Allgemeine Hinweise
Hinweise des
Landesbeauftragten für den Datenschutz Baden-Württemberg
zur Datensicherheit beim Einsatz von PC und lokalen Netzwerken
Stand: 1. März 2006
Inhaltsverzeichnis
2. Was ist bei der Anschaffung von Hard- und Software zu beachten?
2.1 Auswahl geeigneter Systemkomponenten
2.2 Nur erforderliche Hard- und Software installieren
2.3 Bedarfsgerechte Gestaltung von Ein- und Ausgabemasken
2.4 Anzeigemöglichkeit für Zugriffsrechte
2.5 Aussagekräftige Dokumentation
2.6 Anwendungen müssen praxisgerechte Löschfunktionen bieten
3. Was ist vor Aufnahme des regulären Betriebs zu beachten?
3.1 Verantwortlichkeiten
3.2 Schulungen
3.3 Aufstellung von Bildschirmen und Druckern
3.4 Server und aktive Netzkomponenten in Serverraum
3.5 Nur benötigte Netzanschlüsse aktivieren
3.6 Sicherung der Anschlüsse an andere Netze
3.7 Kenntnis über sicherheitsrelevante Eigenschaften der Netzkoppelungen
3.8 Benutzerservice
3.9 Fernwartung
3.10 Einwahlverbindungen
3.11 Datenbankentwurf mit Weitblick
3.12 Computergehäuse abschließen
3.13 Einstellungen für den Computerstart
3.14 Einrichtung des Passwortschutzes
3.15 Terminalbeschränkung
3.16 Ausreichende Sicherung der Arbeitsplatzcomputer (Clients)
3.17 Differenzierte Zugriffsbefugnisse
3.18 Informationen über Mitarbeiter- und Aufgabenwechsel
3.19 Datenhaltungskonzept in Client/Server-Systemen
3.20 Downloadmöglichkeiten nur bei Bedarf gewähren
3.21 Automatische Bildschirmsperre
3.22 Laufwerke und Schnittstellen
3.23 Dateifreigaben vermeiden
3.24 Zahl der Administratoren beschränken
3.25 Tests mit Testdaten
3.26 Freigabe von Programmen
3.27 Löschkonzept erarbeiten und anwenden
3.28 Dienstanweisung
3.29 Verfahrensverzeichnis
4. Sorgfaltsregeln für den Betrieb
4.1 Verlassen des Arbeitsplatzes
4.2 Störungen nachgehen
4.3 Umgang mit Disketten, CD-ROMs und anderen Datenträgern
4.4 Systembetreuung
4.5 Virengefahr begegnen
4.6 Protokollierung
4.7 Sicherungsmaßnahmen überprüfen
5. Aussonderung und Reparatur benutzter Geräte
6. Technisch-organisatorischer Datenschutz ist nicht alles
PC sind heutzutage an fast jedem Büroarbeitsplatz anzutreffen. Meist sind sie eingebunden in lokale und überregionale Computernetzwerke. Zentrale Server dienen darin unter anderem dazu, die von den Benutzern angelegten und bearbeiteten Dokumente zu speichern. Ferner können darauf Anwendungen oder Datenbanksysteme eingerichtet werden, die Daten für den Zugriff durch zahlreiche Nutzer bereithalten. Die Erfahrungen der Praxis zeigen dabei, dass sich die öffentlichen Stellen häufig schwer damit tun, den sowohl im Landesdatenschutzgesetz als auch in den anderen Datenschutzgesetzen enthaltenen Anforderungen an die notwendigen technisch-organisatorischen Sicherungsmaßnahmen gerecht zu werden. Die folgenden Hinweise sollen deswegen eine Hilfestellung für die Verarbeitung personenbezogener Daten in PC und lokalen Netzwerken geben.
2. Was ist bei der Anschaffung von Hard- und Software zu beachten?
Wer personenbezogene Daten mit Hilfe eines Computers verarbeiten will, sollte sich bereits vor dem Kauf der Hardware sowie der System- und Anwendungssoftware vergegenwärtigen, welche Daten dies sein werden. Denn davon hängen maßgeblich die Sicherungsmaßnahmen ab, die zum Schutz der Daten zu treffen sind.
2.1 Auswahl geeigneter Systemkomponenten
Die auf den Clients und Servern eingesetzten Betriebssysteme sollten über ausreichende Sicherheitsfunktionen verfügen, um die im Folgenden genannten Sicherheitsmaßnahmen umsetzen zu können. Da die für Home-PC gängigen Betriebssysteme in der Regel nach wie vor nicht über diese Funktionen verfügen, sollte von deren Einsatz Abstand genommen werden, wenn es um die Verarbeitung personenbezogener oder anderer schutzbedürftiger Daten geht. Beim Einsatz mobiler Geräte, wie Laptops oder Notebooks, sollten personenbezogene Daten verschlüsselt auf der Festplatte gespeichert werden, da bei diesen Geräten die erhöhte Gefahr besteht, dass sie durch Diebstahl oder Unachtsamkeit in falsche Hände geraten. Bei der Beschaffung dieser Geräte ist daher darauf zu achten, dass eine solche Verschlüsselungsmöglichkeit besteht.
