Sie sind hier: > Start > Tätigkeitsberichte > 19. TB 2000 > 17. Technischer und organisatorischer Bereich
Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 14.12.2000
17. Technischer und organisatorischer Bereich
17.1. Grundsatzthemen
17.1.1. Ende der Kryptodebatte - Kryptografie als Standard
In den Abschnitten 19.1.4 und 19.1.5 meines 18. Tätigkeitsberichts von 1998 habe ich mich zum Einsatz kryptografischer Verfahren und zur Kryptodebatte (Kryptokontroverse) geäußert und die Notwendigkeit der Anwendung von kryptografischen Methoden zur Sicherung von Datenübertragungen und Datenspeicherungen hervorgehoben.
Mit dem Papier "Eckpunkte der deutschen Kryptopolitik" vom 02.06.1999 hat nun die Bundesregierung ein klares Votum zugunsten der Anwendung kryptografischer Verfahren und gegen eine momentane Kryptoregulierung abgegeben und die Kryptodebatte damit vorläufig beendet. Insbesondere sind damit die bis dahin bestehenden Bedenken und Unsicherheiten bei Herstellern und Anwendern über die Entwicklung und über evtl. zukünftige Rechtsvorschriften ausgeräumt. Für eine abwartende Haltung besteht somit kein Grund mehr.
Ausgehend von der Erklärung der Bundesregierung haben die Datenschutzbeauftragten des Bundes und der Länder anlässlich ihrer 58. Konferenz vom 07./08.10.1999 eine entsprechende Entschließung mit dem Titel "Eckpunkte der deutschen Kryptopolitik - ein Schritt in die richtige Richtung" gefasst. Der vollständige Text der Entschließung ist als Anlage 12 beigefügt und ist auch auf meiner Home-Page veröffentlicht.
Besonders hervorheben möchte ich an dieser Stelle den vorletzten Absatz der Entschließung:
"Vor diesem Hintergrund fordern die Datenschutzbeauftragten die öffentlichen Stellen auf, mit gutem Beispiel voranzugehen. Sie sollten vorbehaltlos die technischen Möglichkeiten des Einsatzes kryptografischer Verfahren zum Schutz personenbezogener Daten prüfen und derartige Lösungen häufiger als bisher einsetzen. Künftig muss Kryptografie der Standard in der Informations- und Kommunikationstechnik werden, auf deren Einsatz nur dann verzichtet wird, wenn
wichtige Gründe dagegen sprechen."
Im Rahmen meiner Beratungstätigkeit habe ich in der Vergangenheit immer wieder darauf hingewiesen, dass gem. Art. 7 Abs. 2 Ziff. 9 BayDSG über offene oder öffentliche Netze übertragene personenbezogene Daten vor unbefugter Kenntnisnahme, vor unbefugtem Kopieren und vor unbefugter Veränderung zu schützen sind. Nur durch die Anwendung kryptografischer Methoden (digitale Signatur und Verschlüsselung) kann dieser Forderung hinreichend Rechnung getragen werden.
Zu häufig ist noch die Haltung verbreitet, die Anwendung kryptografischer Verfahren sei nur entsprechend aufwendig und kompliziert zu behandeln, und deshalb wird sie gerne als Ausnahmefall betrachtet. Dabei wird leider übersehen, dass durch standardmäßige Anwendung kryptografischer Verfahren, insbesondere wenn sie auf Hardwarefunktionalitäten basieren, diese vermeintliche Kompliziertheit erheblich reduziert, die Benutzerfreundlichkeit erhöht, aber auch den Grundforderungen nach Wahrung von Vertraulichkeit, Integrität und Authentizität Rechnung getragen werden kann. Vor allem würde auch in diesem essenziellen und rasant zunehmenden Teilaspekt der Datenverarbeitung das bisher in anderen Bereichen erreichte Niveau von Datenschutz und Datensicherheit nachhaltig gesteigert werden. Gleichwohl sind durchaus vereinzelt positive Initiativen vorhanden, wie z.B. das Projekt "Verdiensterhebung über das Internet" des Bayerischen Landesamtes für Statistik und Datenverarbeitung (siehe Abschnitt 17.3.10) oder das Projekt "ELSTER" der bayerischen Steuerverwaltung (siehe Abschnitt 19.3.12 meines 18. Tätigkeitsberichts) zeigen.
Ich wiederhole daher an dieser Stelle meine seit Jahren erhobene Forderung, kryptografische Verfahren standardmäßig einzusetzen und nur im begründeten Ausnahmefall von deren Anwendung abzusehen.
Auch die Datenschutzbeauftragten des Bundes und der Länder verwenden im Übrigen seit Herbst 2000 zur Absicherung ihrer elektronischen Kommunikation untereinander kryptografische Verfahren - obwohl dabei i.d.R. keine personenbezogenen Daten übertragen werden. Ich selbst biete bereits seit 22.02.1999 auf meiner Home-Page meinen öffentlichen PGP-Schlüssel für die sichere E-Mail-Kommunikation mit mir an.
17.1.2. Bayerisches Behördennetz
Am 05.03.1996 und am 07.05.1996 beschloss der Ministerrat die Einführung des Bayerischen Behördennetzes (BYBN). Funktionale Hauptelemente des BYBN sollen die elektronische Kommunikation der angeschlossenen Behörden mittels E-Mail, die Abwicklung von Dialog-Verfahren im Client-Server-Betrieb und sonstige Datenübertragung zwischen Dienststellen sein. Mit den Fragen der Sicherheit und Sicherheitsorganisation im BYBN sind mehrere Gremien und Einrichtungen befasst, die sich aus Vertretern der Bayerischen Staatskanzlei, der Bayerischen Staatsministerien und des Landesamtes für Statistik und Datenverarbeitung (LfStaD) zusammensetzen. Keines dieser Gremien und Einrichtungen kann jedoch für alle Ressorts verbindliche Festlegungen treffen oder gar solche durchsetzen.
Seit Beginn der Arbeiten am BYBN habe ich in den o.a. Gremien wiederholt meine Grundforderungen nach Sicherstellung einer vertraulichen, authentischen und nicht manipulierbaren Datenübertragung durch Anwendung kryptografischer Verfahren (Datenverschlüsselung, Signatur) erhoben. Dabei habe ich meine Bereitschaft bekundet, bis zur Verfügbarkeit von langfristig tragenden Lösungen auch Übergangslösungen zu akzeptieren.
E-Mail
Die ersten beiden Jahre der Sicherheitsdiskussion im BYBN (von März 1996 bis März 1998) waren bestimmt von der Diskussion bzgl. des zu verwendenden E-Mail-Protokolls (X.400 versus SMTP) und der Sicherheitsprotokolle (PEM und S/MIME). Eine von mir angeregte Übergangslösung mit PGP wurde unter Hinweis auf eine bevorstehende, umfassende und dauerhafte Lösung im Rahmen von BASILIKA nicht verfolgt.
Das dritte und vierte Jahr im BYBN (April 1998 bis April 2000) waren geprägt von Tests verschiedener S/MIME-Clients und von deren Interoperabilitätstests. Eine Übergangslösung für sichere E-Mail mit PGP oder mit S/MIME-Clients (mit kurzen Schlüssellängen), die zwar von einigen Gremien beschlossen worden war, wurde aber auch in diesem Zeitraum nicht realisiert.
Die ab dem II. Quartal 2000 vorgesehene Verwendung von S/MIME-Clients mit starker Verschlüsselung (Outlook 2000 und TrustedMIME i.V.m. Outlook 98) wurde ebenfalls nicht flächendeckend umgesetzt.
Mitte 2000 wurde auf Empfehlung des zentralen CERT festgelegt, dass übergangsweise - für spezielle Anforderungen - PGP auf Ebene der jeweiligen Poststellen der an das BYBN angeschlossenen Behörden einzuführen sei. Im Übrigen wurde festgelegt, dass eine Zertifizierungsinfrastruktur mit einer vom LfStaD betriebenen Zertifizierungsstelle als Basis für eine zügig zu realisierende Sicherheitslösung aufzubauen sei, wobei die Staatskanzlei und die Staatsministerien bis zum 30.09.2000 sog. Beglaubigungsstellen einrichten sollten. Dieses ist noch nicht erfolgt. Möglichst bis zum 31.12.2000 sollten die Beglaubigungsstellen sodann durch Registrierungsstellen ersetzt werden. Bis dahin sollten für den Austausch sicherer E-Mail auch S/MIME-Clients im erforderlichen Umfang installiert werden.
Zertifizierungsinfrastruktur (PKI, Public Key Infrastructure)
Im September 1997 wurde festgelegt, dass ein X.500-konformes Verzeichnis der Kommunikationsadressen im BYBN aufgebaut werden solle. Produktauswahl und Einrichtung des Verzeichnisdienstes sowie die Errichtung einer Zertifizierungsstelle beim LfStaD erstreckten sich bis Oktober 1999. Zwei Registrierungsstellen - beim LfStaD selbst sowie beim StMI - nahmen Anfang Februar 2000 ihren Betrieb auf.
Die im Dezember 1999 im BYBN veröffentlichten Entwürfe der Regelwerke (Sicherheitsrichtlinien der Zertifizierungsstelle, Antragswesen, Antragsformulare, u.ä.) für die PKI wurden im August 2000 zuletzt aktualisiert, aber bisher von keinem Gremium für verbindlich erklärt.
Meine ablehnende Haltung gegenüber der gewünschten zentralen Erzeugung von PGP-Schlüsseln bei der Zertifizierungsstelle habe ich Mitte 2000 im Unterarbeitskreis Sicherheit dargestellt. Eine zentrale Erzeugung ist nicht erforderlich (jedes Schlüsselpaar kann vom Nutzer selbst erzeugt werden). Die dann erforderliche sichere Übermittlung des Schlüsselpaares an den Nutzer wäre sehr aufwendig. Im Übrigen wäre nicht sichergestellt, dass der private Schlüssel nicht noch in Kopie bei der Zertifizierungsstelle verbliebe. Ich sehe darin ein nicht hinzunehmendes Sicherheitsrisiko.
Im April 2000 wurde angeregt, den Active Directory Service (ADS) von Microsoft anstelle des bisherigen, auf OPEN-LDAP basierenden Systems des LfStaD zu verwenden - das bisher vom LfStaD entwickelte formale Antragswesen für die Erteilung von Zertifikaten solle jedoch aus organisatorischen Gründen beibehalten werden. Die daraufhin geschaffene Projektgruppe "Einsatz von Active Directory" arbeitet seither an der Klärung grundlegender, ressortübergreifender Fragen. Die Klärung dieser Fragen wird m.E. weitere geraume Zeit in Anspruch nehmen.
Das StMLU hat - basierend auf der Empfehlung des zentralen CERT von Mitte 2000 - zwischenzeitlich eine Zertifizierungsstelle für PGP-Keys und einen entsprechenden Key-Server im BYBN in Betrieb genommen.
