Seitenzugriffe kann durch den Einsatz von Verfahren unterstützt werden, die es erlauben, die Zugriffe aus dem Landkreis-Behördennetz auf das Internet inhaltsabhängig (z. B. nach Sex, Gewalt oder kriminellen Inhalten) zu filtern und gegebenenfalls zu blockieren. Bei der Filterung werden aufgerufene Internetadressen mit den Listen der aktivierten Kategorien verglichen. Bei Übereinstimmung wird der Zugriff auf das angeforderte Internetangebot abgewiesen und der Anwender mit einem entsprechenden Hinweis darüber informiert. Die Pflege dieser Adresslisten bedingt allerdings einen hohen Verwaltungsaufwand.
Beim Versand von Nachrichten und sonstigen Informationen über das Internet ist zu berücksichtigen, dass das Internet ein offenes Netz ist und von sich aus derzeit keinerlei Schutzmechanismen zur Wahrung der Vertraulichkeit, Integrität und Authentizität bietet. Deshalb sind alle über das Internet zu versendenden schutzwürdigen Daten (z. B. bei Versand per E-Mail oder mit FTP) zu verschlüsseln und soweit möglich elektronisch zu signieren. Dies setzt voraus, dass der Empfänger auch über entsprechende Vorrichtungen verfügt, die es ihm gestatten, die Zeichenfolge wieder zu entschlüsseln und die Signatur zu verifizieren.
Wichtig ist dabei, dass bei E-Mails nicht nur die Nachrichten selbst verschlüsselt werden, sondern auch deren Anlagen, soweit schutzwürdige Inhalte gegeben sind.
Als hinreichend sichere Algorithmen gelten derzeit beispielsweise Triple-DES mit 112 oder IDEA mit 128 Bit Schlüssellänge. Für asymmetrische Verfahren wie RSA wird empfohlen, eine Schlüssellänge von wenigstens 2048 Bit zu verwenden. Softwareprodukte dazu stehen im Internet sowie auf dem Markt zur Verfügung.
Eine Verschlüsselung der internen E-Mails (also auch innerhalb des Landkreis-Behördennetzes) ist immer dann durchzuführen, wenn personenbezogene Daten übertragen werden, die anderen Mitarbeitern (also auch den Systemverwaltern) nicht zur Kenntnis gelangen dürfen und der unerlaubte Zugriff auf die E-Mails nicht ausgeschlossen werden kann.
Die elektronische Unterschrift gewährleistet zwar nicht die Vertraulichkeit einer Datenübertragung aber deren Integrität und Authentizität. Mit ihrer Hilfe kann also
Schadenssoftware (z. B. Viren, Trojanische Pferde, Würmer, Spyware, Phishing- und Spam-Mails, Pharming, Dialer) sind in erster Linie unerwünschte, potenziell gefährliche, Eindringlinge. Als Schutz gegen sie ist der Einsatz aktueller Bekämpfungsprogramme (z. B. Virenscanner, Anti-Spyware, Anti-Dialer) unbedingt erforderlich, die möglichst auf allen Ebenen (z. B. bei der Firewall, beim Web- und Mail-Server, bei den Endgeräten) eingesetzt werden sollten.
Damit ein Angriff mittels Schadenssoftware überhaupt stattfinden kann, benötigt der Täter in irgendeiner Art Zugang zu einem Rechner oder einem Netzwerk - z. B. über eine Netzwerk- oder Telefonverbindung, einen E-Mail-Versand oder einem Datenträger. So wird heutzutage beispielsweise ein Großteil der Schadenssoftware durch den E-Mail-Verkehr, beim Websurfen oder durch das Herunterladen von Dateien aus dem Internet eingeschleust.
Die Arten der Schadenssoftware nehmen zwar ständig zu und einen absoluten Schutz vor ihnen gibt es nicht. Mit dem nötigen Wissen lassen sich jedoch Schäden begrenzen und Infektionen weitgehendst vermeiden. Dazu können insbesondere folgende allgemeine Maßnahmen dienen:
Im Rahmen des E-Mail-Verkehrs sind insbesondere folgende Maßnahmen zu ergreifen:
Nahezu die gleichen Gefahren wie beim E-Mail-Verkehr bestehen beim Herunterladen von Dateien aus dem Internet. Auch sie können beispielsweise Viren, Trojanische Pferde oder Spyware enthalten. Deshalb sollten hierbei folgende Schutzmaßnahmen ergriffen werden:
Auch wenn Pharming-Angriffe nur schwer erkennbar sind, können doch eine Reihe von Vorsichtsmaßnahmen zur Verhinderung oder Entdeckung eines derartigen Angriffes ergriffen werden. Einige der wichtigsten sind:
Die in diesem Kapitel aufgeführten Schutzmaßnahmen sind natürlich nicht abschließend zu sehen. So sind - aufgrund der immer wieder neu entstehenden Arten von Schadenssoftware - im Regelfall weitere Maßnahmen zu ergreifen, auf die an dieser Stelle nicht eingegangen werden kann.