2.2 Nur erforderliche Hard- und Software installieren
Viele Computerprogramme können auch zur Verarbeitung personenbezogener Daten genutzt werden. Um ein mögliches Missbrauchsrisiko von vornherein so gering wie möglich zu halten, dürfen diese Programme nur dort installiert und zur Nutzung bereitgestellt werden, wo dies zur Erfüllung dienstlicher Aufgaben benötigt wird. Auch für die Beschaffung von Hardware (z. B. Disketten- oder CD-Laufwerke) gilt, dass nur solche Komponenten beschafft und installiert werden sollten, die für die Aufgabenerfüllung am einzelnen Arbeitsplatz erforderlich sind.
2.3 Bedarfsgerechte Gestaltung von Ein- und Ausgabemasken
Vor der Anschaffung einer Fachanwendung ist zu prüfen, ob deren Bildschirmmasken und ihr Programmablauf so gestaltet sind, dass nur die Eingabe solcher Datenarten vorgesehen und nur die Anzeige solcher Datenarten ermöglicht wird, die die Mitarbeiterinnen und Mitarbeiter für ihre Arbeit benötigen. Dies ist insbesondere dann relevant, wenn für eine Fachaufgabe ein Standardprodukt eingesetzt werden soll. Erzwingt beispielsweise eine Anwendung, dass neben den für die Aufgabenerledigung benötigten weitere personenbezogene Angaben, etwa von Antragstellern, erfasst werden müssen, bevor die Anwendung mit der Verarbeitung der Daten fortfährt, sollte eine Anpassung an die konkreten Bedürfnisse veranlasst oder vom Einsatz der Anwendung abgesehen werden.
2.4 Anzeigemöglichkeit für Zugriffsrechte
Benutzerverwalter sollten die Möglichkeit haben, sich in übersichtlicher Form anzeigen oder ausdrucken zu lassen, wer über welche Zugriffsberechtigungen verfügt. Solche Ausdrucke sind beispielsweise unverzichtbar, um von Zeit zu Zeit überprüfen zu können, ob die aktuell eingerichteten Zugriffsberechtigungen noch den dienstlichen Notwendigkeiten entsprechen.
2.5 Aussagekräftige Dokumentation
Programme, mit denen personenbezogene Daten verarbeitet werden, müssen ausreichend dokumentiert sein. Die Dokumentation muss insbesondere Auskunft geben über
- Funktionen, mit denen personenbezogene Daten verarbeitet werden können,
- Schnittstellen zu anderen Programmen,
- die Möglichkeiten, die das Programm bietet, um Benutzern unterschiedliche Zugriffsberechtigungen einzuräumen.
Eine unvollständige Dokumentation erschwert nicht nur die Datenschutzkontrolle unnötig. Sie ist auch für die Stelle, die die EDV-Verfahren einsetzt, ein gravierendes Manko. Denn ohne vollständige Dokumentation kann sie ihrer Aufgabe, die notwendigen technischen und organisatorischen Datenschutzmaßnahmen festzulegen, nicht ausreichend nachkommen.
2.6 Anwendungen müssen praxisgerechte Löschfunktionen bieten
Anwendungen, mit denen personenbezogene Daten verarbeitet werden, müssen stets auch praxisgerechte Löschfunktionen zur Verfügung stellen. Die Daten verarbeitenden Stellen müssen daher bei der Anschaffung oder der Entwicklung entsprechender Software darauf achten, dass die Software über die erforderlichen Löschfunktionen verfügt.
3. Was ist vor Aufnahme des regulären Betriebs zu beachten?
Wer personenbezogene Daten automatisiert verarbeiten will, muss zuvor ein Sicherheitskonzept entwickeln. Daraus muss hervorgehen, aufgrund welcher Rechtsgrundlage welche Daten gespeichert werden sollen, wer auf welche Daten zugreifen darf, ob und, wenn ja, an wen Daten regelmäßig zu übermitteln, wann die Daten zu löschen und welche Sicherungsmaßnahmen zum Schutz der gespeicherten Daten zu treffen sind. Diese Maßnahmen sollen insbesondere sicherstellen, dass die Mitarbeiterinnen und Mitarbeiter personenbezogene Daten nur in dem Umfang verarbeiten können, wie dies zur Erfüllung ihrer Aufgaben nötig ist. Außerdem soll eine Nutzung der Computer durch Unbefugte möglichst verhindert werden. Im Einzelnen sollte insbesondere Folgendes beachtet werden:
Spätestens mit Beginn der Verarbeitung personenbezogener Daten sollten die Verantwortlichkeiten beim Umgang mit den Arbeitsplatzcomputern und den Servern klar geregelt sein: Während es unter anderem zu den Aufgaben des Systemverwalters gehört, Benutzer einzurichten, Programme zu installieren sowie Störungen und Probleme im Alltagsbetrieb zu beheben, arbeiten alle anderen Benutzer nur mit den ihnen zur Verfügung gestellten Anwendungsprogrammen sowie mit ausgewählten Funktionen der Systemsoftware.