Sonstige Sicherheitsaspekte
Ein Grundsatz im BYBN ist, dass sich die Teilnehmer gegenseitig vertrauen. Wie schnell dieser Grundsatz infrage gestellt werden kann bzw. muss, ist am Beispiel des auch im BYBN über E-Mail verbreiteten Love-Letter-Wurms von Mitte des Jahres 2000 erkennbar. Als Folgerung aus den gemachten Erfahrungen soll nun beim LfStaD eine zentrale Sicherheitsschleuse eingerichtet werden, die die Absicherung des gesamten E-Mail- und auch Webverkehrs (Aktive Inhalte) in das und aus dem BYBN gewährleisten soll. Dabei ist zurzeit heftig umstritten, wie restriktiv diese zentrale Sicherheitsschleuse eingestellt werden kann und soll, da diese Einstellungen unmittelbaren Einfluss auf Komfort und Möglichkeiten bei der Nutzung des Internet im BYBN nehmen. Die Sicherheit des BYBN muss aber m.E. allen Komfortwünschen vorgehen - entgegen evtl. vorhandener Gegenstimmen.
Diese zentrale Sicherheitsschleuse ist jedoch nur ein Baustein in einem generell erforderlichen Sicherheits- und Notfallkonzept. Da auch diese zentrale Schleuse nicht allen Risiken entgegenwirken kann, sind weitere verfeinernde Maßnahmen auf der Ebene der jeweiligen Ressort- und Teilnetze des BYBN, auf der Ebene des jeweiligen Arbeitsplatzes, im organisatorischen Bereich und ganz besonders durch den einzelnen Endanwender der IuK-Technik notwendig.
Zusammenfassung
Nach nahezu fünf Jahren steht nun eine Zertifizierungsstelle im LfStaD für S/MIME-basierte Zertifikate und ein PGP-Key-Server im StMLU zur Verfügung. Es sind Beschlüsse zur Einrichtung einer Public-Key-Infrastruktur und zur Ausstattung der Dienststellen mit S/MIME-Clients und PGP gefasst, wobei aber die vereinbarten Termine bereits teils nicht eingehalten, teils infrage gestellt werden. Die Regelwerke für die PKI liegen im Entwurf vor. Das Ziel, rasch einen flächendeckenden sicheren E-Mail-Verkehr im BYBN zu gewährleisten, ist demnach nach wie vor nicht erreicht. Bei all den Anstrengungen um sichere E-Mail darf jedoch auch die sichere Abwicklung von Dialogverfahren im Client-Server-Betrieb und sonstiger Datenübertragungen zwischen Dienststellen nicht vergessen werden.
Aufgrund der bisherigen Erfahrungen habe ich Bedenken, dass sich in nächster Zukunft die Situation bzgl. einer flächendeckenden Sicherheit im BYBN deutlich verbessern wird. Es sind zwar große Anstrengungen bei der Produktauswahl für sichere E-Mail unternommen und auch in jüngster Vergangenheit wieder grundlegende Beschlüsse gefasst worden, aber deren praktische und zeitnahe Umsetzung muss erst noch tatsächlich vollzogen werden. Dabei erscheint mir, dass die ausgesprochen heterogene technische und personelle Ausstattung der BYBN-Teilnehmer sowie die jeweiligen wirtschaftlichen Möglichkeiten bei all den wegweisenden Beschlüssen nicht immer ausreichend berücksichtigt werden. Weitere grundlegende Fragen der Sicherheit (z.B. zentrale Sicherheitsschleuse) i.V.m. Komforteinbußen sind ebenfalls noch nicht abschließend geklärt.
Ein weiterer wesentlicher Grund für meine Skepsis ist auch die Vielzahl an Gremien, von denen aber keines über die entsprechende Möglichkeit verfügt, Sicherheitsvorgaben für alle Bereiche der bayerischen Verwaltung über Ressortgrenzen hinweg bindend festzulegen und auch durchzusetzen.
Ich wiederhole meine Forderung nach umgehender Sicherstellung einer vertraulichen, authentischen und nicht manipulierbaren Datenübertragung im BYBN.
17.1.3. Data Warehouse und Data Mining
Mit zunehmendem Verbreitungsgrad und zunehmender Leistungsfähigkeit der Informations- und Kommunikationstechnik nimmt auch der Umfang der gespeicherten Daten permanent zu. Diese Daten sind in operativen, zentralen oder auch dezentralen Systemen gespeichert, welche einem klar umrissenen und abgegrenzten Zweck dienen und dafür optimiert sind. Die Abfrage- und Auswertemöglichkeiten des jeweiligen Datenbestandes sind in der Regel entsprechend dem Zweckbindungsprinzip ebenfalls auf vordefinierte Zwecke begrenzt und damit relativ eingeschränkt. Das Zweckbindungsprinzip stellt eines der fundamentalen Datenschutzprinzipien dar - jeder soll auch wissen, zu welchem Zweck seine Daten verarbeitet werden. Ad hoc-Abfragen oder gar eine Verknüpfung von Daten verschiedener operativer Systeme zur abstrakteren und auch zur umfassenderen Informationsgewinnung sind ohne die Mithilfe von Statistikern und EDV-Fachleuten nicht ohne weiteres möglich und datenschutzrechtlich nur unter der Voraussetzung einer zulässigen Zweckänderung möglich.
Grundlage von Data Warehouses (DWH) sind die verschiedenen operativen Datenbestände. Mit Hilfe entsprechender Werkzeuge werden diese Rohdatenstrukturen analysiert, Daten selektiert und für die Zusammenführung und eine auf andere Art und Weise strukturierte Speicherung im DWH vorbereitet. Mit den Werkzeugen des Data Mining (DM) werden die scheinbar zusammenhanglosen Daten des DWH nach bisher unbekannten Zusammenhängen durchsucht, wobei neue, ggf. abstraktere aber auch ggf. umfassendere Informationen gewonnen und ggf. auch gespeichert werden sollen.
Die durch die Einrichtung von DWH auf Basis personenbezogener Daten entstehenden potenziellen Risiken für das Recht auf informationelle Selbstbestimmung und für den Schutz auf Privatheit, insbesondere die Verletzung des Zweckbindungsprinzips, sind offenkundig: z.B. Bildung von Persönlichkeitsprofilen, automatisierte Vorhersagen von Verhaltens- und Handlungsweisen und zu lange Datenspeicherung. Ein DWH, das datenschutzfreundliche Technologien verwendet und z.B. nur mit anonymisierten oder pseudonymisierten Daten arbeitet, birgt geringere Risiken. Ein DWH, das ausschließlich mit hinreichend anonymisierten Daten arbeitet und bei dem auch durch die Verknüpfung von anonymisierten Daten eine Reidentifizierung von Einzelpersonen unmöglich ist, ist datenschutzrechtlich unbedenklich.
Im öffentlichen Bereich sind derzeit nur vereinzelt Ansätze und Bemühungen in diese Richtung festzustellen (z.B. sind in Bayern Überlegungen und Bemühungen zur Schaffung eines DWH im Bereich des Staatsministeriums der Finanzen bzgl. der Personalplanung und Stellenbewirtschaftung vorhanden). Gegenwärtig sind verschiedene Arbeitskreise der Konferenz der Datenschutzbeauftragten des Bundes und der Länder damit befasst, sich mit dem Themenkomplex auseinander zu setzen und ggf. eine Orientierungshilfe zu erarbeiten, die Hinweise zum datenschutzgerechten Betrieb von DWH geben und eine rechtliche Bewertung derartiger Konzepte ermöglichen soll.
Die Datenschutzbeauftragten des Bundes und der Länder haben bei ihrer 59. Konferenz vom 14./15.03.2000 eine Entschließung zu "Data Warehouse, Data Mining und Datenschutz" gefasst, in der u.a. die Beachtung des Zweckbindungsprinzips angemahnt wird und die Hersteller und Anwender zur Nutzung von Programmen aufrufen, die die Speicherung von personenbezogenen Daten durch Anonymisierung oder Pseudonymisierung möglichst vermeiden. Diese Entschließung ist als Anlage 19 beigefügt und auch auf meiner Home-Page abrufbar.
17.1.4. Prüfkriterien für datenschutzfreundliche Produkte (Common Criteria)
Im Abschnitt 19.1.2 meines 18. Tätigkeitsberichtes habe ich die wachsende Bedeutung von Sicherheitszertifikaten hervorgehoben, bin auf die aktuellen Probleme bei der Zertifizierung von Sicherheitsprodukten eingegangen und habe Maßnahmen aufgezeigt, um aus dem derzeitigen Dilemma herauszufinden.
Ein weiterer Schritt dazu erfolgte 1998 auf internationaler Ebene (verschiedene Länder Europas sowie Nordamerikas) mit der Schaffung der "Gemeinsamen Kriterien für die Prüfung und Bewertung der Sicherheit von Informationstechnik - Common Criteria Version 2.0 (CC)". Bei den Common Criteria handelt es sich um eine Weiterentwicklung und Harmonisierung der europäischen "Information Technology Security Evaluation Criteria (ITSEC)" von 1991, der US-amerikanischen "Trusted Computer Security Evaluation Criteria (TCSEC, Orange Book)" von 1983 und der kanadischen "The Canadian Trusted Computer Product Evaluation Criteria V3.0e (CTCPEC)" von 1993.
Für den Datenschutz sind die Common Criteria von besonderer Bedeutung, weil erstmals Anforderungen zum Schutz der Privatsphäre in einem derartigen Kriterienkatalog enthalten sind. Dabei sind Grundsätze zur Anonymität, Pseudonymität, Unverkettbarkeit und Unbeobachtbarkeit im Teil "Funktionale Sicherheitsanforderungen - Datenschutz" enthalten. Mit Hilfe der in den Common Criteria beschriebenen "Protection Profiles" (PP, Schutzprofile) ist es möglich, unter anderem auch datenschutzspezifische Anforderungen für bestimmte Produkttypen zu definieren. Die Schutzprofile bieten somit für die Anwender von IuK-Technik und für sonstige Bedarfsträger die Möglichkeit, ihre Bedürfnisse zur IT-Sicherheit sowohl den Herstellern als auch den Zertifizierungsstellen gegenüber deutlich zum Ausdruck zu bringen - unabhängig von existierenden Produkten. Dadurch können international vergleichbare und prüffähige Vorgaben für die Entwicklung datenschutzfreundlicher Produkte gemacht werden.
Die Datenschutzbeauftragten von Bund und Ländern möchten die Möglichkeit nutzen, auf Basis der Common Criteria bereits im Vorfeld von Produktentwicklungen solche Schutzprofile zu erstellen, die wesentliche datenschutzrechtliche Anforderungen widerspiegeln. Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten von Bund und Ländern hat zu diesem Zweck eine Arbeitsgruppe unter meiner Federführung gebildet, die zunächst ein Schutzprofil zu den Aspekten Verschlüsselung und Pseudonymisierung erstellen soll. Damit könnten beispielsweise eine zugriffssichere Datenspeicherung, eine gesicherte und vertrauliche Datenübertragung innerhalb von lokalen Netzwerken, aber auch über offene und öffentliche Netzwerke sowie eine datenschutzgerechte Erzeugung von Pseudonymen und ggf. Depseudonymisierung mit einem einzigen Sicherheitsprodukt realisiert werden. Konkret könnte mit dem Schutzprofil beispielsweise eine wichtige Voraussetzung geschaffen werden, um die Forderungen der Gesundheitsreform 2000 zur Datenübermittlung der Leistungserbringer an die Krankenkassen datenschutzgerecht umzusetzen.
