≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.08.2007

Orientierungshilfe: Datensicherheit beim Betrieb eines Intranets

am Beispiel eines Landkreis-Behördennetzes

Inhaltsverzeichnis

1. Einleitung

2. Bedrohungen des Landkreis-Behördennetzes

3. Erforderliche Sicherheitsmaßnahmen beim Betrieb eines Landkreis-Behördennetzes

3.1 Erstellung einer Dienstanweisung
3.2 Protokollierung
3.3 Analyse des Kommunikationsbedarfs
3.4 Erstellung einer Security Policy und eines Sicherheitskonzeptes
3.5 Sicherheitsmaßnahmen innerhalb des Landkreis-Behördennetzes
3.6 Abschottung der Netzteilnehmer untereinander
3.7 Absicherung der Übergänge ins externe Netz
3.8 Einsatz von Firewall-Systemen
3.9 Nutzung von Intrusion Detection Systemen
3.10 Absicherung der eigenen Web-Server
3.11 Einsatz von virtuellen privaten Netzen (VPN)
3.12 Ausfiltern unerwünschter Seitenzugriffe (Content-Filtering)
3.13 Verschlüsselung und elektronische Signatur
3.14 Bekämpfung von Schadenssoftware (Malware)
3.15 Generierung der Web-Browser
3.16 Sicherheitsmaßnahmen bei der Kommunikation mit dem Bürger

4. Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

4.1 Allgemeine Hinweise
4.2 Behandlung von virenverdächtigen Mails bzw. Spam-Mails

4.2.1 Löschung bzw. Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der ausschließlich dienstlichen Nutzung
4.2.2 Löschung oder Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der privaten Nutzung
4.2.3. Blocken von Spam-Mails

5. Zusammenfassung

1. Einleitung

Immer mehr Landratsämter errichten für ihre Verwaltungen und für die Kommunen ihres Landkreises ein so genanntes Landkreis-Behördennetz. Viele dieser Kommunalen Behördennetze sind auch an das Bayerische Behördennetz angeschlossen.

Ziele dieser speziellen Art eines Intranets sind beispielsweise:

  • Austausch von E-Mails zwischen den angeschlossenen Stellen
  • Gemeinsame Nutzung der Internet-Dienste und -Techniken
  • Schaffung eines gemeinsamen Informationspools
  • Zentrale Bereitstellung von Formularen (Formularserver)
  • Zentraler Zugang zum Internet
  • Bereitstellung von Online-Diensten für den Bürger

2. Bedrohungen des Landkreis-Behördennetzes

Einem Landkreis-Behördennetz drohen (wie jedem anderen Netz auch) Gefahren, die sowohl von den eigenen Mitarbeitern, als auch von außenstehenden Dritten und von technischen Mängeln ausgehen können. Dabei stellen insbesondere alle Übergänge von und nach außen potenzielle Gefahrenquellen dar. Die Bedrohungen der Sicherheit des Landkreis-Behördennetzes können sowohl unbeabsichtigt (z. B. fehlerhafte Eingaben von Mitarbeitern bzw. Fehlbedienung, Fehler in der Infrastruktur und Technik, Softwarefehler, höhere Gewalt) als auch beabsichtigt (z. B. unautorisierter Zugang zum Netzwerk bzw. Missbrauch von Zugriffsrechten, unbefugte Informationsbeschaffung, unbefugte Datenveränderung, Vortäuschen einer falschen Identität, Erschleichen von Übertragungsdienstleistungen, unbefugte Beeinträchtigung der Funktionalität und Sabotagehandlungen) sein.

Die aufgeführten Gefahren bedrohen die

  • Vertraulichkeit,
  • (Vertraulichkeit bedeutet, dass nur befugte Personen (personenbezogene) Daten zur Kenntnis nehmen können.)

  • Integrität,
  • (Durch die Gewährleistung der Integrität wird die Echtheit, Korrektheit und Vollständigkeit der Daten, Systeme und Netze sichergestellt.)

  • Verfügbarkeit,
  • (Verfügbarkeit bedeutet, dass der Zugriff auf Informationen sowie IT-Systemen und Komponenten für Berechtigte innerhalb definierter Zeitspannen möglich ist.)

  • Authentizität und
  • (Authentizität stellt sicher, dass die Daten ihrem Ursprung (z. B. Erzeuger) zugeordnet werden können. Der Begriff Authentizität wird auch verwendet, wenn die Identität von IT-Komponenten oder Anwendungen geprüft wird.)

  • Beweisbarkeit
  • (Anwendungs- oder sicherheitsrelevante Aktionen und Ereignisse müssen auch nachträglich beweisbar sein)

der Daten.

Einige der größten Gefahren im Landkreis-Behördennetz (mit Anschluss ans Internet) sind:

  • Fehlerhafte Installationen, Konfigurationen und Programmfehler
  • Herausfinden von Passworten
  • Sicherheitslücken in Browsern, Plug-Ins etc.
  • Abhören der Kommunikation (in- und außerhalb des Netzes)
  • Veränderung, Fälschung, Unterdrückung, Verzögerung oder Nichtanerkennung von Nachrichten
  • Schwächen in den zur Datenübertragung verwendeten Protokollen, Medien und Diensten
  • Erstellung von Kommunikations- und Persönlichkeitsprofilen durch Datenspuren
  • Einschleusung von Schadensprogrammen
  • Unkontrollierter Datenverkehr
  • Nutzung des Intranets/Internets zu missbräuchlichen Zwecken
  • Straftaten durch (ehemalige) Mitarbeiter

3. Erforderliche Sicherheitsmaßnahmen beim Betrieb eines Landkreis-Behördennetzes

Zur Gewährleistung der Datensicherheit innerhalb des Landkreis-Behördennetzes sollte vom Betreiber dieses Netzes (in der Regel das Landratsamt) ein entsprechendes Sicherheitskonzept erarbeitet werden, in dem beispielsweise auch die private E-Mail- und Internet-Nutzung geregelt ist. Das Sicherheitskonzept sollte insbesondere auf folgenden Maßnahmen beruhen:

3.1 Erstellung einer Dienstanweisung

Bezüglich der Nutzung des Landkreis-Behördennetzes/Internets und der zur Verfügung gestellten Dienste sollte eine Dienstanweisung erstellt werden, die allen Benutzern schriftlich zur Kenntnis gebracht werden muss. Sinn dieser Richtlinie ist die Sensibilisierung der Benutzer für die Gefahren bei der Nutzung des Internets bzw. Intranets und die Vermittlung von Verhaltensregeln. Begleitend zu der Betriebsanweisung muss eine Schulung zu Sicherheitsmaßnahmen erfolgen. Außerdem müssen die Benutzer darüber aufgeklärt werden, dass ihre Verbindungen ins Internet (bei Verbot der Privatnutzung) protokolliert werden. Dabei sollte der Grund der Protokollierung (Festhaltung der Verstöße gegen die vorgegebenen Datensicherheits- und Datenschutzregeln) erläutert werden. Die Aufklärung hat auch einen gewissen Warneffekt, der Anwender von einem potenziellen Missbrauch abhalten kann.

3.2 Protokollierung

Bei einer regelmäßig (täglich) stattfindenden Auswertung der Protokolle muss es - wie erwähnt - vor allem darum gehen, Verstöße gegen die vorgegebenen Datensicherheits- und Datenschutzregeln festzuhalten, um deren Ursachen nachgehen zu können. Gemäß Art. 17 Abs. 4 BayDSG ist eine Verarbeitung und Nutzung von gespeicherten Protokolldaten nur zulässig, wenn sie ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitung dienen. Durch eine Dienstvereinbarung mit dem Personalrat muss daher sichergestellt sein, dass das Instrument der Protokollierung nicht zweckentfremdet verwendet wird, etwa für die Durchführung einer Verhaltens- oder Leistungskontrolle der Mitarbeiter. In dieser Vereinbarung sollten die zulässigen Auswertungen der Protokolldateien (wer darf diese wie, mit welchen Hilfsmitteln, in welchen Abständen und zu welchen Zwecken auswerten) sowie die Art ihrer Nutzung festgelegt werden (siehe auch Nr. 4 - Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz).

