Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 26.02.2008

Wartung, Fernwartung und Fernsteuerung

In der modernen Verwaltung wird heute eine Vielzahl von speziellen Rechnern und Verfahren eingesetzt, deren alleinige Wartung durch das eigene Personal wegen der dafür benötigten Spezialkenntnisse vielfach nicht mehr möglich ist, so dass bei Störungen sowie bei in der Hard- oder Software auftretenden Fehlern aufgrund der Abhängigkeit von einer funktionierenden IT-Verarbeitung oft der Hersteller eingeschaltet werden muss. Das geschieht zum Teil vor Ort, meist jedoch im Rahmen des "Teleservice", also in Form einer Ferndiagnose und -wartung (unter Umständen auch durch den eigenen Systemverwalter von zu Hause aus).

Auch von der Möglichkeit, insbesondere als Systemadministrator von seinem Arbeitsplatz aus z. B. zur Fehlersuche oder Fehlerbehebung Zugriff auf andere im Netzwerk angeschlossene Computer zu nehmen, wird immer häufiger Gebrauch gemacht.

All diese Maßnahmen der Wartung, Fernwartung oder Fernsteuerung bieten eine Reihe von Vorteile (z. B. eine schnellere Hilfe, geringere Kosten und die Verfügbarkeit von Spezialisten), es besteht aber auch u. a. immer die Gefahr, dass sensible Informationen bewusst oder unbewusst an Unberechtigte offenbart werden.

1. Wartung und Fernwartung durch Außenstehende

Bei einer reinen Hardwarewartung wird in der Regel nur auf bestimmte Statusinformationen in eigens dafür eingerichteten Diagnosedateien zugegriffen, die keine personenbezogenen Daten enthalten. Bei vielen DV-Systemen kann aber die Fehlerdiagnose und -behebung mit einer Offenbarung geschützter personenbezogener Daten (z. B. bei der Behebung von Fehlern in Anwendungen) verbunden sein. Dabei ist eine Fernwartung datenschutzrechtlich besonders problematisch. Bei einer Wartung vor Ort sind die Kontroll- und Eingriffsmöglichkeiten des eigenen Personals im Regelfall größer. Es ist dann eher erkennbar und prüfbar, welche konkreten Personen in Erscheinung treten und ein unberechtigtes "Entfernen", Verändern, Lesen oder Übertragen von Daten ist durch die Kontrolle erschwert.

Das mit Wartungsarbeiten betraute Personal stellt in erster Linie der Hersteller, während das Kundenpersonal meist nur unterstützend und vor allem steuernd tätig wird. Da in manchen Betriebszuständen systeminterne Sicherheitsmaßnahmen außer Kraft gesetzt werden können und zum Teil auch müssen, hat der Betreiber einer DV-Anlage auf die Einhaltung bestimmter zusätzlicher Sicherheitsmaßnahmen zu achten, um sich nicht unbewusst erhöhten Sicherheitsrisiken auszusetzen.

Natürlich hat auch der Hersteller bei der Wartung und vor allem bei der Fernwartung der DV-Systeme bestimmte Maßnahmen einzuhalten, die die gebotene Datensicherheit sicherstellen. Der Fernwartungszugriff auf ein Kundensystem ist durch einen mehrstufigen Zugangsschutz abzusichern. Der DV-Anwender kann dazu unterschiedliche Sicherheitsanforderungen an seinem System einstellen. Dieses ausgewählte Sicherheitsprofil ist so zu hinterlegen, dass es von außen nicht beeinflusst werden kann.

Bei der Wartung und Fernwartung handelt es sich um eine Art von Auftragsdatenverarbeitung (allerdings nicht im Sinne des Datenschutzrechts), so dass es sich empfiehlt, Vereinbarungen über Art und Umfang der Wartung in einer schriftlichen Vereinbarung (Vertrag) zu fixieren. Ein solcher Vertrag sollte die Kompetenzen und Pflichten des Wartungspersonals einerseits und des Kundenpersonals andererseits regeln. Für Zuwiderhandlungen sind empfindliche Vertragsstrafen vorzusehen. In einem Wartungsvertrag sind deshalb folgende Sachverhalte anzusprechen:

• Umfang und Art der Wartung (Hard- und System- oder Anwender-Software)
• Pflichten des Auftraggebers
• Pflichten des Auftragnehmers
• Verfügbarkeit der Wartung (normale Dienstzeit, rund um die Uhr)
• Verpflichtung des Wartungspersonals auf Geheimhaltung
• besondere Sicherheitsanforderungen beim Zugriff auf das Kundensystem
• besondere bei der Fernwartung einzuhaltende Sicherheitsmaßnahmen
• Modalitäten für die Einschaltung von Subunternehmern
• Haftung und Schadensersatz