Das BSI, als der deutsche Vertreter bei der Entwicklung der Common Criteria, ist Mitglied der Arbeitsgruppe. Der erste Entwurf des Schutzprofils zum Thema Pseudonymisierung und Verschlüsselung liegt mit den beschreibenden Teilen vor. Über den Fortgang der Schutzprofil-Entwicklung, in die weitere Experten einzubinden sein werden, werde ich berichten.
17.1.5. Viren im Internet
Durch das alleinige Lesen einer E-Mail wurde ein Computer bisher noch nicht infiziert, was sich allerdings spätestens seit dem Auftreten der Script-Viren (z. B. "I love you") geändert hat. Diese in einer Script-Sprache wie Visual Basic geschriebenen Würmer (Würmer sind eigenständige Programme, die kein sogenanntes Wirtsprogramm benötigen und sich durch Reproduktion ihres Codes selbständig innerhalb eines Netzes ausbreiten können) können sich in Anhängen von E-Mails verstecken. Wird nun dieser Anhang mit einem Doppelklick gestartet und befinden sich Script-Interpreter wie z. B. die Microsoft-Komponenten Outlook (ab Version 98) oder WSH (Windows Scripting Host - standardmäßig ab Windows 98) im Einsatz, kann der Virus seine Schadensfunktion ausüben.
Ein Anhang (Attachment) einer E-Mail kann aber auch sonstige ausführbare Programme, eine selbstextrahierende Datei oder einen Makrocode (z. B. zur Ausführung in Word-Dokumenten) mit Schadensfunktion enthalten. Diese Anhänge können ebenfalls bei einem Öffnen des Attachments mit Doppelklick den Rechner mit einen Virus verseuchen. Dateianhänge an E-Mails, gleich welcher Art (ob DOC-, VBS-, BAT- oder EXE-Files usw.) und unabhängig von ihrer Herkunft (aus dem Internet oder aus dem Behördennetz), sollten daher keinesfalls sofort mit Doppelklick geöffnet werden. Stattdessen sollte jeder Dateianhang mit der Funktion "Speichern unter" auf eine mittels Virenscanner überwachten lokalen Festplatte in einem speziell dafür angelegen Verzeichnis gespeichert werden. Erst dann darf der Dateianhang von der Festplatte aus mit der entsprechenden Anwendung gestartet werden.
Um sich als Outlook-Benutzer soweit wie möglich gegen einen Virenbefall zu schützen, sollte außerdem die Sicherheitsstufe im Internet Explorer über das Menü "Ansicht/(Internet)Optio-nen/Sicherheit" auf "Hoch (am sichersten)" eingestellt sein. Allerdings kann der Internet Explorer bei dieser Einstellung generell keine Visual-Basic-Scripts mehr verarbeiten, was zu Fehlermeldungen beim Internet-Surfen führen kann.
Außerdem sollte darauf geachtet werden, dass die Dateinamenserweiterungen im Windows Explorer angezeigt werden (einstellbar unter Ansicht/Optionen). Diese Einstellung gilt dann gleichzeitig für die Anzeige von Dateianhängen in E-Mails.
Desweiteren sollten die Anwender hinsichtlich der Beachtung des Outlook-Warnfeldes beim Öffnen eines Attachments geschult werden. Dieses Dialogfeld ist in den aktuellen Versionen von Outlook integriert und weist darauf hin,
"dass Webseiten, ausführbare Dateien und andere Anlagen Viren oder Skripts enthalten können, die den Computer beschädigen können. Es ist deshalb wichtig sicherzustellen, dass die Quelle der Datei vertrauenswürdig ist."
Gleichzeitig wird abgefragt, was mit der Datei passieren soll (Öffnen oder - wie empfohlen - auf Datenträger speichern. Die Deaktivierung dieser Option "Vor dem Öffnen dieses Dateityps immer bestätigen" sollte per Dienstanweisung verboten werden.
Eine weitere Möglichkeit besteht darin, am zentralen Mail-Server in allen eingehenden E-Mails bei Dateianhängen, die z. B. die Programmendung ".vbs" oder ".exe" enthalten, den Punkt beispielsweise durch das Zeichen "~" zu ersetzen. Aus xxx.exe wird dann xxx~exe, bzw. xxx~vbs. Als Alternative dazu kann auch dem Datennamen eine weitere Endung hinzugefügt werden (z. B. test.exe.xxx). Beides bewirkt, dass die Anlage nicht mehr mit Doppelklick aus Outlook gestartet werden kann, sondern zuerst gespeichert und umbenannt werden muss. Die Liste der Dateianhänge kann natürlich nach Bedarf erweitert werden. Diese Maßnahme wurde unter anderem vom Zentralen Cert (Computer Emergency Respone Team = Einrichtung, die die Verbesserung der Sicherheit von DV-Systemen zum Ziel hat) für das Bayerische Behördennetz ergriffen.
Eine weitere empfehlenswerte Maßnahme besteht darin, ein so genanntes "Dateiblocking" durchzuführen. Dabei werden Dateianhänge in E-Mails nicht nur auf Viren überprüft, sondern auch bestimmte, einstellbare Dateitypen in so genannten "Quarantäneordner" abgelegt und nicht an den eigentlichen Empfänger der E-Mail weitergeleitet. Der vorgesehene Empfänger erhält statt des geblockten Dateianhangs einen entsprechenden Hinweis. Möchte der Adressat nun die geblockte Datei, muss er sich an den Systemverwalter (oder eine damit beauftragte Person) wenden. Dieser hat nun die Möglichkeit, entweder diese benannte Datei per E-Mail weiterzuleiten oder direkt in ein benanntes Dateiverzeichnis einzuspeichern.
Unbedingt geblockt werden sollten folgende Dateitypen:
- ausführbare Dateien (wie com, exe, bat)
- in Script-Sprachen erstellte Dateien (z. B. vbs)
- Systemdateien (wie drv, ole, reg, scr, sys)
Die Liste der geblockten Dateitypen ist natürlich jederzeit erweiterbar und neuen Gefahrenquellen anpassbar.
Zur Vermeidung eines Virenbefalls und einer Verunsicherung der Anwender sollte alles, was aus dem Internet kommt, also beispielsweise E-Mails, Download-Dateien, Java-Scripts und ActiveX-Controls, automatisch von Virenscannern überprüft werden. Dabei müssen spezielle Virenscanner zum Einsatz gelangen, die auch Hostile Applets (siehe TZ. 19.3.8 im 18. Tätigkeitsbericht von 1998) aufspüren können. Werden Dateien verschlüsselt übertragen, müssen diese nach dem Entschlüsseln erneut gescannt werden. Der Einsatz von aktuellen Virenscannern sowohl beim zentralen Datenbankserver als auch beim E-Mail-Server und bei der Firewall ist daher unverzichtbar. Auch ein laufendes Scannen der Arbeitsplatzrechner wird angeraten, insbesondere wenn diese PC mit Disketten- und/oder CD-ROM-Laufwerken ausgestattet sind. Da täglich ca. 20 neue Viren auftauchen, bieten Antivirenprogramme nur dann einen größtmöglichen Schutz, wenn sie ständig aktualisiert werden. Ein Restrisiko für einen Virenbefall wird aber bei dieser Flut von neuen Viren immer bestehen.
17.2. Prüfungen, Beratungen und Informationen
17.2.1. Beanstandungen
Die Kontrolle der technischen und organisatorischen Datensicherheitsmaßnahmen war wiederum einer der Schwerpunkte im Berichtszeitraum. Leider habe ich dabei bei zwei Kliniken so schwer wiegende Verstöße gegen den Datenschutz und die Datensicherheit festgestellt, dass ich sie gemäß Art. 31 BayDSG förmlich beanstanden musste. Dabei handelte es sich um folgende Verstöße:
Verschwinden von Patientenakten und Zimmerschlüssel
Bei einer psychiatrischen Klinik wurde festgestellt, dass sowohl aus dem Zimmer eines der Leitenden Oberärzte als auch aus einem anderen Raum, in dem Akten der Sexualtherapie offen gelagert waren und zu dem viele Ärzte und Schwestern ungehinderten Zutritt hatten, Akten verschwunden waren. Außerdem wurde einer Oberärztin der Gruppenschlüssel entwendet. Dieser Schlüssel diente zum Abschließen aller Eingangstüren und aller verschließbaren Behältnisse im Bereich der Oberärzte der Psychiatrie. Zusätzlich wurde festgestellt, dass die Aus- und Rückgabe von Schlüsseln im Bereich der Psychiatrischen Klinik nicht revisionsfähig erfolgte. So wurde es von der Klinikumsleitung geduldet, dass Mitarbeiter des ärztlichen Dienstes nach Ausscheiden aus der Psychiatrischen Klinik weiterhin Schlüssel der Klinik behielten. Dadurch und durch die Verwendung von Gruppenschlüsseln war es ehemaligen Bediensteten unerlaubterweise möglich, weiterhin auf Patientenakten zuzugreifen, die sich in den Ärztezimmern befanden.
Diese schwer wiegende Verletzung der Zugangs- und Zugriffssicherheit habe ich beanstandet und die Psychiatrische Klinik aufgefordert, entsprechende technische und organisatorischer Maßnahmen (revisionsfähige Schlüsselverwaltung, zugriffssichere Aufbewahrung von Akten, Einbindung des internen Datenschutzbeauftragten des Klinikums bei der Definition und Umsetzung entsprechender Sicherheitsmaßnahmen) zur Vermeidung einer Wiederholung eines vergleichbaren Vorgangs zu ergreifen.
Aufgrund meiner Beanstandung wurde von Seiten der Klinikleitung sofort eine Dienstanweisung erlassen, die grundlegende Verhaltensnormen im Umgang mit Patientendaten und Schlüsseln der Klinik zum Inhalt hat. Weiterhin wurden in den Bereichen des Klinikums, in dem sensible Akten gelagert sind und bei den Oberarztzimmern neue Schließzylinder eingebaut, die einem sehr begrenzten Berechtigungsmodus unterliegen. Darüber hinaus erhielt jedes Arztzimmer ein neues Schrankschließsystem zur Aufbewahrung von Akten, dessen Schlüssel nicht mehr mit dem jeweiligen Türschloss übereinstimmt.
Im Rahmen der finanziellen Möglichkeiten soll für die sensiblen Bereiche der Klinik eine Zugangskontrolle durch ein Electronic Key-System sichergestellt werden. So wurden bereits 10 Türen der Klinik mit derartigen elektronischen Schlössern ausgerüstet, die nunmehr ohne Besitz eines entsprechend codierten Schlüssels von außen nicht mehr geöffnet werden können.
Die Vorfälle in der Psychiatrischen Klinik wurden vom internen Datenschutzbeauftragten zum Anlass genommen, auch die anderen Kliniken des Kopfklinikums zu begehen und entsprechende Vorschläge zur Sicherstellung des Datenschutzes in diesen Bereichen zu unterbreiten.