Der Datenschutz lässt sich im täglichen Betrieb nur gewährleisten, wenn die Mitarbeiter über die zur Bedienung der Systeme und Programme notwendigen Kenntnisse und Fertigkeiten verfügen. Besonders wichtig sind ausreichende Schulungen für Systemverwalter. Fehlende oder unzulängliche Kenntnisse können nämlich leicht zu handwerklichen Fehlern bei der Realisierung technischer und organisatorischer Datenschutzmaßnahmen führen, die ihrerseits Datenschutzverstößen Vorschub leisten.
3.3 Aufstellung von Bildschirmen und Druckern
Bildschirme und Drucker sind so aufzustellen oder durch Sichtblenden so abzuschirmen, dass nicht mit der Bedienung dieser Geräte betraute Personen weder den Bildschirminhalt noch Druckausgaben einsehen können. Besonders wichtig ist dies in Arbeitsräumen mit Publikumsverkehr.
3.4 Server und aktive Netzkomponenten in Serverraum
Dienststellen, die über ein lokales Netzwerk in Client/Server-Technik verfügen, speichern in der Regel alle selbst erstellten Schreiben, die in Datenbanken erfassten Datensätze sowie sonstige von der Dienststelle erstellte oder erfasste Daten zentral auf speziell dafür eingerichteten Servern. Das macht es nötig, die Server besonders zu schützen. Dazu gehört, dass Server in einem Raum aufgestellt sein sollten, der nicht noch anderen Zwecken dient. Beispielsweise sollte darin kein Drucker aufgestellt sein, der für Sachbearbeiter zugänglich sein muss. Gleiches gilt für die Unterbringung von Modems, Routern, Hubs oder anderen aktiven Netzkomponenten.
3.5 Nur benötigte Netzanschlüsse aktivieren
Es sollten nur diejenigen Netzanschlussdosen in ein lokales Netz integriert werden, die zur Aufgabenerfüllung benötigt werden. Dies erschwert Versuche, fremde und dienstlich unerwünschte Computer in das Netz einzubinden wie auch Versuche, die im Netz übertragenen Daten beispielsweise mit Hilfe eines sog. Sniffers abzuhören.
3.6 Sicherung der Anschlüsse an andere Netze
Verbindet man ein lokales Netzwerk mit dem Internet, dem Landesverwaltungsnetz, dem Kommunalen Verwaltungsnetz oder einem anderen Netzwerk, so eröffnet dies weitreichende Möglichkeiten zum Datenaustausch mit anderen, an diesen Netzen angeschlossenen Stellen.
Um Missbrauchsmöglichkeiten von vorneherein so weit wie möglich zu beschränken, sind die zur Koppelung verwendeten Netzknotencomputer und Firewalls so zu konfigurieren, dass Daten nur in dem erforderlichen Umfang hin- und herfließen können. Ferner ist sicherzustellen, dass über diese Anschlüsse keine Angriffe auf das eigene Netzwerk erfolgen können. Weitere Hinweise speziell zum datenschutzgerechten Umgang mit dem Internet finden sich hier.
3.7 Kenntnis über sicherheitsrelevante Eigenschaften der Netzkoppelungen
Betreibt eine öffentliche Stelle die Router und Firewallsysteme, mit denen ihr lokales Netz an andere Netze angeschlossen ist, nicht selbst, ist ihr mitunter gar nicht bekannt, wie diese Systeme konfiguriert sind, welche Daten sie abwehren und welche sie ungehindert passieren lassen. Ohne dieses Wissen kann sie aber nicht beurteilen, ob und, wenn ja, welche Sicherheitsrisiken sich damit für ihr internes Netz und die darin verfügbaren Daten ergeben. Notwendig ist daher, dass sich jede Stelle, auch wenn sie die Router und Firewallsysteme nicht selbst administriert, über deren sicherheitsrelevante Einstellungen informiert und diese in ihrem Sicherheitskonzept berücksichtigt. Der Vertrag über den Betrieb der Router und Firewallkomponenten muss schriftlich abgeschlossen werden (vgl. § 7 Abs. 5 LDSG). Darin sind Gegenstand und Umfang der Tätigkeit, die vom Auftragnehmer zur Wahrung der Sicherheit des eigenen Netzes erforderlichen technischen und organisatorischen Maßnahmen, etwaige Unterauftragsverhältnisse sowie die Befugnis des Auftraggebers festzulegen, dass er hinsichtlich der Verarbeitung personenbezogener Daten dem Auftragnehmer Weisungen erteilen darf (vgl. § 7 Abs. 2 Sätze 3 und 4 LDSG).