Sonstige Hinweise zur Protokollierung enthalten die Orientierungshilfen "Datenschutzrechtliche Protokollierung beim Betrieb informationstechnischer Systeme (IT-Systeme)" sowie "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" (beide auf unserer Homepage).

3.3 Analyse des Kommunikationsbedarfs

Bereits während der Planung des Landkreis-Behördennetzes sollte eine Analyse des Kommunikationsbedarfs innerhalb und außerhalb des Netzwerkes durchgeführt werden. Dabei sollte ein strenger Maßstab angelegt werden. Selbst wenn die Erforderlichkeit bejaht wird, ist zu prüfen, ob dabei die erforderliche Sicherheit gewährleistet werden kann. Insbesondere ist Folgendes zu analysieren und zu regeln:

  • Es muss festgelegt werden, welche Dienste des Intranets und des Internets genutzt werden sollen. Dieses dient auch der Auswahl des zu realisierenden Zugangs.
  • Die Zahl der Übergänge sowohl vom lokalen Netz der angeschlossenen Gemeinden ins Landkreis-Behördennetz als auch zum externen Netz (Internet) muss minimiert werden. Wenn möglich, sollte beispielsweise der Übergang vom Landkreis-Behördennetz zum Internet nur an einem einzigen (damit leichter zu kontrollierenden) Punkt erfolgen und nicht mit einer Vielzahl von Verbindungen. Bei diesem Übergang ist genau zu überprüfen, welche Personen in das Landkreis-Behördennetz gelassen werden und welche Art des Zugriffs ihnen auf welche Daten und welche Ressourcen gestattet ist.
  • Jeder Netzteilnehmer sollte nur auf die Intranet- und Internet-Ressourcen zugreifen können, die er für die Erledigung seiner Aufgaben benötigt.

3.4 Erstellung einer Security Policy und eines Sicherheitskonzeptes

Aufgrund der Kommunikationsanforderungen und einer ebenfalls durchgeführten Risikoanalyse muss ein ausführliches Regelwerk, eine so genannte Security Policy, erstellt werden, in dem die Bedingungen zur Einrichtung, zum Betrieb und zur Verwaltung der Systeme für die Verbindungen zum Internet/Intranet festgelegt werden. Diese Security Policy enthält Festlegungen in Bezug auf Firewalls sowie flankierende Vorgaben z. B. hinsichtlich Virenschutz und Notfallkonzept.

Diese Security Policy sollte schließlich in der Erstellung eines Sicherheitskonzeptes für die Nutzung des Internets/Intranets münden. Dieses Sicherheitskonzept enthält dann die konkreten Umsetzungsmaßnahmen.

3.5 Sicherheitsmaßnahmen innerhalb des Landkreis-Behördennetzes

Neben den aus dem lokalen Netz bekannten Sicherheitsmaßnahmen (z. B. rigorose Einschränkung der Zugriffs- und Nutzungsrechte auf das unbedingt Notwendige, Auswertung von Sicherheitsverletzungen in den maschinell geführten Protokollen und effektiver Passwortschutz - siehe Sicherheitsgrundsätze zur Passwortvergabe, -wahl und -verwaltung auf der Homepage des Bayer. Landesbeauftragten für den Datenschutz) müssen zur Absicherung des Intranets zusätzliche Maßnahmen ergriffen werden. So müssen beispielsweise alle Server und Firewalls durch Maßnahmen der Zugangskontrolle physisch geschützt werden. Die Datenzugriffe auf Server und insbesondere die Nutzung administrativer Berechtigungen müssen intensiv mit Hilfe der Protokollierung überwacht werden (beachte aber Einschränkungen bezüglich der Protokollierung bei der gestatteten privaten Nutzung des Internets und des E-Mail-Dienstes im Kapitel 4).

3.6 Abschottung der Netzteilnehmer untereinander

Es muss natürlich durch Ergreifung entsprechender Sicherheitsmaßnahmen (z. B. durch Nutzung von zusätzlichen Firewalls) auch eine Abschottung der Netzteilnehmer untereinander gewährleistet sein, sodass beispielsweise der Netzbetreiber oder die Gemeinde A nicht unerlaubterweise auf die im Netz der Gemeinde B gespeicherten Daten zugreifen kann.

Entsprechende Sicherheitsmaßnahmen müssen auch zur Gewährleistung der Vertraulichkeit beim Versand von internen E-Mails getroffen werden.

3.7 Absicherung der Übergänge ins externe Netz

Alle Übergänge zum externen Netz müssen rigoros abgesichert und überwacht werden, um ein unbefugtes Eindringen in das Intranet und damit ein Lesen, Ändern und Löschen von (personenbezogenen) Daten verhindern zu können.

Mittlerweile existieren einige Sicherheitsverfahren, mit denen sich die Identität eines Teilnehmers überprüfen lässt, bevor er Zugang zum System erhält:

  • Call Back

Bei einem Call Back-Verfahren wird der anrufende Teilnehmer vom System identifiziert und die Verbindung wird zunächst abgebrochen. Durch eine eingespeicherte Rückrufnummer wird der Anrufer angewählt und dadurch seine Identität überprüft.

  • Kerberos

Das Softwareverschlüsselungssystem Kerberos (benannt nach dem dreiköpfigen Höllenhund aus der griechischen Sage) hat durch die Einbindung in Microsofts Active Directory einen neuen Aufschwung bekommen und sich zum Standard für die sichere Benutzeranmeldung entwickelt. Kerberos ermöglicht eine sichere und einheitliche Authentisierung in einem heterogenen Netzwerk, indem es Passwörter verschlüsselt und mittels einer Verständigung (über so genannte "Tickets") zwischen den Computern den Anwender eindeutig authentifiziert. Die Kommunikationspartner stellen sich in verschlüsselter Form je eine Meldung zufälligen Inhalts zu (Zweiweg-Authentisierung), die nur sie entschlüsseln können.

  • Einmalpasswörter

Jeder Anwender erhält vom System eine Liste mit einmalig verwendbaren Passwörtern, die er mit jedem Zugang der Reihe nach abarbeitet. Sind die Passwörter aufgebraucht, verschickt das System automatisch eine neue Liste.

  • Challenge Response

Beim Challenge Response-Verfahren stellt ein Kommunikationsteilnehmer dem anderen eine Aufgabe (engl. challenge), die dieser lösen muss (engl. response), ohne dass er dieses Wissen veröffentlichen darf - da es sonst von Unbefugten zur Kenntnis genommen und für eigene Zwecke verwendet werden könnte. Bezüglich einer Authentifikation bedeutet dies, der Kommunikationsteilnehmer muss nicht das richtige Passwort übertragen, sondern er muss lediglich sicher beweisen, dass er das Passwort kennt. So muss er beispielsweise eine zufällig ausgewählte Frage (zumeist eine mathematische Verknüpfung von Zahlen -) beantworten, bevor er Zugang erlangt. Die Form der Verknüpfung ist nur dem betreffenden Teilnehmer bekannt.

3.8 Einsatz von Firewall-Systemen

Firewall-Systeme (aus dem Englischen: Brandschutzmauern) sind Lösungen und Konzepte, die ein eigenes sicheres Netzwerk vor der Außenwelt schützen sollen. Sie bestehen aus einer oder mehreren Hard- und/oder Softwarekomponenten oder nur aus Software, die einen kontrollierten zentralen Übergang zwischen zwei Netzen darstellen.