Patientendaten im Internet
Ein Institut eines anderen Klinikums hatte auf seiner Website Laborberichte über Patienten so ungenügend anonymisiert, dass durch die teilweise immer noch erkennbaren Namen, die Geburtsdaten und in Einzelfällen die einliefernde Station die betreffenden Personen zumindest für deren näheren Bekanntenkreis erkennbar waren. Dazu waren die Namen ungekürzt über den Quellcode der Dokumente und über das Dateiverzeichnis zugänglich. Die Laborberichte enthielten neben den genannten Hinweisen auf die jeweilige Person eingehende Daten über die Laborbefunde der Patienten.
Durch diesen Vorgang wurde nicht nur gegen das Bayerische Datenschutzgesetz sondern auch gegen das Bayerische Krankenhausgesetz verstoßen. Danach sind für Patientendaten besondere Schutzmaßnahmen zu treffen, so dass diese Informationen nicht unbefugten Dritten bekannt werden. Durch den unsachgemäßen Umgang mit den Datenverarbeitungstechniken standen im Gegensatz dazu die medizinischen Werte mehrerer hundert Personen dem Zugriff von Nichtberechtigten, nämlich der Internetgemeinde auf der ganzen Welt, offen.
Neben der förmlichen Beanstandung wurde dem Klinikum ein Katalog von Maßnahmen an die Hand gegeben, damit derartige grobe Mängel in Zukunft verhindert werden. Unter anderem wurde das Klinikum aufgefordert, die Web-Seiten anderer Institute auf etwaige unbefugte Veröffentlichung von personenbezogenen Daten zu überprüfen und es wurden Hinweise zur Gestaltung von Web-Seiten gegeben, damit nicht nochmals aufgrund einer unsachgemäßen Gestaltung unbeabsichtigt Zugriff auf vertrauliche Informationen eröffnet wird.
Ich habe den Vorfall weiter zum Anlass für allgemeine Hinweise an Behörden und andere öffentliche Stellen zur datenschutzgerechten Informationsgestaltung in Internet und Intranet genommen. Diese Hinweise klären über zulässige Inhalte in Behörden-Websites auf und enthalten
technische und organisatorische Ratschläge für eine sichere und datenschutzgerechte Veröffentlichung von Informationen auf Web-Servern. Diese Orientierungshilfe zur "Veröffentlichung von Informationen im Internet und im Intranet" ist auf meiner Homepage (www.datenschutz-bayern.de/inhalte/technik.htm) abrufbar.
17.2.2. Erkenntnisse aus Prüfungen
Neben den beiden beanstandeten Kliniken und einigen Nachprüfungen habe ich folgende Dienststellen nach Art. 7 BayDSG (teilweise in Verbindung mit § 9 BDSG und Anlage) im Berichtszeitraum unter technisch-organisatorischen Aspekten kontrolliert:
- AOK-Direktion Hof
- AOK-Dienstleistungszentrum Ärzte in Nürnberg
- AOK-Pflegekasse in Kulmbach
- Bayerisches Rotes Kreuz (Netzwerk des Präsidiums, Bergwachtabschnitt Allgäu)
- Bezirkskrankenhaus Gabersee
- IKK Oberbayern
- Kassenzahnärztliche Vereinigung Bayerns
- Kliniken der Friedrich-Alexander-Universität in Erlangen (Rechenzentrum)
- Klinikum Innenstadt der Ludwig-Maximilians-Universität München (Abteilung für Infektions- und Tropenmedizin)
- Kreiskrankenhäuser Cham, Kötzting und Roding
- Landwirtschaftliche Sozialversicherungsträger Unterfranken
- Landeshauptstadt München (Gesundheitshaus)
- Landratsamt Kulmbach
- Stadt Erlangen
- Stadt Immenstadt im Allgäu
- Stadt Rehau
- Universität Bamberg
- Universität Bayreuth
- Universität Würzburg (Klinikverwaltung)
- Vertrauensstelle des Bayerischen Krebsregisters
Ergebnisse der Kontrolltätigkeit
Ich konnte wiederum einigen Dienststellen bescheinigen, dass die Datensicherheit nahezu vorbildlich gewährleistet ist. Allerdings fand ich auch in diesem Berichtszeitraum wieder einige schwer wiegendere Mängel vor, auf die ich nachfolgend etwas ausführlicher eingehen möchte:
Verschlüsselung
Wie ich unter Nr. 17.1.2 eingehend ausgeführt habe, ist beim Versand von Nachrichten und sonstigen Informationen über das Internet zu berücksichtigen, dass das Internet ein offenes Netz ist und von sich aus derzeit keinerlei Schutzmechanismen zur Wahrung der Vertraulichkeit, Integrität und Authentizität bietet. Deshalb sind alle über das Internet zu versendenden schutzwürdigen Daten (z. B. bei Versand per E-Mail oder mit FTP) zu verschlüsseln und soweit möglich digital zu signieren. Dies setzt voraus, dass der Empfänger auch über entsprechende Vorrichtungen verfügt, die es ihm gestatten, die Zeichenfolge wieder zu entschlüsseln und die Signatur zu verifizieren.
Wichtig ist dabei, dass bei E-Mails nicht nur die Nachrichten selbst verschlüsselt werden, sondern auch deren Anlagen, soweit schutzwürdige Inhalte gegeben sind. Dies wird leider vielfach nicht beachtet.
Als hinreichend sichere Algorithmen gelten derzeit beispielsweise Triple-DES mit 112 oder IDEA mit 128 Bit Schlüssellänge. Für asymmetrische Verfahren wie RSA wird empfohlen, eine Schlüssellänge von wenigstens 1024 Bit zu verwenden. Softwareprodukte dazu stehen im Internet sowie auf dem Markt zur Verfügung.
Eine Verschlüsselung der internen E-Mails ist immer dann durchzuführen, wenn personenbezogene Daten übertragen werden, die anderen Mitarbeitern (also auch den Systemverwaltern) nicht zur Kenntnis gelangen dürfen und der unerlaubte Zugriff auf die E-Mails nicht ausgeschlossen werden kann.
Einsatz von "diskless"-PC und Sperrung der Schnittstellen
Im PC-Netz sollten nur so genannte "diskless"-PC eingesetzt werden. Vorhandene Disketten- und CD-ROM-Laufwerke sollten entweder ausgebaut oder wie nicht benötigte Schnittstellen im BIOS gesperrt werden.
Der Zugriff auf das BIOS sollte zur Verhinderung unerlaubter Systemeinstellungen mit einem Kennwortschutz versehen werden.
EDV-Personal
Manche Dienststellen verfügen nicht über das zur Erfüllung der Aufgaben erforderliche EDV-Personal. Dies stellt ein großes Risiko für die Gewährleistung der Ausfallsicherheit und der Ordnungsmäßigkeit der Datenverarbeitung dar. So ist beispielsweise häufig die Vertretung des Systemverwalters nicht geregelt.
Wegen der raschen Fortentwicklung der IT-Technik ist das Fachpersonal regelmäßig und ausreichend zu schulen. Anbieter von Softwarepaketen in kommunalen Bereich bieten beispielsweise ihren Kunden an, deren EDV-Personal entsprechend auszubilden (z. B. zu NT-Administratoren).
Faxversand
Auch bei einem Versand von personenbezogenen Daten per Fax müssen Maßnahmen getroffen werden, die verhindern, dass bei der Übertragung diese Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Somit müssen beim Versand personenbezogener Daten mittels Telefaxgerät entsprechende Zusatzmaßnahmen ergriffen werden. So sollte beispielsweise der zu übertragende Text zur Sicherheit gegen Lauscher auf dem Übertragungsweg durch geeignete Verfahren verschlüsselt werden. Dies setzt natürlich voraus, dass der Empfänger über entsprechende Vorrichtungen verfügt, die es ihm gestatten, den Text wieder zu entschlüsseln.
Da derartige Vorrichtungen bei einem Fax-Versand mittels PC aufgrund des verwendeten Protokolls derzeit noch nicht zur Verfügung stehen, muss - außer wenn dadurch in einem Notfall eine nicht zumutbare Zeitverzögerung entstehen würde - ein Versand sensibler personenbezogener Daten online per Fax unterbleiben.
Als weitere Möglichkeit zur Gewährleistung der Sicherheit bei der Datenübertragung könnten identifizierende personenbezogene Merkmale durch ein Pseudonym ersetzt und die Zusammenführung von Pseudonymen und personenbezogene Daten auf einem getrennten Weg (z. B. mittels Telefon) durchgeführt werden. Dies stellt allerdings einen erheblichen organisatorischen Aufwand dar.
Auf jedem Fall sind die üblichen Sicherheitsmaßnahmen zu beachten wie Sicherstellung der Empfängernummer, Sicherstellung, dass nur der berechtigte Empfänger das Fax erhält.
E-Mail
Wendet sich ein Betroffener per E-Mail an eine Behörde, so hat die Behörde bei ihrer Antwort zu prüfen, ob der Inhalt schutzwürdige Daten enthält. Ist das der Fall, muss diese E-Mail verschlüsselt versandt werden. Wenn der Absender seinen Schlüssel nicht angegeben hat, muss die Behörde diesen entweder erfragen oder die Antwort auf herkömmliche Art mit der Post in einem verschlossenen Umschlag versenden. Es darf keinesfalls der Schluss gezogen werden, wenn der Anfragende eine unverschlüsselte E-Mail schickt, kann die Behörde diesen Versandweg ebenfalls ungeprüft nutzen.
17.2.3. Erkenntnisse aus Beratungen
Zusätzlich habe ich wieder zahlreiche Dienststellen hinsichtlich der Datensicherheit beraten, wo-bei im zunehmenden Maße die Gefahren bei einem Öffnung der lokalen Netze nach außen (insbesondere bei einem Internetanschluss) und die dabei zu ergreifenden Sicherheitsmaßnahmen Gegenstand der Beratungen waren. Insbesondere sollte für die Internetbenutzung eine entsprechende Richtlinie erarbeitet werden, die allen Nutzern gegen Unterschrift auszuhändigen ist. Eine entsprechendes Muster (Grundsätze für "Benutzerrichtlinien für den Umgang mit Internet") ist auf meiner Homepage (www.datenschutz-bayern.de/inhalte/technik.htm) abrufbar.
Auch bei der Entwicklung geeigneter Sicherheitskonzepte für Intranets (insbesondere Landkreis-Behördennetze) wird meine Geschäftsstelle immer häufiger beteiligt. Ich habe dies zum Anlass genommen, eine Orientierungshilfe "Datensicherheit beim Betrieb eines Landkreis-Behördennetzes (Intranet)" - Kommunales-Behördennetz - zu erstellen. Auch diese Orientierungshilfe ist auf meiner Homepage unter www.datenschutz-bayern.de/inhalte/technik.htm abrufbar.
Viele Behörden sind auch aufgrund der immer häufiger werdenden Virenwarnungen verunsichert. Während es bis vor einiger Zeit war noch ausreichend war, Arbeitsplatzrechner ohne Disketten- und ohne CD-ROM-Laufwerk auszustatten, um den Import von Viren abzuwehren, wurde durch den Anschluss an öffentliche Netze (insbesondere an das Internet) eine weit größere Gefahr für die Verbreitung von Viren geschaffen. So können Viren durch den E-Mail-Verkehr, beim Websurfen oder durch das Herunterladen von Dateien eingeschleust werden. Näheres zu diesen neuen Virenarten und Möglichkeiten ihrer Bekämpfung ist im vorhergehenden Punkt "Viren im Internet" zu finden und kann außerdem meiner oben genannten Orientierungshilfe "Datensicherheit beim Betrieb eines Landkreis-Behördennetzes (Intranet)" - Kommunales Behördennetz - (abrufbar unter www.datenschutz-bayern.de/inhalte/technik.htm) entnommen werden.