Soweit wie möglich sollen Externe nur an solchen Systemen arbeiten, in denen entweder nur signifikante Testfälle (ohne Bezug auf eine konkrete Person) oder anonymisierte Daten gespeichert sind. Ist für eine Fehlerdiagnose und -behebung der Zugriff auf das Produktionssystem erforderlich, sollten insbesondere folgende Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit ergriffen werden:

• Für die Durchführung der Fernwartung muss eine eigene Benutzerkennung eingerichtet werden. Das dazugehörige Passwort ist nach jedem Wartungsvorgang zu ändern.
• Der Kreis des autorisierten Wartungspersonals sollte - soweit möglich - genau festgelegt sein.
• Erscheint beim Kunden vor Ort ein bislang nicht bekannter Techniker, muss sich der Anlagenbetreiber durch einen Rückruf beim Hersteller von der Autorisierung dieser Person überzeugen.
• Bei der Fernwartung ist die Verbindung oder die Freischaltung (nach einem Authentifikationsprozess) stets vom Auftraggeber aus aufzubauen (Call-Back-Verfahren) oder frei zu geben, damit sichergestellt ist, dass keine unbefugten Einwählversuche stattfinden können. Nach Abschluss der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren.
• Darüber hinaus gibt es Situationen, bei denen der Leitungsaufbau auch automatisch von der Kundenanlage direkt aktiviert werden kann, um eine Störungsmeldung möglichst umgehend an die Fernwartungszentrale weiterzugeben. (Die Leitungsanschlüsse sind jedoch mit geeigneten Sicherheitseinrichtungen gegen externe Eindringlinge, wie "Hacker", besonders abzusichern.) Auslösende Programme und Faktoren für solche Call-Funktionen können sein:
• Eine entsprechende Systemsoftware nach einem System-Crash.
• Eine selbsttätige Rufmeldung des Konsolprozessors nach einem System-Crash, verursacht durch einen Prozessorfehler.
• Wenn die Hardware-Fehlerdateien einen vorgegebenen Füllgrad erreicht haben oder wenn ein für die Präventiv-Wartung vorgegebener Zeitpunkt erreicht ist.
• Wenn durch Hardware-Fehlerereignisse eine sog. schwellwertgesteuerte Rufmeldung entsteht. (Der Verbindungsaufbau kann nach genereller oder nach vom Einzelfall abhängiger Kundenzustimmung erfolgen.)
• Der Ablauf der Wartungs- und Diagnoseprogramme muss vom Kunden jederzeit unterbrochen werden können, insbesondere dann, wenn der Systemverwalter des Kunden feststellt, dass auf geschützte Kundendateien zugegriffen wird, was jedoch bei der Software-Wartung erforderlich sein kann.
• Auch die beim Hersteller eingerichtete Fernwartungszentrale muss gewisse, dem Stand der Technik entsprechende Sicherheitsanforderungen erfüllen:
• Die Fernwartungszentrale sollte in gesonderten Räumen, die besonders geschützt sind, untergebracht sein (durch elektronische Zugangskontrolleinrichtungen gesicherte Bereiche).
• Die Ferndiagnose sollte soweit möglich ohne irgendeine Zwischenspeicherung von Kundendaten durchgeführt werden, so dass am Ende des Wartungsdialogs keine Kopien von Kundendaten anfallen. Andernfalls müssen am Ende der Wartungsarbeiten durch entsprechende Maßnahmen eventuell gespeicherte Kundendaten gelöscht werden.
• Die Hinzuziehung von Kundendaten auf Papier (etwa in Form von sog. Dumps) ist für die Fehleranalyse nicht immer auszuschließen. Solche Ausdrucke sind jedoch nach Abschluss der Wartungsarbeiten dem Kunden wieder zurückzugeben oder ebenfalls zuverlässig zu vernichten. Für eine eventuell notwendig werdende Zwischenlagerung sind geeignete verschließbare Behältnisse vorzusehen.
• Ist es erforderlich, Diagnosedaten in einem DV-System des Herstellers weiterzuverarbeiten, sind entsprechende Sicherheitseinrichtungen vorzusehen, dass nach Abschluss der Wartungsarbeiten keine schutzwürdigen Kundendaten gespeichert bleiben (u.U. vertragliche Vereinbarungen).
• Prüfung der abgehenden Datenträger
  Bevor ein Datenträger (maschinenlesbar oder Papier) mit Kundendaten zu Wartungszwecken oder zur Fehleranalyse die Dienststelle verlässt, ist die Genehmigung einer von der Daten verarbeitenden Stelle dafür autorisierten Person einzuholen. Auf einem Begleitschein sind die Art der Daten und des Datenträgers sowie Vorgaben über die Weiterbehandlung (Verwendungszweck) dieser Daten zu vermerken.
  Bei der lokalen Wartung ist sicherzustellen, dass keine Datenträger den DV-Bereich des Kunden unkontrolliert verlassen.
  Zu beachten ist ferner, dass bei der Verwendung von maschinenlesbaren Datenträgern keine Restdaten (Dateireste von einer anderen Benutzung) weitergegeben werden.
  Bei der Wartung und Pflege von Datenträgern ist darauf zu achten, dass eine eventuelle Kenntnisnahme von Kundendaten durch die Wartungsfirma der Einhaltung der Verschwiegenheitspflichten unterliegt (schriftlicher Vertrag).