Bei Web-Browsern sollten immer nur die Funktionen und Programme aktiviert werden, die zwingend benötigt werden. So sollten aus Gründen einer Virengefährdung und zur Vermeidung des Ausforschens von Nutzern der Rechner bei der Verwendung der gängigen Webbrowser Internet Explorer und Firefox zumindest bei den für das Internet berechtigten PC das Ausführen von ActiveX-Scripts und das Aktivieren von Java-Programmen ausgeschaltet (im Menü "Extras/Internetoptionen/Sicherheit" beim Microsoft Internet Explorer bzw. im Menü "Extras/Einstellungen/Inhalt" beim Firefox) werden. Dies ist hat natürlich zur Folge, dass alle Internetseiten, die mit solchen Programmen gestaltet sind, unter Umständen nicht mehr oder auch nicht richtig angezeigt werden können.
Ist ein Deaktivieren der aktiven Inhalte nicht möglich, sollte zumindest darauf geachtet werden, dass die eingesetzten Browser nur zertifizierte ActiveX-Controls akzeptieren. Einen weiteren Schutz bieten Java-Filter, die Listen mit Servern definieren, von denen Java-Applets akzeptiert werden. Bei den neueren Browser-Versionen ist zudem das Arbeiten mit signierten Applets möglich.
Da auch durch die Verwendung der plattformunabhängigen Scriptsprache Javascript Gefahren drohen, sollte diese Funktionalität ebenfalls in den Browsern ausgeschaltet oder nur mit zertifizierten Javascript-Codes gearbeitet werden.
Auch die AutoVervollständigen-Funktion der Browser, wodurch die Eingaben von Benutzerkennungen und Passworten gespeichert werden, sollte nicht genutzt werden.
Cookies stellen zwar bisher noch keine so große Gefahr für die Computersicherheit dar, können aber zur Gewinnung von Nutzerprofilen missbraucht werden. Deshalb sollten die Browser so konfiguriert werden, dass Cookies gar nicht oder wenigstens nicht automatisch akzeptiert werden und alle Cookies, die auf der Festplatte des Anwenders gespeichert werden, zumindest angezeigt werden. Der Inhalt des entsprechenden Ordners bzw. der Datei kann natürlich auch (manuell) gelöscht werden. Dies sollte regelmäßig geschehen.
Ob Daten im Internet verschlüsselt übertragen werden, kann zwar nur von dem Server festgelegt werden, dessen Webseiten abgerufen werden, die meisten Web-Browser besitzen jedoch die Möglichkeit, eine Warnung auszugeben, wenn Daten unverschlüsselt übertragen werden sollen. Diese Warnmöglichkeit sollte unbedingt eingeschaltet werden.
Die Browser selbst verfügen über Verschlüsselungsprogramme mit unterschiedlichen Verschlüsselungsstärken.
Bei den meisten Browsern kann vordefiniert werden, ob ein Benutzer die Sicherheitseinstellungen ändern darf oder nicht. Soweit möglich, sollte eine Änderungsmöglichkeit durch den Benutzer unterbunden werden.
Mit Hilfe eines Online-Checks können Personal Computer auf sichere Browser-Einstellungen und mögliche Sicherheitslücken hin überprüft werden.
Eines der Ziele eines Landkreis-Behördennetzes ist - wie erwähnt - die Online-Kommunikation mit dem Bürger mittels Homepages. Dabei ist zu beachten, dass durch Unkenntnis über zulässige Informationsinhalte und durch fehlerhafte oder unzureichende technische und organisatorische Maßnahmen es möglich ist, auf diese Art schutzwürdige Informationen im Internet und im Intranet unzulässigerweise allgemein zugänglich zu machen und so gegen Datenschutzbestimmungen zu verstoßen.
Als Kommunikationsarten kommen in erster Linie in Betracht:
Während bei der Bereitstellung von Informationen und für das Herunterladen von Formularen keine speziellen Sicherheitsmaßnahmen zu beachten sind, müssen beim Versand von E-Mails und von online ausgefüllten Formularen Maßnahmen zum Schutz der Vertraulichkeit und Integrität der Daten und zur Sicherstellung der Authentizität ergriffen werden.