17.3. Technische Einzelprobleme
17.3.1. Prüfungsverwaltungssystem FlexNow!
Mitte 1999 besuchte einer meiner Mitarbeiter die Otto-Friedrich-Universität Bamberg, um sich über den Stand der technischen und organisatorischen Datenschutz- und Datensicherheitsmaßnahmen u.a. im Verfahren FlexNow! zu unterrichten. Das Verfahren FlexNow! ist Teil eines Modellversuches für ein "Flexibles Studien- und Prüfungssystem" in der Fakultät Sozial- und Wirtschaftswissenschaften der Otto-Friedrich-Universität Bamberg und wird seit 1994 am Lehrstuhl Wirtschaftsinformatik entwickelt. FlexNow! befindet sich derzeit im Übergangsstadium vom Projekt zur Produktivanwendung für die Universitätsverwaltung.
Im fachlichen Kern von FlexNow! werden die Prüfungs- und Studienordnungen abgebildet. Es ist ein Anwendungssystem zur Verwaltung von studentischen Prüfungsdaten, das vom Studenten auch über das Internet genutzt werden kann. FlexNow! unterstützt den gesamten Prüfungsprozess von der Erstellung des Prüfungsangebotes über die Prüfungsanmeldung, die Prüfungslogistik, die Erfassung der Prüfungsergebnisse bis hin zur Erstellung von Bescheiden und Zeugnissen.
FlexNow! ist als Client-Server-System ausgebildet. Die möglichen FlexNow!-Clients sind in zwei Kategorien unterteilbar, nämlich in spezifische Client-Anwendungen für die vier Nutzergruppen Prüfungsamt, Prüfungsausschuss, Lehrstuhl und Verwaltung mit rollenbasierter und z.T. zeitlich begrenzter Zugriffsmöglichkeit auf den FlexNow!-Datenbank-Server sowie in WWW-Browser-Anwendungen der Studierenden für den Zugriff auf den FlexNow!-WWW-Server.
Die WWW-Browser der Studierenden greifen über das Internet auf den WWW-Server von FlexNow! zu, der vom FlexNow!-Datenbank-Server mit Daten gespeist wird. So kann von den Studierenden das Prüfungsangebot abgerufen, die An- und Abmeldung zu bzw. von Prüfungen innerhalb der Meldefristen durchgeführt und ein persönlicher Prüfungsplan für das Semester erstellt werden. Außerdem kann der Studierende jederzeit und von jedem Ort aus seinen vollständigen Datensatz u.a. mit Studienhistorie und aktuellen Prüfungsergebnissen abrufen. Für Identifizierung und Authentifizierung gelangt die aus dem Bereich des Home-Bankings bekannte Methodik des PIN-TAN-Verfahrens zur Anwendung. Um einen höheren Grad an Sicherheit bei der Authentifizierung und Datenübertragung über das Internet zu erreichen, ist beabsichtigt, spezifische Produkte (TranSON) und Protokolle (SSL) zu verwenden.
Zur Steigerung des Datensicherheits- und Datenschutzniveaus habe ich eine Reihe von Forderungen erhoben und auch Empfehlungen ausgesprochen, wie z.B. Erteilung der datenschutzrechtlichen Freigabe nach Art. 26 BayDSG, physikalische Trennung des Datenbankservers vom WWW-Server, zügige Einführung von kryptografischen Maßnahmen zur Sicherung der Datenübertragungen über das Internet, Begrenzung der Gültigkeitsdauern der Passworte und systemseitige Erzwingung eines Passwortwechsels nach ca. 90 Tagen, verschlüsselte Speicherung der Passworte, Verwendung von persönlichen Benutzerkennungen und Passworten anstatt der gemeinsamen Nutzung der gleichen Benutzerkennung und des gleichen Passwortes durch mehrere Lehrstuhlmitarbeiter, Begrenzung der Anzahl an unmittelbar aufeinander folgenden Anmeldeversuchen mit entsprechenden Systemreaktionen sowie Festlegung der Aufbewahrungsdauer von Protokollierungsdaten.
Meine Anregungen wurden sehr offen aufgenommen, aber noch nicht vollständig umgesetzt. Es ist auch festzustellen, dass bereits bei der Konzeption des Verfahrens den Aspekten der Datensicherheit und des Datenschutzes ein hoher Stellenwert beigemessen wurde. So hat der Lehrstuhl für Wirtschaftsinformatik der Otto-Friedrich-Universität Bamberg auch eine umfangreiche Ausarbeitung zu Datenschutz und Datensicherheit mit Sicherheitsrichtlinien und Empfehlungen erstellt, um so auch für die Fälle einer Verwendung von FlexNow! an anderen Universitäten eine konstruktive Hilfestellung bzgl. dieser Aspekte zu geben.
Trotz dieser erfreulichen Umstände wäre es m.E. hilfreich gewesen, wenn ich zu einem noch früheren Projektstadium eingebunden worden wäre.
FlexNow! wird auch bereits an weiteren Universitäten in Deutschland (Saarbrücken, Göttingen, Augsburg, Münster) und Österreich (Graz) eingesetzt. Weitere Installationen werden vorbereitet, befinden sich in Einführung oder sind projektiert (z.B. München, Hamburg, Gießen, Marburg, Regensburg, Erfurt, Bayreuth, Bremen). Die Verwaltungskomponente der Virtuellen Hochschule Bayern wurde auf der Basis von FlexNow! realisiert.
17.3.2. Projekt RegioSignCard
Im Rahmen des bundesweiten Städtewettbewerbs MEDIA@Komm wurde auch der von der Nürnberger Initiative für die Kommunikationswirtschaft e.V. NIK e.V. im Namen des Städteverbundes Nürnberg-Fürth-Erlangen-Schwabach-Bayreuth eingereichte Projektantrag "RegioSignCard" prämiert; er wird nunmehr aus Bundesmitteln gefördert. In der NIK sind neben diversen privatwirtschaftlichen Unternehmen auch die genannten Städte vertreten. Ziel dieses Projekts ist die Errichtung virtueller Dienstleistungszentren (virtuelles Rathaus und virtueller Marktplatz) und vor allem der Aufbau einer sicheren und Rechtsverbindlichkeit erlaubenden Kommunikationsinfrastruktur, die von Institutionen, Firmen und vor allem von Bürgern genutzt werden soll. Träger für die Umsetzung dieses Projekts ist die Curiavant Internet GmbH, eine von den fünf Städten gegründete Firma (der ursprüngliche Name Makon GmbH musste wegen der Nichtverfügbarkeit der Domäne makon.xxx geändert werden).
Das Projekt definiert für die Zielgruppen
- Kommunen und Kammern als Anbieter öffentlicher Dienste für Bürger und Unternehmen,
- Rechtsfähige Bürger als Nutzer der öffentlichen Dienste und der Angebote privatwirtschaftlicher Unternehmen,
- Privatwirtschaftliche Unternehmen als Nutzer öffentlicher Dienste und als Anbieter eigener Dienste für ihre Kunden
als Hauptnutzen die "Einführung der Digitalen Signatur und Sicherstellung einer vertraulichen Kommunikation".
Als eines der Hauptprobleme technischer Art zur Realisierung dieser grundlegenden Datensicherheitsanforderung gilt, wie aus allen ähnlichen Projekten bekannt, das bei allen Beteiligten unterschiedliche Spektrum von Hard- und Softwarekomponenten. Das hat zur Folge, dass Komponenten und Mechanismen definiert und gefunden werden müssen, die auf allen gängigen Plattformen zum Ablauf kommen können. Somit ist auch die Schaffung einer kompatiblen Anwendungsumgebung ein erklärtes Ziel dieses Projektes. Die Kompatibilität aller am Markt gebräuchlichen Hard- und Softwaresysteme zur Erzeugung und Verifizierung der Digitalen Signatur sollte ebenso gewährleistet sein, wie der Einsatz von Chipkarten, die von unterschiedlichen Trust Centern ausgegeben werden. Außerdem müssen auch die Verschlüsselungsverfahren untereinander verträglich sein.
Die Akzeptanz eines solchen Systems hängt von der Attraktivität der Anwendungen, der Benutzerfreundlichkeit und natürlich auch von der Sicherheit ab. Ein virtueller Marktplatz lebt von der Vielfalt der Angebote und Anbieter, das virtuelle Rathaus von der Vielfalt der Angebote. Alle Anbieter haben gewisse Investitionen zu tätigen, die sich wiederum dann schneller amortisieren, wenn sie möglichst viele Benutzer in Anspruch nehmen. Benutzerfreundlichkeit setzt aber nicht nur eine einfache Bedienung voraus, sondern hat selbstverständlich auch eine Kostenkomponente. Das heißt, der Anwender muss sowohl für das Equipment als auch für die genutzten Dienste bezahlen.
In diesem Projekt soll die Prozessor-Chipkarte mit Digitaler Signatur, Geldkarte und Platz für Zusatzanwendungen (z.B. Betriebsausweis, Fahrscheine für den öffentlichen Nahverkehr) sowohl zur rechtsverbindlichen Unterschrift, zur Abwicklung von Banktransaktionen, zur Identifizierung und auch zur Verschlüsselung verwendet werden. Um Kosten zu sparen, bietet sich diese Kombinationskarte an, die als Bankkarte, als Signaturkarte, als Geldkarte und als Zugangsinstrument in den verschiedensten Anwendungen (z.B. als Betriebsausweis) genutzt werden kann. Die Personalisierung solcher Kombinationskarten leisten Trust Center, die den Anforderungen des Signaturgesetzes entsprechen (z.B. die Telesec, die Post und später auch Banken). Um die Chipkarte einsetzen zu können, benötigt der Benutzer dann noch einen Kartenleser und Kommunikations- und Verschlüsselungssoftware an seinem PC.
Die Kommunikationsplattform wurde beispielhaft auf der Grundlage des BROKAT-Twister konzipiert, der sich im Bankbereich bewährt hat und die Anforderungen einer integrierten Lösung erfüllt. Eine solche Plattform muss die verschiedenen Dienste zur Verfügung stellen, die für Abwicklung und Sicherheit notwendig sind und zusätzlich die Welt des Internet mit den PC-Systemen mit der Welt der Hostrechner verbinden, auf denen in den meisten Firmen und Verwaltungen die Anwendungen laufen und die relevanten Daten gespeichert sind. Hierzu muss die heterogene Hard- und Software der Partnerstädte und der beteiligten Firmen und Institutionen beherrschbar integriert werden. Das Sicherheitskonzept baut auf der digitalen Signatur oder allgemeiner auf der Nutzung von zuverlässig erzeugten, verteilten und gespeicherten Zertifikaten auf; diese werden außer zur Signaturerzeugung auch als Authentifizierungs- und Identifikationsinstrument genutzt. Mit Hilfe der Verschlüsselung auf der Basis von SSL wird bei der Kommunikation ein hohes und ausreichendes Maß an Vertraulichkeit erreicht. Diese zwischen Client und Server der jeweiligen Firma, Institution oder Verwaltung im Hintergrund immer aktive Verschlüsselung soll zur Erhöhung der Sicherheit bei Übertragung und Speicherung durch eine zusätzliche Ende-zu-Ende-Verschlüsselung bzw. Archivverschlüsselung ergänzt werden. Selbstverständlich müssen alle Anwendungen gegeneinander abgeschottet werden. Ein privatwirtschaftliches Unternehmen darf genauso wenig Zugriff zu Verwaltungsdaten haben, wie eine Behörde zu den Daten eines Wirtschaftsunternehmens.