Der Hauptzweck einer Firewall besteht also darin, den Benutzern eines externen Netzes die Dienste des internen Netzwerks zu verweigern und zu verhindern, dass interne Daten nach außen gelangen, dabei aber gleichzeitig den internen, berechtigten Benutzern alle notwendigen Dienste des externen Netzwerks (z. B. des Internets) zur Verfügung zu stellen. Ein weiteres Ziel ist es, potentielle Angreifer schnellstmöglich zu erkennen und abzuwehren. Firewalls können helfen, Cracker und Hacker von Netzwerken fernzuhalten. Nahezu jedes Sicherheitssystem kann aber überwunden werden, wenn man entsprechende intensive Bemühungen einsetzt.

Für komplexe Netzwerke und insbesondere für Netze mit heterogenen Schutzbedürfnissen von Teilnetz zu Teilnetz (z. B. innerhalb eines Landkreis-Behördennetzes) oder gar von Rechner zu Rechner kann auch eine Kaskadierung von Firewall-Systemen erforderlich sein, d.h. einzelne oder alle Teilnetze schützen sich ihrerseits nochmals selbst durch ein geeignetes Firewall-System gegenüber den anderen Teilnetzen (siehe vorhergehender Punkt). Dadurch ist eine feinere Abstimmung auf die spezifischen Schutzbedürfnisse in jedem einzelnen Teilnetz möglich, der finanzielle, administrative und organisatorische Aufwand steigt allerdings entsprechend an.

Außerdem sollten zumindest bei größeren Landkreis-Behördennetzen zusätzliche Filterelemente (beispielsweise Router) vor- und nachgeschaltet werden.

Wie jede Brandschutzmauer in einem Gebäude kann aber auch ein Firewall-System keinen hundertprozentigen Schutz gegen alle Risiken bieten. Die Schutzwirkung von Firewall-Systemen kann sich nur unter wohl definierten Umständen und Konfigurationen und nur gegenüber bestimmten, d.h. bekannten, Risiken und Angriffsversuchen entfalten. Die Stärke eines Firewall-Systems hängt wesentlich von der eingesetzten Technik und ihrer korrekten Konfiguration und Administration ab.

Außerdem kann eine Firewall nur diejenigen Kommunikationsverbindungen schützen, von denen sie durchlaufen wird. Existieren zusätzliche Übergangsmöglichkeiten zu unsicheren Netzen, wird die Firewall unterlaufen. Daher müssen zusätzliche Sicherheitsmaßnahmen, wie z. B. Authentisierung, der Firewall nachgeschaltet werden und es vervollständigen. Zur Gewährleistung der Datenintegrität ist außerdem eine generelle Virenprüfung sämtlicher übertragenen Dokumente (gilt auch für E-Mail) mit möglichst zwei unterschiedlichen, aktuellen Virensuchprogrammen unbedingt erforderlich.

Nähere Informationen über den Einsatz von Firewalls - insbesondere auch hinsichtlich der Auswertung der Firewall-Protokolle - enthält die Orientierungshilfe "Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" auf der Homepage des Bayerischen Landesbeauftragten für den Datenschutz.

3.9 Nutzung von Intrusion Detection Systemen

Als Ergänzungssoftware zu Firewalls wurden die so genannten Intrusion Detection Systeme (IDS) entwickelt. Diese Analysesysteme sind primär auf das Entdecken von Eindringlingen ausgelegt und erlauben dabei - sobald Unregelmäßigkeiten festgestellt werden - ein automatisches Auslösen von Alarmen und/oder von Gegenmaßnahmen, z.B.:

  • Trennen der Verbindung oder Beenden der Dienste
  • evtl. Beendigung des gesamten Netzwerkbetriebs
  • Analysieren des Angriffs und der Schwachstellen
  • Sichern von Beweisen
  • Bewertung des Angriffs
  • Benachrichtigung der Systemverantwortlichkeiten per E-Mail oder SMS
  • Wiederherstellen des Systems und Wiederaufnahme des Betriebs
  • Beseitigung der Schwachstellen.

Im Gegensatz zu Firewalls überwachen Intrusion Detection Systeme den gesamten Datenverkehr auch innerhalb eines LAN oder Intranets. Damit können auch Angriffe aus dem eigenen Netz erkannt und abgefangen werden.

Intrusion Detection Systeme können durch das Sammeln von Informationen auch Angriffe erkennen, die sich über einen längeren Zeitraum erstrecken bzw. versuchen, sich zu tarnen.

Sind die eingesetzten IDS in der Lage, selbstständig und automatisch Gegenmaßnahmen zu ergreifen (z. B. die Beendigung der Internetverbindung) so spricht man von Intrusion Prevention Systemen (IPS).

3.10 Absicherung der eigenen Web-Server

Zum Schutz der Inhalte und Anwendungen auf dem eigenen Web-Server vor unbefugtem Zugriff oder Veränderung, ist es zunächst wichtig, die Rechte der eigenen Benutzer klar festzulegen, die Inhalte auf dem Server einstellen bzw. pflegen dürfen.

Als nächstes muss der Web-Server gegen Angriffe von außen (also z. B. über das Internet, aber auch aus dem Intranet heraus) abgesichert werden. Neben Angriffen auf die Webserver-Anwendung sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme möglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventuell vorhandenen FTP-Zugang oder auf freigegebene Verzeichnisse.

Ebenfalls in den Schutz mit eingebunden werden müssen, die zur Realisierung eines Webangebots genutzten weiteren IT-Systeme, z. B. die Datenbankserver, da immer mehr Webangebote nicht mehr ausschließlich aus statischen HTML-Seiten bestehen, sondern beispielsweise über entsprechende Anwendungen Zugriff auf Datenbanken bieten.

Für den Schutz von Web-Servern sind insbesondere folgende Maßnahmen erforderlich:

  • Aufstellung des Web-Servers in einem sicheren Serverraum
  • Festlegung des Einsatzzweckes und der Sicherheitsziele
  • Dokumentation der Systemkonfiguration
  • sorgfältige Durchführung von Konfigurationsänderungen
  • Vermeidung der Nutzung aktiver Inhalte im eigenen Webangebot
  • regelmäßiges Einspielen sicherheitsrelevanter Patches und Updates
  • Festlegung von Verantwortlichkeiten und Vorgehensweisen bei Sicherheitsvorfällen
  • revisionsfähige und restriktive Vergabe von Zugriffsrechte
  • Schutz gegen nachträgliche Veränderungen von Informationen
  • Integrierung des Web-Servers in den Firewall-Schutz
  • Nutzung sicherer Kommunikationsverbindungen
  • Einsatz von Verschlüsselung, Checksummen oder elektronischen Signaturen
  • Schutz vor DNS-Spoofing
  • Kontrolle der Protokolldateien
  • regelmäßige Überprüfung der ergriffenen Sicherheitsmaßnahmen
  • Erstellung eines Notfallkonzeptes

3.11 Einsatz von virtuellen privaten Netzen (VPN)

Ein VPN ist ein privates Netzwerk, welches von der öffentlichen Telekommunikationsstruktur Gebrauch macht, gleichzeitig die Privatsphäre durch den Einsatz von so genannten Tunnelling- und Sicherheitsprotokollen sowie starker Verschlüsselungstechniken schützt und in der Regel über das Internet realisiert wird. Dabei wird sich häufig den Funktionen von Firewalls bedient. So sollen beispielsweise die Vertraulichkeit und Integrität der Datenübertragung sowie die Benutzerauthentisierung gewährleistet sein.

Virtuell bedeutet dabei, dass der Anwender glaubt, seine Daten laufen über exklusive (private) Verbindungen. In Wirklichkeit wird die vorhandene Netzstruktur jedoch - aus Kostengründen - von verschiedenen Anwendern gemeinsam genutzt.