Betreiber großer Computernetze bieten häufig einen zentralen Benutzerservice, an den sich wenden kann, wer Probleme mit der Bedienung seines Arbeitsplatzcomputers oder eines Anwendungsprogramms hat. Da die gewünschte Hilfe um so besser möglich ist, je genauer der Benutzerservice weiß, was mit dem Computer des hilfebedürftigen Nutzers los ist, wird dem Benutzerservice mitunter gestattet, sich auf den entfernten Computer aufzuschalten und dadurch zum einen alles zu sehen, was am Bildschirm angezeigt wird, und zum anderen ermöglicht, dort auch Eingaben zu tätigen. Was in einem solchen Fall zu beachten ist, ergibt sich aus den Hinweisen unserer Dienststelle zum Einsatz von Fernsteuerungssoftware.
Wird eine andere öffentliche Stelle oder ein Privatunternehmen mit Fernwartungsarbeiten betraut, so erfordert dies einen schriftlichen Auftrag. Da dabei eine fremde Stelle Zugriff auf das eigene DV-System erhält, sind die notwendigen Datenschutzmaßnahmen präzise festzulegen. Eine Checkliste zur Fernwartung sowie datenschutzrechtliche Musterklauseln finden sich in unseren Hinweisen zur Fernwartung.
Wer seine Computer mit dem öffentlichen Telekommunikationsnetz verbindet und beispielsweise für die Fernwartung die Einwahl per ISDN oder Modem auf diese Computer gestattet, öffnet damit eine Tür, durch die unter Umständen auch ungebetene „Gäste“ auf die eigenen Computer gelangen können. Notwendig ist daher, genau zu planen, wie die Einwahlmöglichkeiten gestaltet werden und für jede der Konfigurationsoptionen, die z. B. die zugelassenen Kommunikationsprotokolle festlegen, zu prüfen, ob sie für die angestrebte Nutzung notwendig ist oder nicht. Nicht benötigte Kommunikationsmöglichkeiten sind zu deaktivieren.
3.11 Datenbankentwurf mit Weitblick
Wer eine Datenbank einrichtet, muss, bevor er mit dem Einspeichern einzelner Daten beginnen kann, ein Datenbankschema entwerfen, das festlegt, welche Datenarten später einmal gespeichert werden sollen. Dieses Datenbankschema sollte sorgfältig geplant werden. Denn wenn erst einmal zahlreiche Daten in der Datenbank erfasst sind, erfordert eine Änderung des Datenbankschemas mitunter Änderungen in jedem einzelnen gespeicherten Datensatz. Bei der Planung eines Datenbankschemas ist daher zum einen zu prüfen, ob die betreffende Stelle alle im Schema enthaltenen personenbezogenen Daten speichern darf. Zum anderen ist zu klären, ob für Zwecke des Datenschutzes besondere Datenfelder in das Datenbankschema aufgenommen werden müssen. Dies könnten beispielsweise Datenfelder sein, in denen registriert wird, wer auf welche personenbezogenen Daten zugreifen darf oder wer wann zugegriffen hat.
3.12 Computergehäuse abschließen
Werden Computergehäuse abgeschlossen, so bietet dies zumindest einen gewissen Schutz gegen das unbefugte Öffnen des Geräts und Manipulationen an der Hardware. Die Gehäuseschlüssel sind an einem sicheren Ort aufzubewahren.
3.13 Einstellungen für den Computerstart
Wird ein Computer eingeschaltet, wird zunächst das Betriebssystem geladen, damit der Rechner in einen betriebsbereiten Zustand gelangt. Der Computer sollte dazu so konfiguriert sein, dass er das Betriebssystem über die Festplatte oder über das Netzwerk lädt, nicht dagegen über ein Disketten- oder CD-ROM-Laufwerk. Ansonsten besteht die Gefahr, dass Viren über den verwendeten Datenträger eingeschleppt werden. Außerdem könnte dann der Computer mit einem anderen als dem dienstlich vorgesehenen Betriebssystem gestartet werden, was Sicherheitsmaßnahmen, die die Daten verarbeitende Stelle getroffen hat, aushebeln könnte.
3.14 Einrichtung des Passwortschutzes
Wer mit einem Computer arbeiten möchte, soll dies nur tun können, wenn er sich zuvor mit seiner Benutzerkennung und dem zugehörigen geheimen, nur ihm bekannten Passwort anmeldet und als berechtigt ausweist. Worauf es bei der Einrichtung des Passwortschutzes ankommt, ist unseren Hinweisen zum Passwortschutz zu entnehmen.
Die Schutzwirkung des Passwort-Mechanismus lässt sich dadurch erhöhen, dass die Anmeldung unter einer bestimmten Benutzerkennung nicht von jedem beliebigen, sondern nur von ausgewählten Arbeitsplatzcomputern aus möglich ist. Selbst wenn das zu einer bestimmten Benutzerkennung gehörende Passwort geknackt oder auf sonstige Weise einem anderen bekannt wurde, kann sich dieser dann nicht von jedem Arbeitsplatzcomputer aus unter falscher Identität anmelden.