• Softwarekontrolle
  Das Wartungspersonal sollte nur mit einer vertrauenswürdigen Service-Software arbeiten. Dadurch wird vermieden, dass bei diesen Aktionen schädlicher Code (Viren) oder andere Fehlerquellen in das System eingeschleust werden. Die Wartungsprogramme können auch mit einem Schutzschlüssel gegen Manipulationen gesichert sein, der bei jedem Ladevorgang auf Gültigkeit geprüft wird.
• Datenweitergabe
  Datenträger mit Kundendaten, die zur Fehleranalyse an den Hersteller gegeben werden, sind nach den Weisungen des Kunden zu behandeln (Schriftlicher Vertrag über den Verwendungszweck und die Behandlungsweise).
• Datenübertragung
  Der Kunde muss vor einer Übertragung von Daten an die Fernwartungszentrale die erforderliche Freigabe erteilen.
  Alle Test- und Service-Programme des Herstellers sind unter einer eigenen Kennung in das Kundensystem zu übernehmen.
  Service-Programme, die auf Kundendaten zugreifen können, müssen zusätzlich der besonderen Überwachung durch den Systemverwalter unterliegen.
• Protokollierung
  Die Übertragung von Daten aus der Kundenanlage an die Fernwartungszentrale ist mit der gleichzeitigen Protokollierung aller übertragenen Daten zu koppeln.
  Diese Protokollierung darf weder durch die Fernwartungszentrale noch durch Mitarbeiter vor Ort ausgeschaltet werden können.
  Schließlich sollen die Service-Programme zusätzliche visuelle Kontrollfunktionen für den Systemverwalter vor Ort, etwa das Erkennen der Wartungsaktivitäten oder ein komplettes Mitlesen der übertragenen Daten am Bildschirm oder die bildschirmweise Freigabe der Daten vor ihrer Übertragung, enthalten.
• Vom Auftraggeber sind der Wartung/Fernwartung nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind (Prinzip der geringsten Rechtevergabe). Insbesondere gilt dies für Systemverwalterprivilegien und den Zugriff auf personenbezogene Daten. Es ist ferner darauf zu achten, dass im Rahmen der Wartung bzw. Fernwartung keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Anwenderdatenbeständen zulassen. Eine Übertragung personenbezogener Daten zur Fernwartungsstelle muss auf den Einzelfall beschränkt sein und nur mit Einverständnis des Auftraggebers erfolgen können. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist zu unterbinden.
• Eventuell vorhandene differenzierte Zugriffsschutzmöglichkeiten, wie Ausführungs-, Lese- und Änderungszugriffsschutz (Exec-, Read- oder Write-Passworte) sind zu berücksichtigen.
• Werden vor einem Wartungsfalle gerade höchst schutzwürdige Daten verarbeitet, sollte der Hauptspeicher vor dem Beginn der Wartungstätigkeit gelöscht und zusätzlich sogar die angeschlossene Peripherie, auf der diese sensiblen Daten gespeichert werden, manuell abgekoppelt werden. Die Datensicherheit ist in einem solchen Falle nur dann voll gewährleistet.
• Soweit möglich müssen alle Aktivitäten im Rahmen der Fernwartung vom Auftraggeber online mitverfolgt werden. Im Zweifelsfalle muss dieser Mitarbeiter auch die Aktivitäten jederzeit abbrechen können.
• Wie bereits erwähnt, sind alle Aktivitäten der (Fern-)Wartung (inklusive etwaiger versuchter Fernzugriffe) lückenlos aufzuzeichnen und die entsprechenden Protokolle auszuwerten. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde.
• Zur Sicherung der Vertraulichkeit der übertragenen Daten auf dem Übertragungswege kann es erforderlich sein, dass personenbezogene Daten mit einem starken Algorithmus (mindestens 128 Bit bei symmetrischer Verschlüsselung und mindestens 2048 Bit bei asymmetrischer Verschlüsselung) verschlüsselt werden. Es ist in diesem Falle jedoch darauf zu achten, dass die Protokollierung vor Ort unverschlüsselt erfolgt und nicht auf dem Rechner des Fernwarters. Nur so ist eine effektive Kontrolle durch den Auftraggeber gewährleistet.
• Der Transportweg für Datenträger ist zu dokumentieren. Der Kunde bestimmt die Sicherheitsmaßnahmen, die sich an den Sicherheitsanforderungen orientieren.
• Alle Personen, die am Transport beteiligt sind (Absender, Bote, Empfänger) sind in einem Transportprotokoll zu vermerken.
• Zur Sicherstellung eines ordnungsgemäßen Versands gehört neben einer Vollständigkeitsprüfung die Benutzung von Begleitpapieren zur Dokumentation.
• Sicherheitsanalyse
  Das Wartungs- bzw. Fernwartungskonzept ist dem Kunden vor Vertragsabschluss zu erklären, damit etwaige Sicherheitsrisiken rechtzeitig erkannt werden können. Im Übrigen hat der Hersteller für eine ausreichende Dokumentation zu sorgen.
  Die Fernwartungsdienstleistungen sind meist modular konzipiert, so dass der Kunde die für seine Installation und sein Sicherheitsbedürfnis notwendigen Dienste selbst bestimmen kann.
• Schulung
  Manche Hersteller weisen den Kunden anhand von speziellen Hantierungsvorschriften in die Steuerung und Überwachung der Fernwartungsdienste ein. Auf Wunsch kann der Kunde auch die Programmbeschreibungen erhalten. Manche Kunden nutzen bestimmte Wartungsprogramme sogar für eigene Zwecke.