3.12 Ausfiltern unerwünschter Seitenzugriffe (Content-Filtering)

Das Ausfiltern unerwünschter Seitenzugriffe kann durch den Einsatz von Verfahren unterstützt werden, die es erlauben, die Zugriffe aus dem Landkreis-Behördennetz auf das Internet inhaltsabhängig (z. B. nach Sex, Gewalt oder kriminellen Inhalten) zu filtern und gegebenenfalls zu blockieren. Bei der Filterung werden aufgerufene Internetadressen mit den Listen der aktivierten Kategorien verglichen. Bei Übereinstimmung wird der Zugriff auf das angeforderte Internetangebot abgewiesen und der Anwender mit einem entsprechenden Hinweis darüber informiert. Die Pflege dieser Adresslisten bedingt allerdings einen hohen Verwaltungsaufwand.

3.13 Verschlüsselung und elektronische Signatur

Beim Versand von Nachrichten und sonstigen Informationen über das Internet ist zu berücksichtigen, dass das Internet ein offenes Netz ist und von sich aus derzeit keinerlei Schutzmechanismen zur Wahrung der Vertraulichkeit, Integrität und Authentizität bietet. Deshalb sind alle über das Internet zu versendenden schutzwürdigen Daten (z. B. bei Versand per E-Mail oder mit FTP) zu verschlüsseln und soweit möglich elektronisch zu signieren. Dies setzt voraus, dass der Empfänger auch über entsprechende Vorrichtungen verfügt, die es ihm gestatten, die Zeichenfolge wieder zu entschlüsseln und die Signatur zu verifizieren.

Wichtig ist dabei, dass bei E-Mails nicht nur die Nachrichten selbst verschlüsselt werden, sondern auch deren Anlagen, soweit schutzwürdige Inhalte gegeben sind.

Als hinreichend sichere Algorithmen gelten derzeit beispielsweise Triple-DES mit 112 oder IDEA mit 128 Bit Schlüssellänge. Für asymmetrische Verfahren wie RSA wird empfohlen, eine Schlüssellänge von wenigstens 2048 Bit zu verwenden. Softwareprodukte dazu stehen im Internet sowie auf dem Markt zur Verfügung.

Eine Verschlüsselung der internen E-Mails (also auch innerhalb des Landkreis-Behördennetzes) ist immer dann durchzuführen, wenn personenbezogene Daten übertragen werden, die anderen Mitarbeitern (also auch den Systemverwaltern) nicht zur Kenntnis gelangen dürfen und der unerlaubte Zugriff auf die E-Mails nicht ausgeschlossen werden kann.

Die elektronische Unterschrift gewährleistet zwar nicht die Vertraulichkeit einer Datenübertragung aber deren Integrität und Authentizität. Mit ihrer Hilfe kann also

  • gewährleistet werden, dass der Empfänger die vom Absender übermittelte Information unverändert erhält bzw. unzulässige Veränderungen zumindest erkennen kann;
  • zuverlässig erkannt werden, dass eine Information auch tatsächlich von dem angegebenen Absender stammt;
  • bei Bedarf eine Garantie erhalten wird, dass jemand eine bestimmte Nachricht tatsächlich verfasst, versandt bzw. erhalten hat (Unabstreitbarkeit).

3.14 Bekämpfung von Schadenssoftware (Malware)

Schadenssoftware (z. B. Viren, Trojanische Pferde, Würmer, Spyware, Phishing- und Spam-Mails, Pharming, Dialer) sind in erster Linie unerwünschte, potenziell gefährliche, Eindringlinge. Als Schutz gegen sie ist der Einsatz aktueller Bekämpfungsprogramme (z. B. Virenscanner, Anti-Spyware, Anti-Dialer) unbedingt erforderlich, die möglichst auf allen Ebenen (z. B. bei der Firewall, beim Web- und Mail-Server, bei den Endgeräten) eingesetzt werden sollten.

Damit ein Angriff mittels Schadenssoftware überhaupt stattfinden kann, benötigt der Täter in irgendeiner Art Zugang zu einem Rechner oder einem Netzwerk - z. B. über eine Netzwerk- oder Telefonverbindung, einen E-Mail-Versand oder einem Datenträger. So wird heutzutage beispielsweise ein Großteil der Schadenssoftware durch den E-Mail-Verkehr, beim Websurfen oder durch das Herunterladen von Dateien aus dem Internet eingeschleust.

Die Arten der Schadenssoftware nehmen zwar ständig zu und einen absoluten Schutz vor ihnen gibt es nicht. Mit dem nötigen Wissen lassen sich jedoch Schäden begrenzen und Infektionen weitgehendst vermeiden. Dazu können insbesondere folgende allgemeine Maßnahmen dienen:

  • Im Rahmen einer Dienstanweisung sind Regeln für den ordnungsgemäßen Einsatz der Rechner und Hinweise bezüglich eines möglichen Befalls von Schadenssoftware zu geben.
  • Alle Mitarbeiter sind regelmäßig hinsichtlich der Gefahr von Schadenssoftware, ihrer Symptome und sinnvoller Gegenmaßnahmen zu sensibilisieren und zu schulen (z. B. durch Seminare, Rundschreiben, Fachartikel etc.).
  • Es darf nur Software aus vertrauenswürdigen Quellen eingesetzt werden.
  • Der Einsatz privater Hard- und Software ist zu verbieten.
  • Das Herunterladen von Freeware- oder Shareware-Programmen aus dem Internet sollte grundsätzlich ebenso unterbleiben wie das Herunterladen von Spielen.
  • Von allen wichtigen Programmen sollten schreibgeschützte Arbeitskopien erstellt werden.
  • Vor jeglicher Installation neuer Programme sollte deren Datenträger bezüglich eines Befalls von Schadenssoftware überprüft worden sind. Generell sollten alle ein- und ausgehenden Datenträger einer entsprechenden Überprüfung unterzogen werden.
  • Um zu verhindern, dass ein Unberechtigter sich eines Rechners bedient, um dort eine Malware einzuschleusen, müssen alle PCs mit starken Zugangs- und Zugriffsschutzmechanismen (Chipkarte, Passwort, Boot-Schutz, Sperren der Betriebssystemebene, Menüführung, Sperren oder Ausbau von Laufwerken, Blockieren der Tastatur etc.) ausgestattet werden.
  • Das Einschleusen von Schadenssoftware über das Internet kann durch die Absicherung der Übergänge ins öffentliche Netz zumindest erschwert werden.
  • Immer mehr Schadenssoftware nutzt zu ihrer Verbreitung Sicherheitslücken in Browsern und Betriebssystemen aus. Deshalb sollten immer aktuelle Patches, Bugfixes und Programm-Updates der Softwarehersteller eingespielt werden. So bringt etwa die Firma Microsoft regelmäßig Updates heraus, die sicherheitskritische Fehler in ihren Produkten beheben sollen.
  • Viele Hersteller von Schadensbekämpfungssoftware haben in ihren Produkten eine Update-Funktion integriert, die automatisch in definierten Zeiträumen auf den Homepages dieser Anbieter nach dem Vorhandensein neuer Programmkomponenten zur Fehlerbereinigung sucht.
  • Soweit möglich sollte eine Versicherung gegen einen Befall von Schadenssoftware abgeschlossen werden.