So muss darauf hingewiesen werden, ob eine Verschlüsselung der Daten bei der Übertragung möglich ist und gegebenenfalls der öffentliche Schlüssel der Dienststellen bzw. des Sachbearbeiters veröffentlicht oder Verschlüsselungsprotokolle (z. B. SSL) angeboten und verwendet werden. Beim Online-Versand von ausgefüllten Formularen müssen zusätzlich Authentisierungsmechanismen (z. B. Einsatz der elektronischen Signatur) vorhanden sein.
Bei der Gestaltung der Homepage(s) sollte die Orientierungshilfen zur "Gestaltung des Internetauftritts" (auf der Homepage des Bayer. Landesbeauftragten für den Datenschutz im Bereich Technik zu finden) beachtet werden.
Erlauben die an das Landkreis-Behördennetz angeschlossenen Gemeinden nur die dienstliche Nutzung von Internet und E-Mail, sind sie ihnen gegenüber kein Telemedienanbieter im Sinne des Telemediengesetzes (TMG). Somit ist die Kontrolle der Internet- und E-Mail-Nutzung im Rahmen der Erforderlichkeit zulässig. Gegen eine Protokollierung der Zugriffe der Beschäftigten mit Tag, Uhrzeit, Beginn und Dauer der Internet-Nutzung sowie der Absender- und Zieladressen bestehen aus datenschutzrechtlicher Sicht keine Einwendungen. Der Dienstherr hat das Recht, stichprobenartig zu prüfen, ob das Surfen bzw. E-Mail-Versenden der Beschäftigten dienstlicher Natur ist. Eine automatisierte Vollkontrolle durch den Dienstherrn ist als schwer wiegender Eingriff in das Persönlichkeitsrecht des Beschäftigten dagegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Bei ausschließlich erlaubter dienstlicher Nutzung darf der Dienstherr auch von ein- und ausgehenden E-Mails seiner Beschäftigten im selben Maße Kenntnis nehmen wie von deren dienstlichem Schriftverkehr. Datenschutzrechtlich zulässig ist also beispielsweise eine Verfügung des Vorgesetzten, ihm jede ein- oder ausgehende dienstliche E-Mail seiner Mitarbeiterinnen und Mitarbeiter zur Kenntnis zu geben. (Vgl. zum Ganzen Wilde/Ehmann/Niese/Knoblauch, Bayerisches Datenschutzgesetz, Kommentar, Teil C, Handbuch XIV.10.c aa und d aa.)
Bei Beschäftigten, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen (z.B. Psychologen, Ärzte, Sozialarbeiter und -pädagogen), muss nach der Rechtsprechung des Bundesarbeitsgerichts zu Verbindungsdaten über dienstliche Telefonate eine Kenntnisnahme des Dienstherrn vom Inhalt der Nachrichten und den Verbindungsdaten, die einen Rückschluss auf die betroffenen Personen zulassen, ausgeschlossen werden. Die Nutzungs- und Verbindungsdaten der Personalvertretung dürfen nur insoweit kontrolliert werden, als dies im Einzelfall aus Gründen der Kostenkontrolle erforderlich ist. Fallen aber - was überwiegend der Fall sein wird - nur unerhebliche Kosten bei der Nutzung von Internet und E-Mail an, ist eine Auswertung dieser Daten unzulässig.
Gestattet eine dem Landkreis-Behördennetz angeschlossene Gemeinde als Arbeitgeber ihren Bediensteten die private Nutzung des Internets und des E-Mail-Dienstes, ist sie ihnen gegenüber Telemedienanbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 TKG verpflichtet. Dabei spielt es keine Rolle, ob der Arbeitgeber diese Dienste direkt selbst anbietet, oder sich dazu eines Anderen (hier des Landratsamtes) bedient.
Der Arbeitgeber ist ferner gemäß § 109 TKG unter anderem dazu verpflichtet, technische Vorkehrungen oder sonstige Maßnahmen bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten zu treffen.
Das Fernmeldegeheimnis umfasst nicht nur den Inhalt der Kommunikation, sondern auch deren nähere Umstände (Wer hat mit wem kommuniziert?). Dem Arbeitgeber ist es somit untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telemedien erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 TKG). Im Falle der Zulassung der privaten Nutzung ist daher, wenn sich - wie in der Regel - die private von der dienstlichen Nutzung technisch nicht trennen lässt, die Protokollierung nur zulässig, soweit sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs oder für Abrechnungszwecke erforderlich ist oder die Betroffenen eingewilligt haben. Aus diesem Grund kann der Dienstherr die Gestattung der privaten Nutzung davon abhängig machen, dass die Beschäftigten einer Protokollierung zur Durchführung einer angemessenen Kontrolle der Netzaktivitäten zustimmen. Wird eine Protokollierung aufgrund der (informierten) schriftlichen Einwilligung des Beschäftigten vorgenommen, ist allerdings eine Auswertung von Protokollen nur im Rahmen dieser Einwilligung zulässig. Diese ausdrückliche Einwilligung kann auch nicht durch eine Regelung in einer Dienstvereinbarung ersetzt werden kann.