Jeder Benutzer eines Verfahrens, mit dem personenbezogene Daten verarbeitet werden können, sollte sich daher nur von bestimmten Arbeitsplatzcomputern aus an einem entfernten Rechner (z. B. Server) anmelden dürfen. Entsprechendes gilt für Systemverwalter und deren Anmeldung an Servern, Clients, Firewall-Systemen oder sonstigen aktiven Netzelementen.
Existiert keine solche Beschränkung, so kann beispielsweise ein Mitarbeiter, der nur wenige Zugriffsrechte besitzt, aber die Kennung und das Passwort eines Kollegen mit mehr Befugnissen erfährt, sich von seinem Arbeitsplatz aus mit dessen Kennung anmelden und auf diese Weise die für ihn geltenden Zugriffsbeschränkungen umgehen.
Die fehlende Terminalbeschränkung erleichtert es ferner auch unberechtigten Personen, durch Ausprobieren das Passwort zu einer ihnen bekannt gewordenen Kennung zu ermitteln. Sie können sich für ihre Tests dann jeden beliebigen Arbeitsplatzcomputer auswählen, der ihnen dafür günstig erscheint.
3.16 Ausreichende Sicherung der Arbeitsplatzcomputer (Clients)
Computernetze, die nach dem sog. Client/Server-Konzept aufgebaut sind, umfassen zum einen Computer, die umfangreiche Datenbestände speichern und zur Nutzung durch Netzteilnehmer bereithalten (Server) und zum anderen Arbeitsplatzcomputer (Clients), von denen aus die auf den Servern gespeicherten Daten verarbeitet werden. Bei der Planung der Schutzmaßnahmen geraten gelegentlich die Arbeitsplatzcomputer aus dem Blickfeld. Mitunter können dort alle Nutzer unbeschränkt auf das Betriebssystem zugreifen, sicherheitsrelevante Systemeinstellungen ändern oder eigene Programme installieren, mit denen Sicherheitsvorkehrungen des Netzwerks unterlaufen werden können. Um dies zu verhindern, sollten normale Benutzer auch an Arbeitsplatzcomputern möglichst nicht uneingeschränkt auf der Betriebssystemebene arbeiten und keine sicherheitsrelevanten Einstellungen ändern können.
3.17 Differenzierte Zugriffsbefugnisse
Es ist darauf zu achten, dass jeder Mitarbeiter nur die Zugriffsrechte auf Programme und Daten erhält, die er zur Erfüllung seiner Aufgaben benötigt. Auf Anweisung der Dienststelle richtet der Systemverwalter die entsprechenden differenzierten Zugriffsrechte für die einzelnen Benutzer ein. Die Anträge auf Einrichtung, Änderung sowie Löschung von Zugriffsberechtigungen sowie die Nachweise darüber, dass die Änderungen im System auch umgesetzt wurden, sind zu dokumentieren.
3.18 Informationen über Mitarbeiter- und Aufgabenwechsel
Jede Stelle muss durch organisatorische Maßnahmen sicherstellen, dass ein Benutzerverwalter stets darüber informiert wird, wenn ein Mitarbeiter eine andere Aufgabe übernimmt und daher andere, ggf. auch nur weniger als die ihm bislang zugeteilten Zugriffsberechtigungen benötigt. Ferner muss der Systemverwalter umgehend über das Ausscheiden von Mitarbeitern unterrichtet werden, die über eine Benutzerkennung für das lokale Netzwerk oder einzelne Computer verfügen.
3.19 Datenhaltungskonzept in Client/Server-Systemen
Die Strukturierung der innerbehördlichen Dateiablagen sollte so erfolgen, dass alle Benutzer die von ihnen erstellten und bearbeiteten Texte, Tabellen oder anderen Dokumente, die personenbezogene Daten enthalten können, auf der Festplatte des Servers speichern. Dies bietet gegenüber einer Speicherung auf der lokalen Festplatte zweierlei Vorteile: Zum einen müssen sich weder der Benutzer noch die Systemverwalter um ein tägliches Backup (Sicherungsspeicherung etwa auf einer Magnetbandcassette) der auf den lokalen Arbeitsplatzcomputern gespeicherten Daten kümmern, sondern es genügt, ein tägliches Backup der auf dem Server gespeicherten Daten vorzunehmen. Außerdem erleichtert die zentrale Speicherung ein datenschutzgerechtes Vorgehen, wenn einmal ein Arbeitsplatzcomputer oder dessen Festplatte defekt ist und zur Reparatur außer Haus gegeben werden muss.
3.20 Download-Möglichkeiten nur bei Bedarf gewähren
In der Regel sind die in Client/Server-Systemen eingesetzten Anwendungen so angelegt, dass die personenbezogenen Daten in einer auf einem zentralen Server angelegten Datenbank gespeichert werden. Mitunter besteht dabei die Möglichkeit, einen sog. Download durchzuführen und dabei sämtliche oder nur einen Teil der gespeicherten personenbezogenen Daten auf die Festplatte eines Arbeitsplatzcomputers zu kopieren. Dies verstößt nicht nur gegen den unter Nr. 3.19 genannten Grundsatz für die Datenhaltung, sondern bringt noch weitere Datenschutzrisiken mit sich. So muss beispielsweise dann, wenn Daten aus dieser Anwendung zu löschen sind, darauf geachtet werden, dass die Löschung nicht nur auf dem Server, sondern spätestens dann auch auf den Festplatten aller derjenigen Arbeitsplatzcomputer erfolgt, auf die die Daten zuvor irgendwann einmal heruntergeladen wurden. Daher darf die Download-Möglichkeit nur denjenigen Mitarbeitern offen stehen, die diese Funktion zur Erfüllung ihrer Aufgaben benötigen.