Im Rahmen des E-Mail-Verkehrs sind insbesondere folgende Maßnahmen zu ergreifen:

  • Bei jeder neu eingegangenen E-Mail sollte der Empfänger zunächst den Betreff lesen. Vorsicht ist bei auffälligen Betreff-Angaben geboten.
  • Ein Anhang (Attachment) einer E-Mail kann ausführbare Programme, selbstextrahierende Dateien oder einen Makrocode (z. B. zur Ausführung in Word-Dokumenten) mit Schadensfunktion enthalten. Diese Anhänge können bei einem Öffnen des Attachments mit Doppelklick den Rechner mit einer Schadenssoftware verseuchen. Deshalb sollten generell nur angeforderte oder erwartete Dateianhänge an E-Mails geöffnet werden.
  • Besser ist es jedoch, Dateianhänge an E-Mails nicht sofort mit Doppelklick zu öffnen. Stattdessen sollte jeder Dateianhang mit der Funktion "Speichern unter" auf eine mittels Virenscanner überwachten Festplatte in einem speziell dafür angelegen Verzeichnis gespeichert werden. Erst dann darf der Dateianhang von der Festplatte aus mit der entsprechenden Anwendung gestartet werden.
  • Viele Schadensprogramme schützen sich mittels zweier Namenserweiterungen vor dem Enttarnen. Dies gelingt insbesondere dadurch, dass im E-Mail-Client nur der (standardmäßig) verkürzte Dateiname (z. B. "xxx.txt") angezeigt wird. Daher sollte darauf geachtet werden, dass die Dateinamenserweiterungen im Dateimanager vollständig angezeigt werden (einstellbar z. B. beim Windows Explorer unter "Extras/Ordneroptionen/Ansicht"). Diese Einstellung gilt dann gleichzeitig für die Anzeige von Dateianhängen in E-Mails in E-Mail-Clients (z. B. Outlook).
  • Des Weiteren sollten die Anwender hinsichtlich der Beachtung des Outlook-Warnfeldes beim Öffnen eines Attachments geschult werden. Dieses Dialogfeld ist in den aktuellen Versionen von Outlook integriert und weist darauf hin, "dass Webseiten, ausführbare Dateien und andere Anlagen Viren oder Skripts enthalten können, die den Computer beschädigen können. Es ist deshalb wichtig sicherzustellen, dass die Quelle der Datei vertrauenswürdig ist."
  • Gleichzeitig wird abgefragt, was mit der Datei passieren soll (Öffnen oder - wie empfohlen - auf Datenträger speichern. Die Deaktivierung dieser Option "Vor dem Öffnen dieses Dateityps immer bestätigen" sollte verboten werden.
  • Außerdem besteht die Möglichkeit, am zentralen Mail-Server in allen eingehenden E-Mails bei Dateianhängen, die z. B. die Programmendung ".vbs" oder ".exe" enthalten, den Punkt beispielsweise durch das Zeichen "~" zu ersetzen. Aus xxx.exe wird dann xxx~exe, bzw. xxx~vbs. Als Alternative dazu kann auch dem Datennamen eine weitere Endung hinzugefügt werden (z. B. test.exe.xxx). Beides bewirkt, dass die Anlage nicht mehr mit Doppelklick aus Outlook gestartet werden kann, sondern zuerst gespeichert und umbenannt werden muss. Die Liste der Dateianhänge kann natürlich nach Bedarf erweitert werden.
  • Aus Gründen der Datensicherheit können E-Mails oder Anlagen von E-Mails auch gelöscht bzw. unterdrückt (geblockt) werden, die gefährlichen oder verdächtigen ausführbaren Code enthalten (z.B. E-Mails mit HTML-Seiten als Mail-body oder Dateien mit den Erweiterungen *.exe, *.bat, *.com oder gepackte Dateien wie *.zip, *.arj, *.lha). Allerdings sollte darauf geachtet werden, dass eine Blockung von Mails auf Rechnern der die E-Mails empfangenden Behörde erfolgt, insbesondere dann, wenn die private E-Mail-Nutzung nicht verboten ist. Denn auch geblockte Mails können personenbezogene Daten beinhalten, womit bei einer Blockung dieser Mails und einem Abspeichern auf einem Rechner beim Netzbetreiber (Landratsamt) ein (unberechtigter) Zugriff auf diese Daten seitens Bediensteter des Landratsamtes möglich wäre (siehe auch Nr. 4 - Private Nutzung des Internets und des E-Mail-Dienstes).
  • Auch bereits das bloße Lesen einer E-Mail im HTML-Format kann das Ausführen eines Codes auslösen, der für eine blitzschnelle Verbreitung des Virus sorgt und/oder eine Schadensfunktion auslöst. Dies kann bereits dadurch geschehen, dass - wie bei den meisten E-Mail-Clients (z.B. Outlook oder Outlook-Express) standardmäßig üblich - ein so genanntes Vorschaufenster aktiviert ist. Dieses Vorschaufenster öffnet automatisch die erste markierte E-Mail. Befindet sich beispielsweise ein HTML-Virus in dieser markierten E-Mail, so wird er sofort ausgeführt. Deshalb sollte eine Deaktivierung dieser Vorschaufenster erfolgen.
  • Die wichtigste Maßnahme zur Spam-Bekämpfung besteht in der Filterung der eingehenden E-Mails.
  • Dabei besteht die Möglichkeit, spamverdächtige Mails beim ersten Zustellungsversuch abzuweisen (Greylisting).
  • In so genannten White- und Blacklists können sowohl bei den eigenen Mail-Servern als auch bei den Mail-Clients die "guten” und "schlechten” IP-Adressen erfasst werden, die sich zur Filterung nutzen lassen.
  • Zur Erkennung von Spam-Mails können auch inhaltsbasierte Verfahren eingesetzt werden. Dabei wird anhand von Filtern automatisch nach in den Nachrichten allgemein verwendeten Phrasen gesucht (z. B. "kostenlos" oder "all for free").
  • Da aufgrund einer Fehlausfilterung unter Umständen wichtige Mails oder Unterlagen nicht oder nicht rechtzeitig beim Empfänger ankommen, ist es besser, als Spam bewertete E-Mails vor der Zustellung lediglich entsprechend zu markieren und an den vorgesehenen Empfänger weiterzuleiten. Der Empfänger entscheidet damit selbst, was mit der Mail geschehen soll. Diese Vorgehensweise wird auch im Bayerischen Behördennetz praktiziert.
  • Eine weitere Möglichkeit besteht dahin, vermeintliche Spam-Mail in einen speziellen Ordner unter Quarantäne zu stellen. Ein Mitarbeiter bzw. der vorgesehene Mail-Empfänger sollte dann natürlich von Zeit zu Zeit diesen Ordner durchsehen und die dort abgelegten Mails entweder freigeben oder löschen.
  • Die Internet-Nutzer sollten - zur Bekämpfung von Phishing- und Spyware-Mails - dazu angewiesen werden, grundsätzlich keine Links in Mails anzuklicken, um dort Software herunter zuladen (die Spyware enthalten könnte) oder sensible Informationen einzugeben und derartige Mail zu ignorieren bzw. zu löschen. Die Adresseingabe sollte immer per Hand in die Adresszeile des genutzten Browsers oder unter Nutzung eines selbst erzeugten Eintrags in den Favoriten (Lesezeichen) des Browsers erfolgen.
  • Auch bei Mails, die Bilder enthalten, ist äußerste Vorsicht geboten, denn auch diese Bilder können Links enthalten, die bei einem Anklicken des Bildes aktiviert werden, zum Großteil ohne dass dies der Anwender überhaupt bemerkt.

Nahezu die gleichen Gefahren wie beim E-Mail-Verkehr bestehen beim Herunterladen von Dateien aus dem Internet. Auch sie können beispielsweise Viren, Trojanische Pferde oder Spyware enthalten. Deshalb sollten hierbei folgende Schutzmaßnahmen ergriffen werden:

  • Das Herunterladen von Programmen aus dem Internet sollte ausschließlich von vertrauenswürdigen Internetseiten erfolgen, wie z.B. die Originalseiten von Hard- und Softwareherstellern.
  • Außerdem sollte niemals direkt von einer Webseite aus gestartet werden (Funktion "Öffnen").
  • Stattdessen sollte über die Option "Speichern" das Programm auf die Festplatte abgelegt und von dort aus geöffnet oder ausgeführt werden. Dabei kann wiederum die heruntergeladene Datei vor dem Starten von einem Virenscanner überprüft werden.
  • Gepackte Dateien sollten zuerst nach dem Download entpackt, dann auf Computeranomalien geprüft und erst danach ausgeführt werden.