Chipkarten (z.B. die E4/hoch evaluierten und damit SigG-konformen Karten der Telesec und der Post), Signaturmechanismus (RSA 1024 Bit), Verschlüsselungsverfahren (z.B. IDEA 128 Bit, SSL 128 Bit) und entsprechend ausgerichtete und dem SigG entsprechende Hard- und Software (verschiedene Anbieter) stehen am Markt zur Verfügung, so dass aus der Sicht der Datensicherheit nicht der bei ähnlichen Projekten manchmal festzustellende Nachholbedarf besteht. Die ersten Prototypen eines Bürgerterminals wurden im 2. Halbjahr 2000 im Rahmen des Projektes Media@Komm im genannten Städteverbund für die Anwendungen "Beantragung eines Anwohnerparkausweises" und "Mülltonnenbestellung" bereitgestellt und werden im tatsächlichen Betrieb getestet. Feldversuche mit anschließendem Wirkbetrieb sind in größerem Umfang in 2001 zu erwarten, wenn die Multifunktionskarte mit den beschriebenen Funktionen von den Banken herausgegeben und damit das Instrument Chipkarte mit Digitaler Signatur, Geldkarte und Zusatzfunktionen in hohen Stückzahlen verbreitet wird.
Das Verfahrenskonzept lässt keine Sicherheitsdefizite erkennen.
17.3.3. Wartung medizin-technischer Anlagen
In Krankenhäusern und Arztpraxen werden heute moderne medizin-technische Anlagen eingesetzt, die neben Bildern von Körperteilen oder Organen bestimmter Patienten auch identifizierende Patientendaten speichern. Dass diese Geräte regelmäßig gewartet werden müssen, steht außer Zweifel. Grund für eine Wartung ist meist die Sicherstellung der Bildqualität.
Laut Angaben eines renommierten Herstellers von medizin-technischen Geräten soll beim so genannten Remote Service lediglich in 1 Prozent aller Wartungsfälle ein Zugriff auf identifizierende Patientendaten erforderlich sein. Erfolgt beim Remote Service kein Zugriff auf identifizierende Patientendaten kann auf spezielle Sicherungsmaßnahmen verzichtet werden.
Bei 99 Prozent aller Wartungsfälle ist demnach ein Zugriff auf Patientendaten nicht notwendig, das heißt, die Patienten identifizierenden Merkmale können entweder generell ausgeblendet oder vor Beginn der Wartungsarbeiten durch Pseudonyme ersetzt werden.
Ist im Rahmen der Gerätewartung der Zugriff auf identifizierende Patientendaten unvermeidlich, sind folgende Maßnahmen einzuhalten:
- Einsatz eines Call-Back-Verfahrens oder eines ähnlichen Verfahrens (Dialogaufbau vom Kundensystem oder nach Ablauf einer so genannten Shake-Hand-Prozedur).
- Verwendung eines sicheren Passwortverfahrens (u.U. Verwendung von Einmalpassworten).
- Protokollierung des gesamten Fernwartungsdialogs, aus dem alle Aktionen und Zugriffe auf Patientendaten erkennbar sind.
- Der Dialog sollte von einem sachkundigen Mitarbeiter des Krankenhauses oder in der Arztpraxis verfolgt werden.
- Bei der Übertragung der Daten muss ihre Vertraulichkeit sicher gestellt werden können (Einsatz von geeigneten Verschlüsselungsverfahren).
- Benutzung des Internets nur, wenn Anwendungs- und Herstellersystem durch geeignete Firewall-Systeme vom offenen Netz abgeschottet sind.
- Soweit erforderlich, dürfen personenbezogenen Patientendaten in der Fernwartungszentrale nur temporär gespeichert werden.
- Einsatz von zuverlässigem Personal bei der Wartungsfirma (Verpflichtung auf Geheimhaltung).
- Schriftlicher Vertrag mit der Wartungsfirma (Einhaltung des Datengeheimnisses und der gebotenen Sicherheitsmaßnahmen; Schadenersatzklausel).
Die beste Lösung wäre es allerdings, wenn es möglich wäre, bei der Wartung lediglich auf eine signifikante Testumgebung zuzugreifen, so dass der Zugriff auf identifizierende Patientendaten vermieden würde. Auch das Ersetzen der identifizierenden Merkmale durch ein Pseudonym stellt eine datenschutzfreundliche Alternative dar.
17.3.4. Sicherheit in medizinischen Netzen
Der elektronische Austausch medizinischer Daten insbesondere die Anwendungen der Telemedizin schreitet stetig voran. Viele Anbieter von medizinischen Netzen sehen mittlerweile ausreichende Maßnahmen zur Datensicherheit vor. Wegen der Bedeutung dieses Themas für den Datenschutz und die Datensicherheit wurden die Forderungen aus dem letzten Tätigkeitsbericht an die Entwicklungen angepasst.
Bei der Übertragung von Patientendaten aller Art (Arztbriefe, Untersuchungsergebnisse, E-Mails, Bilder) in offenen Netzen, wozu letztlich auch das Bayer. Behördennetz oder die Landkreisnetze zählen, sind geeignete Sicherheitsmaßnahmen zu ergreifen, damit die Vertraulichkeit und Integrität der übertragenen Daten sowie die Revisionsfähigkeit der Netzbenutzung und den Zugriffsschutz der angeschlossenen DV-Systeme sichergestellt sind.
- Das DV-System darf nur solchen Benutzern Zugang zum Netz erlauben, die sich sowohl als Berechtigte identifizieren können, als auch vom DV-System als Berechtigte erkannt werden (Authentisierung). Die berechtigten Benutzer können auch unterschiedliche Rechte besitzen. Als Träger für die Autorisierungsdaten bietet sich die Chipkarte an. Die Rechner, die die Verbindung zum Netz herstellen, und vor allem die internen Netze sind durch geeignete Sicherheitsmaßnahmen, wie z. B. Schutz durch ein Firewall-System gegen unberechtigte und ungewollte Eindringversuche von außen (Veränderung von Software, Manipulation von Daten, Ausspähen von Informationen), abzusichern.
- Die Integrität der im Netz übertragenen Patientendaten lässt sich durch die heute bereits verfügbaren Signaturverfahren verifizieren. Durch die digitale Signatur lassen sich Dokumente außerdem eindeutig zuordnen. Der Empfänger eines Dokuments kann an der digitalen Signatur den Autor des Dokuments erkennen. Auch dazu haben sich die Chipkarten als Träger der Signaturschlüssel und der Signaturverfahren bewährt.
- Die Vertraulichkeit aller auf dem Netz übertragenen Patientendaten kann nur durch geeignete Verschlüsselungstechniken gewährleistet werden. Dabei ist insbesondere zu beachten, dass die zum Einsatz kommenden Verfahren gegen Entschlüsselungsversuche hinreichend sicher sind. Auf meine Ausführungen im 18. Tätigkeitsbericht (Tz. 19.1.4) wird verwiesen.
- Jedes an der Kommunikation mit Patientendaten beteiligte DV-System muss für jeden bestimmten Einzelfall zur Beweissicherung Empfangs- und Übergabenachweise aufzeichnen, damit dokumentiert ist, wer wann an wen welche Patientendaten übertragen oder empfangen hat (Protokollierung).
- Werden Patientendaten außerhalb eines Klinikums, Krankenhauses oder einer Arztpraxis zwischengespeichert, müssen sie verschlüsselt sein. Die Schlüssel müssen gegenüber dem Netzbetreiber geheim gehalten werden, sie dürfen nur im Besitz des medizinischen Personals sein.
Diese Forderungen gelten auch in der Telemedizin für die Übertragung von Röntgenbildern oder sonstigen medizinischen Bildern (Computer-Tomographie, Ultraschall o.ä.), sofern diese Angaben enthalten, die einen bestimmten Patienten identifizieren. Da die Verschlüsselung von Bildern noch mehr von Bewegtbildern recht zeitaufwendig werden kann, sollte man hier Pseudonyme verwenden, die Außenstehenden keine Zuordnung zu einer bestimmten Person erlauben.
17.3.5. Backup-Service
Viele, insbesondere Anwender von Standardsoftware fahren zwar ihre täglichen Sicherungen, prüfen jedoch nicht, ob diese Sicherungen vollständig und korrekt sind. Hinzu kommt, dass vielfach beim Anwender gar nicht das Know-how vorhanden ist, nach einem Systemzusammenbruch mit den Sicherungsbeständen einen Wiederanlauf erfolgreich durchzuführen.
So gibt es heute Anbieter, die die Sicherungsbestände unter Anwenderbedingungen auf ihre Verwendbarkeit hin testen. Eine solche Dienstleistung ist für viele Anwender wertvoll und unverzichtbar, wenn man bedenkt, dass wegen fehlerhafter Datensicherungen Datenverluste auftreten können. Das kann im ungünstigsten Fall sogar dazu führen, dass die Datenbestände unter Umständen überhaupt nicht mehr rekonstruierbar sind. Aus diesem Grunde sollten zumindest die halb- oder vierteljährlich gezogene Datensicherungen auf ihre Verwendbarkeit hin überprüft und als Katastrophensicherungen bis zur nächsten getesteten Vollsicherung unbedingt aufbewahrt werden.
Einige Hersteller von Standardanwendungssystemen bieten ihren Kunden einen so genannten Backup-Service an. Gerade kleinere Anwender, insbesondere aus dem Kommunal- und Gesundheitsbereich, sind häufig nicht dazu in der Lage, qualifizierte DV-Mitarbeiter zu beschäftigen. Da diese Anwender heute aber in einem immer größer werdenden Maße von der Verfügbarkeit ihrer DV-Anwendungen abhängig sind, sollten sie diesen Service nutzen, ihre tägliche gezogene Datensicherung bei Experten auf ihre Brauchbarkeit hin untersuchen zu lassen. Auf diese Weise kann frühzeitig - also bereits vor dem Eintritt eines K-Falls - auf Fehler und Unstimmigkeiten in der Datensicherung reagiert werden.
17.3.6. Verarbeiten von Daten des Gesundheitsamtes im Landratsamt
Eine Reihe von Staatlichen Gesundheitsämtern, die durch die Behördenverlagerung eine Abteilung des Landratsamtes geworden sind, hat im Berichtszeitraum die Frage an mich herangetragen, ob und unter welchen Voraussetzungen Daten des Staatlichen Gesundheitsamtes (Gesundheitsabteilung) auf den Rechnern des Landratsamtes verarbeitet werden können.