3.21 Automatische Bildschirmsperre
Eine automatische Sperre des Bildschirms nach einer gewissen Zeitspanne ohne Benutzereingaben bietet einen Schutz davor, dass jemand bei Abwesenheit eines angemeldeten Benutzers dessen Bildschirminhalt lesen, Eingaben vornehmen und auf diese Weise u. U. auf Daten zugreifen kann, auf die er ansonsten nicht zugreifen könnte. Dabei ist es nicht – wie dies gelegentlich angenommen wird – ins Ermessen der einzelnen Benutzer gestellt, ob eine solche Sperre eingerichtet wird oder nicht: Notwendig ist vielmehr, einen Bildschirmschoner an allen Arbeitsplätzen so einzurichten, dass er nach 5 bis 10 Minuten aktiviert wird und die Sperre nur durch die Eingabe des Passworts wieder beseitigt werden kann. Unabhängig davon sollten alle Mitarbeiter aufgefordert werden, beim Verlassen des Arbeitsplatzes manuell eine Bildschirmsperre zu veranlassen.
3.22 Laufwerke und Schnittstellen
Ein frei zugängliches CD- oder Diskettenlaufwerk birgt stets das Risiko, dass Computerviren oder andere unerwünschte Programme oder Daten auf dienstliche Arbeitsplatzcomputer gelangen sowie umgekehrt personenbezogene oder andere schutzbedürftige Daten vom Arbeitsplatzcomputer abgezogen und Dritten, für die sie nicht bestimmt sind, zugänglich werden. Außerdem kann der Computer, sofern dies nicht über weitere Einstellungen verhindert wird, über das Disketten- oder CD-Laufwerk zudem mit einem fremden Betriebssystem gestartet werden. Um all das zu verhindern, sollten Laufwerke, die nicht regelmäßig für dienstliche Zwecke benutzt werden, verriegelt oder deaktiviert werden. Ebenso sind, soweit technisch möglich, dienstlich nicht benötigte Schnittstellen zu sperren.
Werden mehrere PC über ein Netzwerk miteinander verbunden, so kann man, auch ohne einen Server zu nutzen, von einem PC aus auf Daten zugreifen, die auf einem anderen gespeichert sind. Voraussetzung ist freilich, dass die Daten auf dem bereitstellenden PC durch Verzeichnisfreigaben (Shares) ausdrücklich für einen Zugriff über Netz freigegeben sind. Um nicht völlig unüberschaubare Ablagestrukturen zu erhalten, muss eine Stelle, die ein solches Netzwerk betreibt, dafür sorgen, dass die oft standardmäßig vorhandene Möglichkeit zur Freigabe eigener Verzeichnisse zur Mitbenutzung durch andere Teilnehmer im Netz unterbunden wird. Die entsprechenden Betriebssystemfunktionen zur Freigabe eigener Verzeichnisse und Dateien sollten daher für normale Benutzer deaktiviert werden. Sollen in einer Stelle mehrere Benutzer auf gemeinsam genutzte Daten zugreifen können, so sollten dafür grundsätzlich keine Freigaben genutzt werden. Dies liegt daran, dass die technischen Möglichkeiten zur Gewährleistung des Datenschutzes, beispielsweise die Qualität des dazu angebotenen Passwortschutzes, nur unzulänglich sind. Stattdessen sollten die Daten im Rahmen einer Client/Server-Lösung auf einem (Ablage-)Server gespeichert und allen Benutzern, die diese Daten benötigen, eine Zugriffsberechtigung darauf gewährt werden.
3.24 Zahl der Administratoren beschränken
Je umfangreicher die Zugriffsrechte sind, die einer Person eingeräumt werden, desto höher sind auch die damit verbundenen Missbrauchsgefahren. Deswegen ist der Kreis derjenigen, denen die besonders weit reichenden Zugriffsrechte eines Administrators eingeräumt werden und die folglich weitgehend unkontrolliert auf gespeicherte personenbezogene Daten zugreifen können, so klein wie möglich zu halten.
Solange Software noch nicht für den Einsatz mit Echtdaten freigegeben ist, sollten Tests möglichst nur mit Testdaten durchgeführt werden.
Programme, mit denen personenbezogene Daten verarbeitet werden sollen, sind zur Benutzung schriftlich freizugeben. Vor Erteilung der Freigabe ist zu prüfen, ob das Programm
- dokumentiert ist,
- ausreichend getestet und
- in das Verfahrensverzeichnis aufgenommen
wurde.