Auch wenn Pharming-Angriffe nur schwer erkennbar sind, können doch eine Reihe von Vorsichtsmaßnahmen zur Verhinderung oder Entdeckung eines derartigen Angriffes ergriffen werden. Einige der wichtigsten sind:

  • Mittels Einsatz einer Firewall kann das Eindringen eines Täters und damit eine Änderung der IP-Adressen zumindest erschwert werden.
  • Zur Vermeidung eines Pharming-Angriffes mit ActiveX-Elementen sollte die Sicherheitsstufe beim Browser auf hoch gestellt bzw. die Ausführung dieser Elemente verhindert werden.
  • Sollen sensible Daten (z. B. Passwörter, Kreditkartennummern) auf Web-Seiten eingegeben werden, sollte dies über eine sichere (SSL-)Verbindung erfolgen.
  • Im Rahmen der Übertragung sensibler Daten sollte außerdem eine Zertifikatsüberprüfung stattfinden. Nur dann kann davon ausgegangen werden, dass der Kommunikationspartner auch derjenige ist, für den er sich ausgibt.
  • Die in den genutzten DNS-Servern (DNS = (Domain Name System) bzw. lokalen hosts-Datei gespeicherten IP-Adressen sollten regelmäßig auf unbefugte oder geänderte Einträge hin überprüft werden. Ein zusätzlicher Schutz für die hosts-Datei besteht darin, sie mit dem Attribut "schreibgeschützt" zu versehen. Dies verhindert die Manipulation dieser Datei durch etwaige Schadprogramme. Bezüglich der Fälschung von IP-Adressen auf den DNS-Servern sollten die betreffenden Serverbetreiber regelmäßig die Richtigkeit der auf ihren Servern gespeicherten IP-Adressen untersuchen.

Die in diesem Kapitel aufgeführten Schutzmaßnahmen sind natürlich nicht abschließend zu sehen. So sind - aufgrund der immer wieder neu entstehenden Arten von Schadenssoftware - im Regelfall weitere Maßnahmen zu ergreifen, auf die an dieser Stelle nicht eingegangen werden kann.

3.15 Generierung der Web-Browser

Bei Web-Browsern sollten immer nur die Funktionen und Programme aktiviert werden, die zwingend benötigt werden. So sollten aus Gründen einer Virengefährdung und zur Vermeidung des Ausforschens von Nutzern der Rechner bei der Verwendung der gängigen Webbrowser Internet Explorer und Firefox zumindest bei den für das Internet berechtigten PC das Ausführen von ActiveX-Scripts und das Aktivieren von Java-Programmen ausgeschaltet (im Menü "Extras/Internetoptionen/Sicherheit" beim Microsoft Internet Explorer bzw. im Menü "Extras/Einstellungen/Inhalt" beim Firefox) werden. Dies ist hat natürlich zur Folge, dass alle Internetseiten, die mit solchen Programmen gestaltet sind, unter Umständen nicht mehr oder auch nicht richtig angezeigt werden können.

Ist ein Deaktivieren der aktiven Inhalte nicht möglich, sollte zumindest darauf geachtet werden, dass die eingesetzten Browser nur zertifizierte ActiveX-Controls akzeptieren. Einen weiteren Schutz bieten Java-Filter, die Listen mit Servern definieren, von denen Java-Applets akzeptiert werden. Bei den neueren Browser-Versionen ist zudem das Arbeiten mit signierten Applets möglich.

Da auch durch die Verwendung der plattformunabhängigen Scriptsprache Javascript Gefahren drohen, sollte diese Funktionalität ebenfalls in den Browsern ausgeschaltet oder nur mit zertifizierten Javascript-Codes gearbeitet werden.

Auch die AutoVervollständigen-Funktion der Browser, wodurch die Eingaben von Benutzerkennungen und Passworten gespeichert werden, sollte nicht genutzt werden.

Cookies stellen zwar bisher noch keine so große Gefahr für die Computersicherheit dar, können aber zur Gewinnung von Nutzerprofilen missbraucht werden. Deshalb sollten die Browser so konfiguriert werden, dass Cookies gar nicht oder wenigstens nicht automatisch akzeptiert werden und alle Cookies, die auf der Festplatte des Anwenders gespeichert werden, zumindest angezeigt werden. Der Inhalt des entsprechenden Ordners bzw. der Datei kann natürlich auch (manuell) gelöscht werden. Dies sollte regelmäßig geschehen.

Ob Daten im Internet verschlüsselt übertragen werden, kann zwar nur von dem Server festgelegt werden, dessen Webseiten abgerufen werden, die meisten Web-Browser besitzen jedoch die Möglichkeit, eine Warnung auszugeben, wenn Daten unverschlüsselt übertragen werden sollen. Diese Warnmöglichkeit sollte unbedingt eingeschaltet werden.

Die Browser selbst verfügen über Verschlüsselungsprogramme mit unterschiedlichen Verschlüsselungsstärken.

Bei den meisten Browsern kann vordefiniert werden, ob ein Benutzer die Sicherheitseinstellungen ändern darf oder nicht. Soweit möglich, sollte eine Änderungsmöglichkeit durch den Benutzer unterbunden werden.

Mit Hilfe eines Online-Checks können Personal Computer auf sichere Browser-Einstellungen und mögliche Sicherheitslücken hin überprüft werden.

3.16 Sicherheitsmaßnahmen bei der Kommunikation mit dem Bürger

Eines der Ziele eines Landkreis-Behördennetzes ist - wie erwähnt - die Online-Kommunikation mit dem Bürger mittels Homepages. Dabei ist zu beachten, dass durch Unkenntnis über zulässige Informationsinhalte und durch fehlerhafte oder unzureichende technische und organisatorische Maßnahmen es möglich ist, auf diese Art schutzwürdige Informationen im Internet und im Intranet unzulässigerweise allgemein zugänglich zu machen und so gegen Datenschutzbestimmungen zu verstoßen.

Als Kommunikationsarten kommen in erster Linie in Betracht:

  • Informationsabrufe (z. B. Hinweise zu den Aufgaben der Behörden, das Einstellen von Rechtsvorschriften, Angaben zur Erreichbarkeit der Behörden und zu den Öffnungszeiten)
  • Versand von E-Mails durch den Bürger an einen Teilnehmer des Intranets
  • Bereitstellung von Formularen, die
    • heruntergeladen und ausgefüllt per Post zurückgeschickt werden können
    • online ausgefüllt und zurückgeschickt werden können

Während bei der Bereitstellung von Informationen und für das Herunterladen von Formularen keine speziellen Sicherheitsmaßnahmen zu beachten sind, müssen beim Versand von E-Mails und von online ausgefüllten Formularen Maßnahmen zum Schutz der Vertraulichkeit und Integrität der Daten und zur Sicherstellung der Authentizität ergriffen werden.

So muss darauf hingewiesen werden, ob eine Verschlüsselung der Daten bei der Übertragung möglich ist und gegebenenfalls der öffentliche Schlüssel der Dienststellen bzw. des Sachbearbeiters veröffentlicht oder Verschlüsselungsprotokolle (z. B. SSL) angeboten und verwendet werden. Beim Online-Versand von ausgefüllten Formularen müssen zusätzlich Authentisierungsmechanismen (z. B. Einsatz der elektronischen Signatur) vorhanden sein.

Bei der Gestaltung der Homepage(s) sollte die Orientierungshilfen zur "Gestaltung des Internetauftritts" (auf der Homepage des Bayer. Landesbeauftragten für den Datenschutz im Bereich Technik zu finden) beachtet werden.

4. Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz

4.1 Allgemeine Hinweise

Erlauben die an das Landkreis-Behördennetz angeschlossenen Gemeinden nur die dienstliche Nutzung von Internet und E-Mail, sind sie ihnen gegenüber kein Telemedienanbieter im Sinne des Telemediengesetzes (TMG). Somit ist die Kontrolle der Internet- und E-Mail-Nutzung im Rahmen der Erforderlichkeit zulässig. Gegen eine Protokollierung der Zugriffe der Beschäftigten mit Tag, Uhrzeit, Beginn und Dauer der Internet-Nutzung sowie der Absender- und Zieladressen bestehen aus datenschutzrechtlicher Sicht keine Einwendungen. Der Dienstherr hat das Recht, stichprobenartig zu prüfen, ob das Surfen bzw. E-Mail-Versenden der Beschäftigten dienstlicher Natur ist. Eine automatisierte Vollkontrolle durch den Dienstherrn ist als schwer wiegender Eingriff in das Persönlichkeitsrecht des Beschäftigten dagegen nur bei konkretem Missbrauchsverdacht im Einzelfall zulässig. Bei ausschließlich erlaubter dienstlicher Nutzung darf der Dienstherr auch von ein- und ausgehenden E-Mails seiner Beschäftigten im selben Maße Kenntnis nehmen wie von deren dienstlichem Schriftverkehr. Datenschutzrechtlich zulässig ist also beispielsweise eine Verfügung des Vorgesetzten, ihm jede ein- oder ausgehende dienstliche E-Mail seiner Mitarbeiterinnen und Mitarbeiter zur Kenntnis zu geben. (Vgl. zum Ganzen Wilde/Ehmann/Niese/Knoblauch, Bayerisches Datenschutzgesetz, Kommentar, Teil C, Handbuch XIV.10.c aa und d aa.)

Bei Beschäftigten, denen in ihrer Tätigkeit persönliche Geheimnisse anvertraut werden und die deshalb in einem besonderen Vertrauensverhältnis zu den betroffenen Personen stehen (z.B. Psychologen, Ärzte, Sozialarbeiter und -pädagogen), muss nach der Rechtsprechung des Bundesarbeitsgerichts zu Verbindungsdaten über dienstliche Telefonate eine Kenntnisnahme des Dienstherrn vom Inhalt der Nachrichten und den Verbindungsdaten, die einen Rückschluss auf die betroffenen Personen zulassen, ausgeschlossen werden. Die Nutzungs- und Verbindungsdaten der Personalvertretung dürfen nur insoweit kontrolliert werden, als dies im Einzelfall aus Gründen der Kostenkontrolle erforderlich ist. Fallen aber - was überwiegend der Fall sein wird - nur unerhebliche Kosten bei der Nutzung von Internet und E-Mail an, ist eine Auswertung dieser Daten unzulässig.

Gestattet eine dem Landkreis-Behördennetz angeschlossene Gemeinde als Arbeitgeber ihren Bediensteten die private Nutzung des Internets und des E-Mail-Dienstes, ist sie ihnen gegenüber Telemedienanbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 TKG verpflichtet. Dabei spielt es keine Rolle, ob der Arbeitgeber diese Dienste direkt selbst anbietet, oder sich dazu eines Anderen (hier des Landratsamtes) bedient.

Der Arbeitgeber ist ferner gemäß § 109 TKG unter anderem dazu verpflichtet, technische Vorkehrungen oder sonstige Maßnahmen bei den zu diesem Zwecke betriebenen Telekommunikations- und Datenverarbeitungssystemen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten zu treffen.

Das Fernmeldegeheimnis umfasst nicht nur den Inhalt der Kommunikation, sondern auch deren nähere Umstände (Wer hat mit wem kommuniziert?). Dem Arbeitgeber ist es somit untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telemedien erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen (§ 88 Abs. 3 TKG). Im Falle der Zulassung der privaten Nutzung ist daher, wenn sich - wie in der Regel - die private von der dienstlichen Nutzung technisch nicht trennen lässt, die Protokollierung nur zulässig, soweit sie zu Zwecken der Datenschutzkontrolle, der Datensicherung, zur Sicherung des ordnungsgemäßen Betriebs oder für Abrechnungszwecke erforderlich ist oder die Betroffenen eingewilligt haben. Aus diesem Grund kann der Dienstherr die Gestattung der privaten Nutzung davon abhängig machen, dass die Beschäftigten einer Protokollierung zur Durchführung einer angemessenen Kontrolle der Netzaktivitäten zustimmen. Wird eine Protokollierung aufgrund der (informierten) schriftlichen Einwilligung des Beschäftigten vorgenommen, ist allerdings eine Auswertung von Protokollen nur im Rahmen dieser Einwilligung zulässig. Diese ausdrückliche Einwilligung kann auch nicht durch eine Regelung in einer Dienstvereinbarung ersetzt werden kann.

Außerdem ist - soll beispielsweise eine Protokolldatenauswertung nach "unerwünschten Seitenzugriffen" im Internet stattfinden - für die Protokolldatei eine datenschutzrechtliche Freigabe nach Art. 26 BayDSG erforderlich, da diese nicht dem § 2 Abs. 1 Datenschutzverordnung unterfällt.

Nach Art. 75 a Abs. 1 Nr. 1 BayPVG hat der Personalrat sowohl im Fall der rein dienstlichen als auch im Fall der zugelassenen privaten Nutzung über Kontrollmaßnahmen (insbesondere Protokollierung und Auswertung) zur Internet- und E-Mail-Nutzung am Arbeitsplatz mitzubestimmen, da es sich in jedem Fall um eine Verhaltenskontrolle handelt. Aus datenschutzrechtlicher Sicht empfehle ich, über die Nutzung von E-Mail und Internet eine Dienstvereinbarung mit dem Personalrat abzuschließen, in der die Fragen der Protokollierung, Auswertung und Durchführung von Kontrollen eindeutig geregelt werden (vgl. Art. 73 Abs. 1 Satz 1 BayPVG).

Zur Entzerrung des Problems besteht natürlich die Möglichkeit, für die Beschäftigten separate E-Mail-Adressen zur privaten Nutzung einzurichten oder - falls das private Surfen im Internet erlaubt ist - sie auf die Nutzung eines (kostenlosen) Web-Mail-Dienstes zu verweisen. Allerdings ist dies mit einem erhöhten Aufwand verbunden und das Problem des personenbezogenen Inhalts der Mail bleibt trotzdem erhalten.

Die Beschäftigten sollten in jedem Falle umfassend darüber informiert werden, für welche Zwecke sie einen Internet-Zugang am Arbeitsplatz nutzen dürfen und auf welche Weise der Arbeitgeber die Einhaltung der Nutzungsbedingungen kontrolliert. Insbesondere sind sie auf mögliche Überwachungsmaßnahmen und in Betracht kommende Sanktionen hinzuweisen.

Hinweis: Für die bayerische Staatsverwaltung hat die Zentrale IuK-Leitstelle am 01.06.2006 eine verbindliche "Richtlinie für die Nutzung von Internet und E-Mail in der bayerischen Staatsverwaltung" (BayITR-05) mit der Anlage: "Vorschlag für ein Begleitschreiben der Behörde zur Einwilligungserklärung" erlassene. Diese Richtlinie ist auch im Bayerischen Behördennetz zum Abruf bereitgestellt worden und kann analog von den kommunalen Einichtungen verwendet werden.

4.2 Behandlung von virenverdächtigen Mails bzw. Spam-Mails

4.2.1 Löschung bzw. Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der ausschließlich dienstlichen Nutzung

Es ist richtig, dass aus Gründen der Datensicherheit (dienstliche) E-Mails oder Anlagen von

E-Mails gelöscht bzw. unterdrückt (geblockt) werden sollten, die gefährlichen oder verdächtigen ausführbaren Code enthalten (z.B. E-Mails mit HTML-Seiten als Mail-body oder Dateien mit den Erweiterungen *.exe, *.bat, *.com oder gepackte Dateien wie *.zip, *.arj, *.lha).