Außerdem ist - soll beispielsweise eine Protokolldatenauswertung nach "unerwünschten Seitenzugriffen" im Internet stattfinden - für die Protokolldatei eine datenschutzrechtliche Freigabe nach Art. 26 BayDSG erforderlich, da diese nicht dem § 2 Abs. 1 Datenschutzverordnung unterfällt.
Nach Art. 75 a Abs. 1 Nr. 1 BayPVG hat der Personalrat sowohl im Fall der rein dienstlichen als auch im Fall der zugelassenen privaten Nutzung über Kontrollmaßnahmen (insbesondere Protokollierung und Auswertung) zur Internet- und E-Mail-Nutzung am Arbeitsplatz mitzubestimmen, da es sich in jedem Fall um eine Verhaltenskontrolle handelt. Aus datenschutzrechtlicher Sicht empfehle ich, über die Nutzung von E-Mail und Internet eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden (vgl. Art. 73 Abs. 1 Satz 1 BayPVG).
Zur Entzerrung des Problems besteht natürlich die Möglichkeit, für die Beschäftigten separate E-Mail-Adressen zur privaten Nutzung einzurichten oder - falls das private Surfen im Internet erlaubt ist - sie auf die Nutzung eines (kostenlosen) Web-Mail-Dienstes zu verweisen. Allerdings ist dies mit einem erhöhten Aufwand verbunden und das Problem des personenbezogenen Inhalts der Mail bleibt trotzdem erhalten.
Die Beschäftigten sollten in jedem Falle umfassend darüber informiert werden, für welche Zwecke sie einen Internet-Zugang am Arbeitsplatz nutzen dürfen und auf welche Weise der Arbeitgeber die Einhaltung der Nutzungsbedingungen kontrolliert. Insbesondere sind sie auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen hinzuweisen.
Hinweis: Für die bayerische Staatsverwaltung hat die Zentrale IuK-Leitstelle am 01.06.2006 eine verbindliche "Richtlinie für die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung" (BayITR-05) mit der Anlage: "Vorschlag für ein Begleitschreiben der Behörde zur Einwilligungserklärung" erlassene. Diese Richtlinie ist auch im Bayerischen Behördennetz zum Abruf bereitgestellt worden und kann analog von den kommunalen Einichtungen verwendet werden.
Es ist richtig, dass aus Gründen der Datensicherheit (dienstliche) E-Mails oder Anlagen von
E-Mails gelöscht bzw. unterdrückt (geblockt) werden sollten, die gefährlichen oder verdächtigen ausführbaren Code enthalten (z.B. E-Mails mit HTML-Seiten als Mail-body oder Dateien mit den Erweiterungen *.exe, *.bat, *.com oder gepackte Dateien wie *.zip, *.arj, *.lha).
Solange diese Löschung oder Blockung von E-Mails auf Rechnern der adressierten bzw. absendenden Behörde erfolgt und eine private E-Mail-Nutzung verboten ist, bestehen auch von Seiten des Datenschutzes keinerlei Bedenken gegen diese Vorgehensweise. Anders sieht es allerdings aus, wenn statt einer Löschung eine Blockung bei einer anderen Stelle (z.B. beim Landratsamt als Netzbetreiber eines Kommunalen Behördennetzes) erfolgt. Denn auch geblockte E-Mails können personenbezogene Daten beinhalten, womit bei einer Blockung dieser E-Mails und einem Abspeichern auf einem Rechner beim Netzbetreiber ein (unberechtigter) Zugriff auf diese Daten seitens seiner Bediensteten möglich wäre.
Somit muss - bei einer rein dienstlichen Nutzung des E-Mail-Verkehrs (Verbot der Privatnutzung bei allen angeschlossenen Stellen) - zumindest vertraglich ein unberechtigtes Öffnen der geblockten E-Mails verboten werden bzw. eine unverzügliche Löschung der betreffenden
E-Mails vereinbart werden. Außerdem sollte bei einer ausgehenden E-Mail der Absender von dem Vorgehen informiert werden.