Beim Anschluss des Gesundheitsamts an die DV-Anlage des Landratsamts stellt sich zunächst rechtlich die Frage, ob der für das Gesundheitsamt tätige Amtsarzt durch die Mitwirkung des DV-Spezialisten des Landratsamts bei der Verarbeitung der vom Arzt erhobenen Daten Verschwiegenheitspflichten (§ 203 StGB, Art. 6 GDG) verletzt. Eine Straftat im Sinne von § 203 Abs. 1 Nr. 1 StGB liegt nur dann vor, wenn der Arzt die Daten "unbefugt" offenbart. Das ist hier aber nach der in der Literatur vertretenen Auffassung dann nicht der Fall (Rechtsprechung dazu gibt es allerdings bisher nicht), wenn der DV-Spezialist als "berufsmäßig tätiger Gehilfe" i. S. von § 203 Abs. 3 StGB angesehen werden kann.
Dazu ist es notwendig, dass der DV-Mitarbeiter insoweit alleine dem Gesundheitsamt unterstellt und hier den alleinigen Weisungen des Amtsarztes unterworfen ist. Für deren Hinzuziehung im Rahmen des Erforderlichen kann das konkludente Einverständnis des Betroffenen angenommen werden, da jeder Arzt oder sonstige Geheimnisträger i. S. von § 203 Abs. 1 StGB bei seiner Tätigkeit darauf angewiesen ist, von "berufsmäßig tätigen Gehilfen" unterstützt zu werden und diese "Gehilfen" daher gemäß § 203 Abs. 3 StGB den Geheimnisträgern gleichgestellt und ebenfalls zur Verschwiegenheit verpflichtet sind. Zu den berufsmäßig tätigen Gehilfen i. S. von § 203 Abs. 3 StGB zählt auch internes technisches Fachpersonal, da es den Geheimnisträger bei seinen Aufgaben unterstützt. Durch seine Einbeziehung in § 203 Abs. 3 StGB in den Kreis der Schweigepflichtigen wird das Patientengeheimnis hinreichend geschützt. Der DV-Spezialist des Landratsamts sollte auf seine besondere Verschwiegenheitspflicht nach § 203 Abs. 1 und 3 StGB schriftlich hingewiesen werden. Ich muss allerdings darauf hinweisen, dass die Frage, ob eine Schweigepflichtverletzung vorliegt, verbindlich nur im Einzelfall von den Staatsanwaltschaften und zuständigen Gerichten beantwortet werden kann. Meine oben getroffene Auskunft ergibt sich aus der Sicht des Datenschutzes.
Bei einem gemeinsam mit dem Landratsamt betriebenen Rechner ist weiter eine strikte Abschottung der beiden Bereiche unabdingbar. Mitarbeiter des Landratsamtes dürfen keinen Zugriff auf Daten und Verfahren des Gesundheitsamts haben und umgekehrt. Der interne Datenschutzbeauftragte sollte das Zugriffsschutzkonzept vor seinem Einsatz geprüft haben. Die Berechtigungsprofile der einzelnen Mitarbeiter sind außerdem revisionsfähig zu archivieren, damit bei Prüfungen durch die Aufsichtsbehörde auf sie zugegriffen werden kann.
In der Praxis bedeutet das, dass die Schweigepflicht des DV-Personals auch gegenüber dem Landrat gelten muss (§ 203 Abs. 1 Nr. 1 StGB im Sinne Art 6 Abs. 1 Satz 5 GDG). Somit darf das DV-Personal, soweit es Aufgaben des Gesundheitsamts erfüllt und Kenntnis von Daten des Gesundheitsamtes erlangen kann, nur den alleinigen Weisungen des Amtsarztes - nicht aber des Landrats - unterliegen. Wenn das aber im Dienstbetrieb nicht zu gewährleisten ist, gibt es zwei Alternativen:
- Physikalische Trennung der Datenbestände auf verschiedenen Rechnern
In diesem Falle muss ein eigener File-Server für die Daten des Gesundheitsamtes zur Verfügung gestellt werden, auf den lediglich Bedienstete des Gesundheitsamtes Zugriff haben dürfen. Die Administrierung dieses Rechners darf nur durch Personal des Gesundheitsamtes erfolgen.
- Verschlüsselte Speicherung der Daten des Gesundheitsamtes auf dem Server des Landratsamtes
Wird aus welchen Gründen auch immer auf die Bereitstellung eines eigenen Servers für das Gesundheitsamt verzichtet, müssen die Daten des Gesundheitsamtes, wenn sie auf dem Server des Landratsamtes gespeichert werden, verschlüsselt werden. Die Entschlüsselung der Daten darf nur Bediensteten des Gesundheitsamtes möglich sein. Zusätzlich sind alle maschinell erzeugten Protokolle (auf System- und Anwenderebene) insbesondere hinsichtlich des Anlegens der Benutzerberechtigungen für den Zugriff auf die Verfahren des Gesundheitsamtes und der (versuchten) Zugriffe auf diese Daten im Vier-Augen-Prinzip auszuwerten, wobei zumindest eine dieser mit der Auswertung beauftragten Personen nicht dem DV-Personal des Landratsamtes angehören darf. Hierzu böte sich als Kontrollinstanz der behördliche Datenschutzbeauftragte an.
Wie die Ergebnisse bei den Landratsämtern zeigen, scheint der in der Praxis gangbarere Weg, der zu sein, dass für das Gesundheitsamt ein eigener File-Server zur Verfügung gestellt wird, der auch ausschließlich von Bediensteten des Gesundheitsamtes administriert wird.
17.3.7. Druck von Lohnsteuerkarten durch Privatfirmen
Der Anbieter von Softwarepaketen und EDV-Beratung für die Kommunalverwaltung "komuna" bietet seinen Kunden die Erstellung der Lohnsteuerkarten bei einem Partnerunternehmen (HSH) in Berlin an. Zu diesem Zwecke werden online die zur Erstellung der Lohnsteuerkarten notwendigen Steuerdaten zur HSG Software GmbH in Berlin übertragen. Der Transport der daraufhin erstellten Steuerkarten zu den Gemeinden erfolgt derzeit per UPS.
Während das Bayer. Staatsministerium der Finanzen in früheren ähnlich gelagerten Fällen Bedenken gegen diese Art des Drucks erhob, erachtet es nunmehr die Beauftragung privater Unternehmen für zulässig, wenn die Gemeinden die Wahrung des Steuergeheimnisses sicherstellen, d.h. wenn das eingesetzte Personal des beauftragten Unternehmens nach dem Verpflichtungsgesetz verpflichtet wird und vertraglich geregelt ist, dass ausschließlich diese nach dem Verpflichtungsgesetz verpflichteten Personen tätig werden. Dieser Meinung des Finanzministeriums schließe ich mich an.
Allerdings ist ein Tätigwerden von Subunternehmen bzw. nicht beauftragter Unternehmen, deren Personal nicht nach dem Verpflichtungsgesetz verpflichtet wird, durch Aufnahme entsprechender Bedingungen bei der Beauftragung des privaten Unternehmens auszuschließen.
Außerdem wird die Übermittlung von Daten auf elektronischen Daten nur dann für zulässig erklärt, wenn sichergestellt ist, dass ein unberechtigter Datenzugriff nicht erfolgen kann; elektronisch übermittelte Steuerdaten sind nach dem Stand der Technik zu verschlüsseln. Insoweit ist das beauftragte Unternehmen ausdrücklich auf § 30 Abgabenordnung hinzuweisen.
17.3.8. Schutz von Serverräumen
Da die heutigen Server die Rolle der früheren Großrechner weitgehend übernommen haben, insbesondere was die Speicherung und Verarbeitung personenbezogener Daten betrifft, müssen auch ihre Standorte mit Maßnahmen der Zugangskontrolle (Art. 7 Abs. 2 Nr. 1 BayDSG) gegen unbefugten Zutritt und gegen Einwirkungsmöglichkeiten von außen geschützt werden. Dabei sollten sich die vorgesehenen Schutzmaßnahmen an der Sensibilität der auf den Servern gespeicherten Informationen und an den akzeptablen Ausfallzeiten orientieren.
Als Schutzmaßnahmen kommen insbesondere in Betracht:
Festlegung der Zugangsberechtigten
Der Kreis der Zugangsberechtigten zu den Serverräumen ist auf das unbedingt notwendige Personal zu beschränken.
Außen- und Innenhautsicherung
Die Maßnahmen zur Außenhautsicherung sollen sowohl Sicherheitsmaßnahmen gegen Eindringversuche als auch gegen Einwirkversuche beinhalten. Mit Hilfe der Innenhautsicherung soll die Anwesenheit unbefugter Personen in den Serverräumen erkannt werden. So kommen insbesondere folgende Maßnahmen in Frage:
- Tür- und Fensterschutz (einbruch- und durchbruchhemmend, Einsatz einer Einbruchmeldeanlage, Schließkontaktmelder, Glasbruchmelder, Spezialverglasung, Anbringung einer Sicherheitsfolie, automatische Rolladensicherung etc.)
- Installation von Bewegungsmeldern
Zutrittskontrolle
Zur Verhinderung eines unbefugten physischen Zutritts zu den Serverräumen können maschinelle Zutrittskontrollsysteme eingesetzt werden.
Closed-shop-Betrieb
Personen, die nicht für die Wartung und den Betrieb der Server zuständig sind, dürfen keinen Zutritt zu den Serverräumen erhalten.
Revisionsfähige Schlüssel- und Chipkartenregelung
Die Schlüssel- und/oder Chipkartenvergabe für die Serverräume muß revisionsfähig erfolgen.
Maßnahmen zur Bekämpfung von physischen Schäden
Insbesondere sind Maßnahmen zum Schutz vor Feuer und Wassereinbrüchen zu ergreifen. Dazu gehört - soweit möglich - auch die Trennung von Servern und Netzverteilern und die Unterbringung in unterschiedlichen Brandabschnitten. Außerdem kommen beispielsweise folgende Maßnahmen in Betracht:
- Vermeidung von wasserführenden Leitungen
- Installation von Feuchtigkeitsmelder
- Einrichtung eines ausreichenden Branddetektionssystems
- Schaffung abgeschlossener Brandabschnitte
- Installation geeigneter Handfeuerlöschgeräte
- Vermeidung unnötiger Brandlasten
- Nutzung von Überspannungsschutzeinrichtungen
17.3.9. TK-LAN-Anbindungen
Im Zuge umfassender Modernisierungmaßnahmen der Sprachkommunikationseinrichtungen werden und wurden in den bayerischen Behörden Telekommunikationsanlagen (TKA) aufgerüstet, ausgetauscht und auch neu beschafft. In den betreffenden, zentral durchgeführten Ausschreibungen waren neben den reinen Telekommunikationsanlagen u.a. auch die Positionen Voice-/Fax- und CTI-Server enthalten.
Um die von o.g. Servern unterstützten Funktionen PC-Fax, E-Mail und CTI (Computer-Telefon-Integration) vom Sachbearbeiter-Arbeitsplatz aus durchführen und nutzen zu können, ist eine Einbindung der TKA oder der von der TKA gesteuerten Server in das lokale Netzwerk (LAN) notwendig. Sollte die TKA als solche an ein nutzereigenes LAN angebunden sein, könnte über die Fernwartungsfunktion z.B. auf Daten oder Geräte innerhalb des lokalen Netzes bzw. das Behördennetz zugegriffen werden.