Solange diese Löschung oder Blockung von E-Mails auf Rechnern der adressierten bzw. absendenden Behörde erfolgt und eine private E-Mail-Nutzung verboten ist, bestehen auch von Seiten des Datenschutzes keinerlei Bedenken gegen diese Vorgehensweise. Anders sieht es allerdings aus, wenn statt einer Löschung eine Blockung bei einer anderen Stelle (z.B. beim Landratsamt als Netzbetreiber eines Kommunalen Behördennetzes) erfolgt. Denn auch geblockte E-Mails können personenbezogene Daten beinhalten, womit bei einer Blockung dieser E-Mails und einem Abspeichern auf einem Rechner beim Netzbetreiber ein (unberechtigter) Zugriff auf diese Daten seitens seiner Bediensteten möglich wäre.

Somit muss - bei einer rein dienstlichen Nutzung des E-Mail-Verkehrs (Verbot der Privatnutzung bei allen angeschlossenen Stellen) - zumindest vertraglich ein unberechtigtes Öffnen der geblockten E-Mails verboten werden bzw. eine unverzügliche Löschung der betreffenden

E-Mails vereinbart werden. Außerdem sollte bei einer ausgehenden E-Mail der Absender von dem Vorgehen informiert werden.

4.2.2 Löschung oder Blockung von E-Mails, die gefährlichen oder verdächtigen ausführbaren Code enthalten, bei Gestattung der privaten Nutzung

Gestattet dagegen eine Dienststelle als Arbeitgeber ihren Bediensteten die private Nutzung des Internets und des E-Mail-Dienstes, ist sie ihnen gegenüber Telemedienanbieter und zur Wahrung des Fernmeldegeheimnisses gemäß § 88 TKG verpflichtet (siehe 4.1).

Einerseits ist private E-Mail grundsätzlich ohne vorherige Kenntnisnahme des Inhalts an den Adressaten weiterzuleiten, andererseits dürfen - wie bei der dienstlichen Nutzung - aus Gründen der Datensicherheit auch eingegangene private E-Mails oder deren Anhänge unterdrückt werden, wenn sie ein Format aufweisen, das ausführbaren Code enthalten kann. Eine weitere Möglichkeit besteht darin, erkannte Viren automatisch aus den E-Mails zu entfernen und die gesäuberte E-Mail weiterzuleiten.

Eine Untersuchung von virenverseuchten E-Mails (einschließlich eventueller Anhänge) mit Kenntnisnahme des Inhalts, etwa durch den Systemadministrator, ist nur im Beisein bzw. nach ausdrücklicher Einwilligung der betreffenden Beschäftigten zulässig. Eine darüber hinausgehende inhaltliche Kontrolle ist nicht zulässig. Dies gilt natürlich erstrecht für die eventuell auf einem Rechner des Landratsamtes geblockten E-Mails.

Die gewählte Verfahrensweise ist mit dem Personalrat abzustimmen und den Beschäftigten zuvor bekannt zu geben. Die Mitarbeiter sollten zu dieser Vorgehensweise eine schriftliche Einwilligung erteilen.

Generell sind die Beschäftigten darüber zu unterrichten, wenn an sie gerichtete oder von ihnen abgesendete E-Mails ganz oder teilweise unterdrückt werden oder virenverseucht sind.

4.2.3. Blocken von Spam-Mails

Das Versenden bzw. Empfangen von unerwünschter Post mittels E-Mail (so genannte Spam-Mails) ist an sich kein Datenschutzproblem. Allerdings stellt es ein Ärgernis dar und belastet die Ressourcen in erheblichem Masse. Solche Sendungen können insbesondere zu Behinderungen der Arbeit führen; im Extremfall ist eventuell überhaupt keine Kommunikation mehr möglich. Zudem können auch erhöhte Kommunikationsgebühren entstehen. Somit besteht natürlich ein dienstliches Interesse daran, auch diese E-Mails zu filtern und zu blocken.

Eine weitere Möglichkeit würde darin bestehen, die Annahme von vermeintlicher Spam-Mail automatisch zu verweigern und an den Absender zurückzusenden. Dies birgt aber die Gefahr, dass der Absender erkennt, dass die gespamte E-Mail-Adresse existiert und er nur sein Spam-Verhalten zur Vermeidung einer erneuten Filterung verbessern muss.

Außerdem muss damit gerechnet werden, dass aufgrund der derzeitigen Schwächen der eingesetzten Filterungssoftware eventuell auch "sinnhafte" E-Mails als Spam-Mails behandelt und somit nicht weitergeleitet werden würden (False-Positive-Filterung). Dies kann auch zu Haftungsproblemen führen.

So lange eine hundertprozentig zuverlässige Spam-Filterung von E-Mails technisch nicht möglich ist, sollten auch augenscheinliche Spam-Mails nur entsprechend gekennzeichnet werden. Bei gestatteter privater E-Mail-Nutzung dürfen diese nicht geblockt, sondern müssen an den Empfänger weitergeleitet werden. Diese Vorgehensweise wird - wie bereits erwähnt - auch im Bayerischen Behördennetz praktiziert.

Der Empfänger kann dann selbst sein weiteres Vorgehen bestimmen. So besteht bei den meisten E-Mail-Clients die Möglichkeit, beispielsweise E-Mails, welche von Absendern stammen, die dem Empfänger als Spammer bekannt sind (Black List), mittels Regel auszusortieren. Eine weitere Möglichkeit besteht darin, vermeintliche Spam-Mails in einem gesonderten Ordner bis zu einem vorher bestimmten Verfallsdatum, bis zu einer bestimmte Menge oder bis zur manuellen Löschung durch den Empfänger abzulegen.

Zusammenfassend ist darauf hinzuweisen, dass jegliche Art von Filterung beim Netzbetreiber vertraglich zu verankern ist. Zusätzlich ist bei einer gestatteten privaten E-Mail-Nutzung die Einwilligung jedes einzelnen Betroffenen zur gewählten Vorgehensweise erforderlich.

5. Zusammenfassung

Generell ist bei der Schaffung eines Landkreis-Behördennetzes insbesondere darauf zu achten, dass

  • die ständige Verfügbarkeit des Intranets weitestgehend gewährleistet ist,
  • verbindliche Sicherheitsrichtlinien innerhalb von Dienstanweisungen für die Intranet-/Internetnutzung und des E-Mail-Verkehrs erstellt werden,
  • Konsequenzen von Sicherheitsverletzungen bzw. bei Unterlassung von vorgeschriebenen Sicherheitsmaßnahmen festgeschrieben und bekannt gemacht werden und eine regelmäßige Kontrolle der Maßnahmen auf Einhaltung und Wirksamkeit stattfindet,
  • Regelungen für Passwortvergabe und -verwaltung (begrenzte Gültigkeitsdauer, Mindestlänge, Passworthistorie usw.) existieren,
  • die Sachbearbeiter der angeschlossenen Teilnehmer nur Zugriff auf ihre Daten erhalten (restriktive Rechtevergabe und Rechteprüfung für Zugriffe auf Ressourcen),
  • Daten des Landkreis-Behördennetzes an keine unbefugten Drittpersonen weitergegeben werden,
  • Stillschweigen über die Kenntnis interner Amtsvorgänge anderer angeschlossener Netzteilnehmer vereinbart wird,
  • die externe Datenübermittlung personenbezogener Daten verschlüsselt und für Dritte unzugänglich erfolgt,
  • für die Datenübermittlung zwischen den Behörden ebenfalls Verschlüsselungsroutinen bereit stehen,
  • ein evtl. Provider Wissen über Amtsvorgänge nicht verwenden darf,
  • der Datenbestand gegen unbefugtes Eindringen (z. B. durch einen Internetzugang) geschützt wird,
  • eine Protokollierung aller sicherheitsrelevanten Ereignisse (erlaubte und abgewiesene Anmeldungen, Anlegen oder Löschen von Dateien usw.) und eine Auswertung der Protokolle (möglichst) nach dem Vier-Augen-Prinzip stattfindet,
  • eine räumliche Abschottung und Zutrittsregelung für die Serverräume und die Standorte der Firewall, Netzverteiler, Router, Bridges, Gateways, Multiplexer usw. geschaffen werden.