Gestattet dagegen eine Dienststelle als Arbeitgeber ihren Bediensteten die private Nutzung des Internets und des E-Mail-Dienstes, ist sie ihnen gegenüber Telemedienanbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 TKG verpflichtet (siehe 4.1).
Einerseits ist private E-Mail grundsätzlich ohne vorherige Kenntnisnahme des Inhalts an den Adressaten weiterzuleiten, andererseits dürfen - wie bei der dienstlichen Nutzung - aus Gründen der Datensicherheit auch eingegangene private E-Mails oder deren Anhänge unterdrückt werden, wenn sie ein Format aufweisen, das ausführbaren Code enthalten kann. Eine weitere Möglichkeit besteht darin, erkannte Viren automatisch aus den E-Mails zu entfernen und die gesäuberte E-Mail weiterzuleiten.
Eine Untersuchung von virenverseuchten E-Mails (einschließlich eventueller Anhänge) mit Kenntnisnahme des Inhalts, etwa durch den Systemadministrator, ist nur im Beisein bzw. nach ausdrücklicher Einwilligung der betreffenden Beschäftigten zulässig. Eine darüber hinausgehende inhaltliche Kontrolle ist nicht zulässig. Dies gilt natürlich erstrecht für die eventuell auf einem Rechner des Landratsamtes geblockten E-Mails.
Die gewählte Verfahrensweise ist mit dem Personalrat abzustimmen und den Beschäftigten zuvor bekannt zu geben. Die Mitarbeiter sollten zu dieser Vorgehensweise eine schriftliche Einwilligung erteilen.
Generell sind die Beschäftigten darüber zu unterrichten, wenn an sie gerichtete oder von ihnen abgesendete E-Mails ganz oder teilweise unterdrückt werden oder virenverseucht sind.
Das Versenden bzw. Empfangen von unerwünschter Post mittels E-Mail (so genannte Spam-Mails) ist an sich kein Datenschutzproblem. Allerdings stellt es ein Ärgernis dar und belastet die Ressourcen in erheblichem Masse. Solche Sendungen können insbesondere zu Behinderungen der Arbeit führen; im Extremfall ist eventuell überhaupt keine Kommunikation mehr möglich. Zudem können auch erhöhte Kommunikationsgebühren entstehen. Somit besteht natürlich ein dienstliches Interesse daran, auch diese E-Mails zu filtern und zu blocken.
Eine weitere Möglichkeit würde darin bestehen, die Annahme von vermeintlicher Spam-Mail automatisch zu verweigern und an den Absender zurückzusenden. Dies birgt aber die Gefahr, dass der Absender erkennt, dass die gespamte E-Mail-Adresse existiert und er nur sein Spam-Verhalten zur Vermeidung einer erneuten Filterung verbessern muss.
Außerdem muss damit gerechnet werden, dass aufgrund der derzeitigen Schwächen der eingesetzten Filterungssoftware eventuell auch "sinnhafte" E-Mails als Spam-Mails behandelt und somit nicht weitergeleitet werden würden (False-Positive-Filterung). Dies kann auch zu Haftungsproblemen führen.
So lange eine hundertprozentig zuverlässige Spam-Filterung von E-Mails technisch nicht möglich ist, sollten auch augenscheinliche Spam-Mails nur entsprechend gekennzeichnet werden. Bei gestatteter privater E-Mail-Nutzung dürfen diese nicht geblockt, sondern müssen an den Empfänger weitergeleitet werden. Diese Vorgehensweise wird - wie bereits erwähnt - auch im Bayerischen Behördennetz praktiziert.
Der Empfänger kann dann selbst sein weiteres Vorgehen bestimmen. So besteht bei den meisten E-Mail-Clients die Möglichkeit, beispielsweise E-Mails, welche von Absendern stammen, die dem Empfänger als Spammer bekannt sind (Black List), mittels Regel auszusortieren. Eine weitere Möglichkeit besteht darin, vermeintliche Spam-Mails in einem gesonderten Ordner bis zu einem vorher bestimmten Verfallsdatum, bis zu einer bestimmte Menge oder bis zur manuellen Löschung durch den Empfänger abzulegen.
Zusammenfassend ist darauf hinzuweisen, dass jegliche Art von Filterung beim Netzbetreiber vertraglich zu verankern ist. Zusätzlich ist bei einer gestatteten privaten E-Mail-Nutzung die Einwilligung jedes einzelnen Betroffenen zur gewählten Vorgehensweise erforderlich.
Generell ist bei der Schaffung eines Landkreis-Behördennetzes insbesondere darauf zu achten, dass