2. Fernwartung (eines Servers) durch den Systemverwalter

Eine Fernwartung eines Servers durch einen Systemadministrator (z. B. von zu Hause aus) kann recht hilfreich sein, da im Bedarfsfall eine schnelle Problembehandlung möglich ist. Allerdings müssen auch im Rahmen dieser Art der Fernwartung entsprechende und geeignete Maßnahmen zur Gewährleistung der Vertraulichkeit, der Integrität und der Authentizität ergriffen werden. Einige der unbedingt erforderlichen Maßnahmen sind:

• Das eigene Netz muss mittels einer Firewall gegen unberechtigte Zugriffsversuche von außen geschützt sein.
• Bei einem Fernzugriff von oder nach außerhalb des Netzwerkes muss gewährleistet sein, dass personenbezogene Daten nur verschlüsselt übertragen werden. Dies kann beispielsweise durch die Einrichtung eines VPN erreicht werden.
• Für die Durchführung der Fernwartung sollte - soweit möglich - eine eigene Benutzerkennung eingerichtet werden. Das dazugehörige Passwort ist regelmäßig zu wechseln (etwa alle 90 Tage).
• Die lückenlose Protokollierung aller Zugriffsversuche muss gewährleistet sein, so dass erkennbar ist, wer im Rahmen der Fernwartung wann auf welche Art und Weise auf welche Daten zugegriffen hat. Diese Protokolldaten sind regelmäßig von einem nicht der Systemadministration angehörigen Mitarbeiter (z. B. behördlicher Datenschutzbeauftragter, Personalvertretung) auszuwerten.
• Der Rechner im häuslichen Bereich muss gegen den Zugriff Unberechtigter (auch eigener Familienangehöriger) geschützt sein.
• Soweit möglich sollten auf diesem Rechner keine anderen, als dienstliche Aufgaben zum Ablauf kommen.

3. Fernsteuerung

Fernsteuerungsprogramme (z. B. pcAnywhere, VNC oder WinTel) ermöglichen einem Systemadministrator, von seinem Arbeitsplatz aus Zugriff auf andere im Netzwerk angeschlossene Computer zu nehmen. Dies dient hauptsächlich einer Fehlersuche und -beseitigung. Hat ein Benutzer Probleme bei der Arbeit an seinem PC und teilt dies dem Administrator mit, so kann sich dieser mit Hilfe der Fernsteuerungssoftware je nach Einstellung des Programms entweder alles, was auf dem Bildschirm des Benutzers angezeigt wird, auch auf seinem eigenen anzeigen lassen oder zumindest auf bestimmte Programme und Daten auf dem fremden Rechner zugreifen. Zudem kann der Administrator steuernd in den Dialog eingreifen und - anstelle des Benutzers - Eingaben tätigen, aus der Ferne Installationsarbeiten am PC des Benutzers durchführen oder sich als Administrator anmelden.