Vor Einbindung einer TKA in ein LAN ist also unbedingt zu prüfen, inwieweit zusätzlich Sicherheitsvorkehrungen gegen einen unberechtigten LAN-Zugriff vorzusehen sind. Hierzu kommen z.B. folgende in Betracht:
- Vor Aufnahme der Fernwartungsarbeiten an der TKA werden die TKA-gesteuerten Server von der TKA physikalisch getrennt, da diese Server i.d.R. für Wartungsarbeiten an der TKA auch nicht benötigt werden.
- Sollen an den TKA-gesteuerten Servern Fernwartungsarbeiten durchgeführt werden, so sind diese vor Aufnahme der Fernwartungsarbeiten physikalisch vom LAN zu trennen, wobei ihre Anbindung an die TKA aber bestehen bleibt. Da in diesem Fall ein Zugriff auf die auf diesen Servern gespeicherten Daten möglich ist, sollte diese Alternative nicht gewählt werden, zumal eine Fernwartung dieser Server im Grundsatz nicht erforderlich ist.
- Evtl. sollte auch die Möglichkeit geprüft werden, den Fernwartungszugriff über einen zentralen Einwahlknoten im Behördennetz zu steuern, der die TKA vom LAN trennt und den ISDN-Zugriff durch den TKA-Hersteller von außen freigibt.
Zur sicheren Durchführung von Fernwartungsarbeiten verweise ich auf meine Ausführungen in Abschnitt 20.1.4 meines 14. Tätigkeitsberichts von 1992 und der Orientierungshilfe "Sicherheitsstatus der ISDN-Nebenstellenanlage (mit Musterbeispiel)".
17.3.10. Projekt Verdiensterhebung über das Internet
Als ein positives Beispiel zur Anwendung kryptografischer Verfahren einer staatlichen Dienststelle sei hier das Projekt "Verdiensterhebung über das Internet" des Bayerischen Landesamtes für Statistik und Datenverarbeitung (LfStaD) genannt.
Im Vollzug des Bundesstatistikgesetzes (BStatG) werden im vierteljährlichen Turnus durch das LfStaD die Daten zu den Einkommen von Angestellten und Arbeitern bei bayernweit ca. 4000 Betrieben erhoben. Diese Erhebung wurde bisher ausschließlich über die Zu- und Rücksendung von Papier-Formularen durchgeführt - eine für beide Seiten aufwendige Vorgehensweise.
Ziel des Projektes ist, den auskunftspflichtigen Betrieben ab Juli 2000 wahlweise zum Papierversand die Möglichkeit der elektronischen Übermittlung der Erhebungsdaten über das Internet anzubieten. Bei dem Online-Verfahren können die auskunftspflichtigen Betriebe über eine Browseroberfläche entweder die Online-Fragebogen wählen und diese manuell ausfüllen oder aus ihrer eigenen EDV entsprechende Dateien erzeugen und diese in den Online-Fragebogen einfügen.
Zur Sicherung der Kommunikation und der Daten gelangen folgende Maßnahmen zur Anwendung:
- Bei Anmeldung am Online-Verfahren wird eine mit SSL abgesicherte Verbindung zwischen dem LfStaD und dem meldepflichtigen Betrieb aufgebaut, wobei der Rechner des LfStaD in automatischer Abstimmung mit dem Browser des Meldepflichtigen zunächst versucht, die derzeit maximal mögliche Schlüssellänge (128 Bit) zu verwenden. Wird dies vom Browser des Meldepflichtigen nicht unterstützt, wird eine kürzere Schlüssellänge von 40/56 Bit benutzt.
- Zur Authentifizierung des LfStaD-Servers dem Browser des meldepflichtigen Betriebes gegenüber wird ein Serverzertifikat benutzt, das sich das LfStaD von einer kommerziellen Zertifizierungseinrichtung hat ausstellen lassen.
- Die für das Verfahren notwendige Identifizierungs- und Authentizitätsprüfung des Betriebes geschieht durch Eingabe der Betriebsnummer und eines sechsstelligen Passwortes. Das für jeden Betrieb spezifische Passwort wird durch das LfStaD vorgegeben und an einen vorbestimmten Mitarbeiter des Betriebes persönlich auf postalischem Wege übermittelt.
- Die sog. Zulassungsdatei mit den Identitifizierungs- und Authentifizierungsdaten der Meldepflichtigen Betriebe ist auf dem Server des LfStaD mit PGP verschlüsselt abgespeichert und wird nur für die aktuelle Durchführung einer Identifizierungs- und Authentifizierungsprüfung temporär entschlüsselt.
- Bei Eingang am Server des LfStaD werden automatisch die gemachten statistischen Angaben aus den Erhebungsdaten extrahiert und an den zentralen Statistikrechner weitergeleitet.
- Der meldepflichtige Betrieb erhält sofort eine automatische Empfangsbestätigung mit Anzeige der übermittelten Daten, die er ausdrucken und zu seinen Unterlagen nehmen kann.
- Die gesamten Erhebungsdaten werden sodann auf dem Server automatisch mit PGP verschlüsselt, in eine E-Mail gepackt und an die für die Verdiensterhebung zuständige Stelle im LfStaD übertragen.
- Die Entschlüsselung der Erhebungsdaten erfolgt ausschließlich am Arbeitsplatz der für die Verdiensterhebung zuständigen Mitarbeiter und ist aufgrund der asymmetrischen Verschlüsselung nur diesen möglich.
Sowohl über entsprechende Hinweise auf dem Server des LfStaD als auch über die nach wie vor übersandten schriftlichen Unterlagen werden die auskunftspflichtigen Betriebe über die Möglichkeiten der freien Wahl des zu benutzenden Verfahrens, die im Übrigen für jeden Erhebungszeitraum gegeben sind, und die ergriffenen Sicherungsmaßnahmen informiert.
Besonders hervorhebenswert erscheint mir, dass das LfStaD mit diesem Vorhaben bereits im Planungsstadium auf mich mit der Bitte um Beratung zugekommen ist und dass das LfStaD oben genannte Absicherungsmaßnahmen von Anfang an von sich aus vorgeschlagen hat. Ich halte das Projekt aufgrund der pragmatischen Vorgehensweise und der Anwendung von derzeit verfügbaren und im Internet weit verbreiteten Verfahren für ein gelungenes Beispiel dafür, dass auch kryptografische Verfahren rasch, unkompliziert, benutzerfreundlich und für alle Beteiligten nutzbringend eingeführt werden können. Ohne die Verwendung kryptografischer Verfahren wäre dieses Projekt nicht möglich gewesen.
17.4. Orientierungshilfen
Im Berichtszeitraum hat meine Geschäftsstelle drei neue Orientierungshilfen erstellt, die auf meiner Home-Page unter der Rubrik "Technik" abgerufen werden können. Im Einzelnen handelt es sich um folgende:
- "Veröffentlichungen von Informationen im Internet und im Intranet"
Durch Unkenntnis über zulässige Informationsinhalte und durch fehlerhafte oder unzureichende technische und organisatorische Maßnahmen ist es möglich, dass bei Veröffentlichung von Informationen auf Web-Servern unberechtigt schutzwürdige Informationen im Internet und im Intranet allgemein zugänglich gemacht werden und so gegen Datenschutzbestimmungen verstoßen wird. Die Orientierungshilfe gibt Hinweise zu möglichen und kritischen Informationsinhalten, aber auch konkrete Tipps für vorbeugende Maßnahmen.
- "Online-Datenschutz-Prinzipien (ODSP)"
Online-Datenschutz-Prinzipien sind eine umfassende Erklärung zu Grundsätzen und Verfahrensweisen einer Organisation/Einrichtung/Behörde bzgl. der Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten, die im Zusammenhang mit der Bereitstellung und Nutzung eines Informationsangebotes im Internet auftreten. Die ODSP sollen immer dann veröffentlicht werden, wenn personenbezogene Daten online über die Web-Site gesammelt werden. Dies ist dann der Fall, wenn z.B. eine Online-Registrierung verlangt bzw. ermöglicht wird, wenn sonstige Formulare online ausgefüllt werden können oder wenn mittels E-Mail mit der Organisation/Einrichtung/Behörde kommuniziert werden kann. Personenbezogene Daten können aber auch ohne Kenntnis des Besuchers einer Web-Site gesammelt werden, wenn z.B. Cookies oder Protokollierungen verwendet werden. Sammeln Web-Sites nur aggregierte Daten über ihre Besucher, z.B. für Statistiken über Seitenabrufe, oder nur anonymisierte Daten in Form von auf Domain-Ebene reduzierten IP-Adressen, so ist damit keine Speicherung personenbezogener Daten gegeben. Die Veröffentlichung von Online-Datenschutz-Prinzipien ist somit nicht generell nötig. Die Veröffentlichung von ODSP wird jedoch immer empfohlen, weil damit evtl. vorhandene Bedenken und Befürchtungen der "Besucher" zerstreut werden können. Die Orientierungshilfe gibt eine Hilfestellung zu Rechtsgrundlagen, Inhalt und Veröffentlichung von ODSP.
- "Sicherheitsmaßnahmen im Landkreis-Behördennetz" (Kommunales-Behördennetz)
Immer mehr Landratsämter beabsichtigen, ein sicheres und leistungsfähiges Intranet für ihre Verwaltungen und für die Kommunen ihres Landkreises zu errichten. Ziele eines solchen Intranets sind beispielsweise der Austausch von E-Mails zwischen den angeschlossenen Stellen, die Nutzung der Internet-Dienste und -Techniken, die Schaffung eines gemeinsamen Informationspools, die zentrale Bereitstellung von Formularen (Formularserver), der zentraler Zugang zum Internet und die Bereitstellung von Online-Diensten für den Bürger. Einem solchen Landkreis-Behördennetz drohen (wie jedem anderen Netz auch) Gefahren, die sowohl von den eigenen Mitarbeitern, als auch von außenstehenden Dritten und von technischen Mängeln ausgehen können. Essenzielle Forderungen an ein solches Netz sind u.a., dass es in sich geschlossen sein muss, dass das Firewall-System von sachverständigen Personen betreut wird und dass alle Verbindungen in das Netz hinein und aus dem Netz heraus ausschließlich über das Firewall-System geführt werden. Die Orientierungshilfe zeigt einige der größten Gefahrenquellen auf und schlägt die Ergreifung entsprechender Sicherheitsmaßnahmen vor.
Die bisherige Orientierungshilfe "Aufgaben eines Benutzerservices" wurde überarbeitet und steht nun mit dem neuen Titel "Einrichten eines Benutzerservices" ebenfalls auf meiner Home-Page zum Abruf zur Verfügung.
Grundsätzliche Ausführungen und Überlegungen zu moderner Softwareentwicklung und Dokumentation habe ich im gleichnamigen Papier zusammengestellt und in meiner Home-Page veröffentlicht.
Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat seine Orientierungshilfe "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" mit Stand vom November 2000 überarbeitet.
Neu erstellt wurden vom Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder folgende Orientierungshilfen und Ausarbeitungen:
- "Verzeichnisdienste"
- "Transparente Software - eine Voraussetzung für datenschutzfreundliche Technologien"
- "Behörden im Internet"