3.27 Löschkonzept erarbeiten und anwenden
Öffentliche Stellen dürfen personenbezogene Daten nicht ewig speichern, sondern stets nur so lange wie dies zur Erledigung ihrer dienstlichen Aufgaben erforderlich ist. Anschließend müssen sie die Daten löschen. Unumgänglich ist daher, dass jede Stelle festlegt, wie lange sie die einzelnen Datenarten benötigt und wann sie zu löschen sind. Die Zusammenstellung aller für eine Stelle relevanten Löschregelungen und -fristen bildet das sog. Löschkonzept.
Um Datenverluste und unberechtigte Zugriffe auf schutzbedürftige Daten zu verhindern, sind neben technischen stets auch organisatorische Schutzmaßnahmen zu ergreifen. Diese sind umso wichtiger, je geringer der Schutz ist, den technische Maßnahmen bieten. Aber auch bei hohem technischen Schutzniveau gibt es einige Schutzziele, die sich nur organisatorisch erreichen lassen. Dazu gehören beispielsweise Vorgaben für die Konfiguration des Passwortschutzes, zum Umgang mit Passwörtern, zur Verwendung von Disketten sowie zur Datenlöschung.
Die Behörden und sonstigen öffentlichen Stellen des Landes Baden-Württemberg müssen, so schreibt es § 11 des Landesdatenschutzgesetzes vor, ein Verfahrensverzeichnis führen. Darin ist für jede Stelle schriftlich zu dokumentieren, welche personenbezogene Daten sie auf Grund welche Rechtsgrundlage verarbeitet, welche Personen von der Verarbeitung der Daten betroffen sind, welche anderen Stellen welche Daten regelmäßig erhalten, wann welche gespeicherten Daten zu sperren oder zu löschen sind, wer mit welchen Zugriffsrechten auf welche gespeicherten Daten zugreifen darf, welche Hard- und welche Software eingesetzt wird, wie die Systeme vernetzt sind und schließlich, welche technischen und organisatorischen Sicherheitsmaßnahmen getroffen wurden. Näheres dazu ist unseren Hinweisen zum Verfahrensverzeichnis.
4. Sorgfaltsregeln für den Betrieb
Bei der täglichen Nutzung der Hard- und Software ist insbesondere Folgendes zu beachten:
4.1 Verlassen des Arbeitsplatzes
Verlässt ein Benutzer während des laufenden Betriebs seinen Arbeitsplatzcomputer, so sollte er ihn ausschalten oder aber den Bildschirm sperren. Eine solche Bildschirmsperre darf sich nur durch Eingabe eines Passworts, nicht aber durch einfachen Druck auf eine beliebige Taste wieder aufheben lassen.
Treten im laufenden Betrieb Störungen oder Fehlermeldungen auf, die darauf hindeuten, dass jemand unberechtigt am Computersystem tätig gewesen ist, sollte der Benutzer dies sofort dem für Sicherheitsfragen zuständigen Mitarbeiter melden. Dieser sollte der Sache unverzüglich nachgehen. Besteht der Verdacht, ein Unbefugter könnte Kenntnis von einem Passwort erhalten haben, so ist das Passwort unverzüglich zu ändern.
4.3 Umgang mit Disketten, CD-ROMs und anderen Datenträgern
Gerade nicht eingesetzte Disketten, CD-ROMs oder andere Datenträger, auf denen personenbezogene Daten gespeichert sind, sollten verschlossen aufbewahrt werden.
Der Systemverwalter richtet auf Antrag neue Benutzer ein und löscht diejenigen, die nicht mehr mit dem Computer arbeiten müssen. Ferner aktualisiert er die Zugriffsbefugnisse, so dass die einzelnen Benutzer immer nur die Zugriffsrechte haben, die sie zur Erfüllung ihrer Aufgaben brauchen.
Die Gefahr eines Befalls mit Computerviren besteht beim Laden des Betriebssystems von einem virenbefallenen Datenträger sowie beim Einsatz infizierter Programme. Eine erhebliches Risiko geht aber auch von sog. Makroviren aus, die in Textdokumenten oder zahlreichen anderen Dateiarten verborgen sein können. Bloßes Anklicken eines solchen, beispielsweise per E-Mail erhaltenen Dokuments kann bereits die Schadenswirkung auslösen. Um der Virengefahr vorzubeugen, sollten leistungsfähige Virenerkennungsprogramme eingesetzt werden, die Hauptspeicher und Festplatten der Computer sowie Datenträger nach Viren durchsuchen, sie erkennen und beseitigen können. Damit sie stets auch die aktuellen Viren erkennen können, müssen diese Programme und die von ihnen benutzten Muster zur Erkennung der Viren regelmäßig aktualisiert werden. Hilfreich ist außerdem der Einsatz von Prüfsummenprogrammen, die Veränderungen an installierten Programmen feststellen können. Ferner sollten nur Programme aus einwandfreien Quellen zum Einsatz kommen, z. B. selbst erstellte Programme oder lizenzierte Originalprogramme.