Weitere Einsatzmöglichkeiten für diese Software bestehen darin, Wartungsarbeiten von zentraler Stelle aus vorzunehmen oder auch Software-Updates aufzuspielen. Notwendige Wartungsarbeiten lassen sich dadurch schneller und kostengünstiger vornehmen.

Auch der Versand von Nachrichten oder das Überspielen von Daten ist auf diese Weise möglich.

Der Zugriff auf den zu bearbeitenden Rechner kann entweder über das eigene Netzwerk oder über das Internet erfolgen.

Diese Art von Fernsteuerung beinhaltet natürlich auch die Gefahr des Missbrauches. So kann sie zur Überwachung von Mitarbeitern verwenden werden, indem beispielsweise alle Tastatureingaben des Überwachten aufgezeichnet und zur Auswertung an einen anderen PC übersandt werden. Außerdem besteht die Möglichkeit, unbemerkt Dateien herunterzuladen oder aufzuspielen bzw. unberechtigt auf gespeicherte Daten zuzugreifen. Dateien oder ganze Verzeichnisse könnten kopiert, verändert, gelöscht oder umbenannt werden. Denkbar ist es auch, Passwörter auszulesen oder Veränderungen an Systemprogrammen vorzunehmen.

Ist der Einsatz einer Fernsteuerungssoftware bei einer Behörde aus dienstlichen Gründen erforderlich, so sollten zumindest folgende technisch-organisatorischen Maßnahmen getroffen werden:

• Mit dem Personalrat sollte eine Dienstvereinbarung abgeschlossen werden, in der parallel zu einer zu erlassenden Dienstanweisung die Zugriffsmöglichkeiten, Zugriffsgründe, die Zugriffsarten und die dabei zu ergreifenden Sicherheitsmaßnahmen eindeutig geregelt sind. Der zeitlich uneingeschränkte Zugriff auf andere Rechner ist zu untersagen. Diese Dienstanweisung muss jedem Mitarbeiter zur Kenntnis gebracht werden, der entweder die Fernzugriffe durchführt oder auf dessen PC zugegriffen werden soll. Im Rahmen dieser Dienstanweisung ist auch darauf hinzuweisen, welche Möglichkeiten ein PC-Benutzer hat, eine bestehende Fernzugriffsverbindung jederzeit abbrechen zu können.
• Die Möglichkeiten des für den Fernzugriff eingesetzten Programms sind auf diese festgelegten Regelungen zu beschränken. So könnte beispielsweise der Zugriff auf bestimmte Rechner (z. B. in der Personalabteilung) ganz verboten oder bestimmte Verzeichnisse oder Dateien vom Zugriff ausgenommen sein. Generell ist der Zugriff auf personenbezogene Daten auf das unbedingt Notwendige zu reduzieren.
• Wann immer möglich, sollte der Bedienstete bei jedem Zugriffsversuch die Möglichkeit haben, zu entscheiden, ob er den Zugriff auf seinen PC zulässt oder nicht.
• Falls dies im Einzelfall nicht möglich ist, muss dem Betroffenen zumindest der Remote-Zugriff angezeigt werden.
• Soweit möglich hat sich der Zugreifende mittels Passwort beim Zugriffsobjekt zu legitimieren.
• Bei einem Fernzugriff von oder nach außerhalb des Netzwerkes muss gewährleistet sein, dass personenbezogene Daten nur verschlüsselt übertragen werden.
• Sollte der Verdacht bestehen, dass der Zugriff auf Daten erfolgt, die offenkundig nicht für den Wartungsfall erforderlich sind, sollte der PC-Nutzer die Möglichkeit haben, die Verbindung abzubrechen.
• Die lückenlose Protokollierung aller Zugriffsversuche muss gewährleistet sein, so dass erkennbar ist, wer mit Hilfe der Fernsteuerungssoftware wann auf welche Art und Weise auf welche Daten zugegriffen hat. Diese Protokolldaten sind regelmäßig von einem nicht der Systemadministration angehörigen Mitarbeiter (z. B. behördlicher Datenschutzbeauftragter, Personalrat) auszuwerten.