Virenschutz ist aber nicht nur eine Aufgabe für die Systemverwalter. Vielmehr müssen alle Computernutzer für die Virengefahren sensibilisiert werden und lernen, sich richtig zu verhalten. Weitere Hinweise dazu finden sich in unserem Merkblatt zu Internet und Datenschutz.
Um eine missbräuchliche Verwendung personenbezogener Daten wenigstens im Nachhinein noch nachweisen zu können, sind die Aktivitäten der einzelnen Benutzer sowie des Systemverwalters in angemessenem Umfang zu protokollieren. Dies sollte möglichst automatisch geschehen. Die Protokolldaten sollten zumindest darüber Aufschluss geben, wer von wann bis wann als Benutzer angemeldet war. Ferner ist es hilfreich, wenn darüber hinaus zumindest stichprobenweise Zugriffe auf Programme und Dateien protokolliert werden. Unabhängig davon, was im Einzelnen protokolliert wird, sollte Folgendes beachtet werden:
- Bei allen zu protokollierenden Aktivitäten sollten insbesondere abgewiesene Nutzungsversuche erfasst werden.
- Die Protokolldaten sollten vor nachträglichen Änderungen geschützt sein.
- Angesichts des in der Regel großen Umfangs anfallender Protokolldaten empfiehlt es sich ferner, geeignete Programme zur systematischen Auswertung der Protokolldaten und zum Absetzen von Alarm-Meldungen bei sicherheitskritischen Ereignissen einzusetzen.
Diese, der Systemsicherheit und dem Datenschutz dienenden Protokolldateien dürfen nur für Zwecke der Datenschutzkontrolle verwendet werden. Dazu sollten die Protokolldaten in regelmäßigen Zeitabständen zumindest stichprobenweise auf mögliche Unregelmäßigkeiten hin überprüft werden. Systemverwaltung und Auswertung der Protokolle sollten möglichst nicht in einer Hand liegen.
4.7 Sicherungsmaßnahmen überprüfen
In regelmäßigen Zeitabständen sollten die getroffenen Sicherungsmaßnahmen dahingehend überprüft werden, ob sie noch ausreichen. Eine solche Überprüfung ist zumindest immer dann erforderlich, wenn sich die Programme, die Netzstruktur, die Ablagestruktur oder auf andere Weise die Nutzungsart von Clients und Servern, mit deren Hilfe personenbezogene Daten verarbeitet werden, ändern.
5. Aussonderung und Reparatur benutzter Geräte
Wird ein zuvor benutzter Computer oder dessen Festplatte verkauft, entsorgt oder zur Reparatur außer Haus gegeben, sind zuvor alle darauf gespeicherten personenbezogenen Daten zu löschen. Diese Löschung darf nicht nur logisch erfolgen. Denn dabei wird eine zu löschende Datei nur aus dem Inhaltsverzeichnis des Datenträgers entfernt, während die Datei und sämtliche darin gespeicherten Daten als solche weiter auf der Festplatte verbleiben und lediglich zum Überschreiben freigegeben werden. Es ist vielmehr eine physische Löschung nötig, bei der auch der eigentliche Dateiinhalt unkenntlich gemacht und wirksam verhindert wird, dass die Daten später wieder hergestellt werden können.
6. Technisch-organisatorischer Datenschutz ist nicht alles
Auch die besten Sicherheitsfunktionen sagen nichts darüber aus, welche Daten über Bürger eine Behörde oder sonstige öffentliche Stelle überhaupt mit Hilfe eines Computers wie lange und für welche Zwecke speichern, verändern und nutzen darf. Dies ergibt sich allein aus den Aufgaben der Behörde oder öffentlichen Stelle und den für sie geltenden Rechtsvorschriften.
Aufgrund der vielfältigen Nutzungsmöglichkeiten von PC und Computernetzwerken können die hier in diesem Merkblatt genannten Hinweise natürlich nicht alle in Frage kommenden Sicherheitsmaßnahmen ansprechen. Weiterführende Informationen finden sich im Internet unter anderem in folgenden Angeboten:
IT-Grundschutzhandbuch des BSI
Eine umfangreiche Zusammenstellung sicherheitsrelevanter Aspekte beim Einsatz von Computern sowie entsprechende Maßnahmenkataloge enthält das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) unter
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
CERT
Hinweise über aktuelle Sicherheitslücken und Gegenmaßnahmen finden sich in den Internet-Angeboten der Computer Emergency Response Teams (CERT), z. B.
- CERT des Deutschen Forschungsnetzes (DFN-CERT):
- CERT der Universität Stuttgart:
- CERT für Bundesbehörden (CERT-Bund):
https://www.bsi.bund.de/DE/Home/home_node.html
Virtuelles Datenschutzbüro
Weitere Informationen rund um das Thema Datenschutz finden sich im Internet-Angebot des virtuellen Datenschutzbüros, das von zahlreichen nationalen und internationalen Datenschutzbeauftragten getragen wird, unter
Mastodon
