20. Tätigkeitsbericht 1999 -Inhaltsverzeichnis

1. Virtuelle Verwaltungswelten - die elektronischen Bürgerdienste kommen
1.1 Bürgerdienste im Internet
1.1.1 Hinweise zum Datenschutz in elektronische Formulare aufnehmen
1.1.2 Übertragene Daten vor unberechtigtem Zugriff schützen
1.1.3 Prüfung der Identität des Antragstellers
1.2 Datenschutz bei der E-Mail-Kommunikation

2. Es tut sich etwas in Sachen Verschlüsselung
2.1 Die deutsche Kryptopolitik
2.2 Verschlüsselungseinsatz im Land und in Kommunen

3. Outsourcing
3.1 Outsourcing der Bürokommunikation
3.2 Outsourcing des Landesverwaltungsnetzes
3.3 Outsourcing bei Krankenhäusern - die Städtischen Kliniken Esslingen am Neckar
3.3.1 Fehlendes Weisungsrecht
3.3.2 Zugriff auf personenbezogene Daten nicht unterbunden
3.3.3 Fehlende Kontroll- und Prüfrechte durch den Auftraggeber
3.3.4 Schutz des Krankenhausnetzwerks unzureichend
3.3.5 Fortschreibung der technischen und organisatorischen Maßnahmen
3.3.6 Unzureichende Verschlüsselung auf dem Übertragungsweg
3.3.7 Weitere technische und organisatorische Mängel

4. Nutzung von Internet und Intranets
4.1 Hacker-Angriffe - nicht nur eine theoretische Gefahr
4.1.1 Mängel, die den Angriff erst ermöglichten
4.1.2 Mängel beim Erkennen und Verfolgen der Hacker-Angriffe
4.2 Was muss der Provider tun?
4.3 Was muss der Anwender beachten?

5. Privatsphäre und Computertechnik
5.1 Was Texte so alles verraten können
5.2 Die eindeutigen Nummern
5.3 Was ist vonnöten?

6. Technische und organisatorische Mängel - ein Streifzug durch die Praxis
6.1 Probleme mit dem Telefax
6.2 Mängel bei der Zutrittskontrolle
6.3 Mängel bei der Freigabe und dem Betrieb eines Verfahrens
6.4 Dokumentation unvollständig
6.5 Mängel beim Verfahrensverzeichnis
6.6 Unzureichende oder gar fehlende Löschfunktionen
6.7 Unzureichende Eingabekontrolle
6.8 Start des PC nicht gut genug abgesichert
6.9 Mängel beim Passwortschutz
6.10 Keine Bildschirmsperre
6.11 Mängel beim Umgang mit Dateifreigaben in lokalen Netzwerken
6.12 Unzureichender Schutz bei Fehlversuchen
6.13 Fehlende Transparenz bei den Zugriffsrechten
6.14 Benutzer konnten sich selbst zusätzliche Zugriffsmöglichkeiten verschaffen
6.15 Fehlende Terminalbeschränkung
6.16 Defizite beim Virenschutz
6.17 Wenn aus temporären Daten dauerhafte werden
6.18 Fehlende oder unzureichende Schulungen
6.19 Fernwartung
6.20 Mängel bei der Vernichtung von Unterlagen

Mittlerweile gehört es fast zur Selbstverständlichkeit, dass sich Kommunen, Landesbehörden und andere öffentliche Stellen im Internet präsentieren. Zunehmend nutzen sie es aber auch, um ihr Dienstleistungsangebot zu verbessern und zugleich Modernität und Bürgernähe zu demonstrieren. Zwei Funktionen des Internet stehen dabei im Mittelpunkt: Zum einen die Möglichkeit, insbesondere über das World Wide Web (WWW) interaktive Bürgerdienste anzubieten, und zum anderen der Austausch elektronischer Post (E-Mail).

1.1 Bürgerdienste im Internet

Wo der Bürger bisher eine Behörde mitunter mehrfach persönlich aufsuchen musste und an die von Fall zu Fall unterschiedlichen Öffnungszeiten gebunden war, soll er künftig die Möglichkeit haben, von Zuhause aus und wann immer es ihm gerade passt, Behördengänge via Internet zu erledigen. Und dies ist keineswegs nur Zukunftsmusik:

• Zahlreiche Antragsformulare lassen sich heute schon aus dem WWW herunterladen und am heimischen PC ausdrucken.
• Steuerpflichtige in Böblingen, Karlsruhe und Emmendingen können ihre Einkommensteuererklärung via Internet an die Finanzverwaltung senden.
• Zieht ein Bürger innerhalb der Stadt Mannheim um, kann er dies dem Einwohnermeldeamt elektronisch mitteilen.
• Wer ein Auto bei seiner Zulassungsstelle anmelden will, kann sich vielerorts vorab per Internet bereits ein Wunschkennzeichen reservieren.
• Wer ein gerichtliches Mahnverfahren gegen einen säumigen Schuldner in Gang setzen will, kann auch dies mittlerweile elektronisch tun.

Was alles in Form eines elektronischen Bürgerdienstes angeboten werden kann, ist Thema einer vom Innenministerium geleiteten Arbeitsgruppe, in der auch die Kommunen vertreten sind. Geht es nach den dort entwickelten Ideen, könnte die elektronische Abwicklung beispielsweise dann in Frage kommen, wenn jemand Briefwahlunterlagen beantragen oder ins Wählerverzeichnis eingetragen werden möchte, ein Gewerbe an-, um- oder abmelden oder Kinder- und Erziehungsgeld beantragen will. Wenn auch der Realisierung einiger dieser Angebote gegenwärtig noch rechtliche Hindernisse entgegenstehen, wird doch deutlich, dass die Bürger künftig vermehrt mit solchen elektronischen Antragsmöglichkeiten rechnen können.

Deshalb müssen frühzeitig die notwendigen Weichen gestellt werden, damit der Einsatz der elektronischen Bürgerdienste datenschutzgerecht erfolgen kann. Je nach Ausgestaltung des Bürgerdienstes muss unterschiedlichen datenschutzrechtlichen Anforderungen Rechnung getragen werden:

1.1.1 Hinweise zum Datenschutz in elektronische Formulare aufnehmen

Stellt eine Behörde im Internet amtliche Formulare zum Abruf bereit, so muss sie dafür sorgen, dass die im gedruckten Formular enthaltenen Hinweise zum Datenschutz dem Bürger auch dann gegeben werden, wenn er das Formular über Internet abruft. Das war bisher jedenfalls nicht immer selbstverständlich.

1.1.2 Übertragene Daten vor unberechtigtem Zugriff schützen

Bietet eine Behörde den Bürgern die Möglichkeit, die am Bildschirm ausgefüllten Formulare per Mausklick gleich an die Behörde zu senden, muss sie in ihrem Angebot berücksichtigen, dass im Internet übertragene Daten nicht nur vom anvisierten Empfänger, sondern auch von anderen gelesen werden können. Um dem einen Riegel vorzuschieben, sollte die Behörde daher vorsehen, dass personenbezogene Bürgerdaten verschlüsselt übertragen werden. Andernfalls muss sie die Bürger, bevor diese damit beginnen Daten einzugeben, wenigstens auf die fehlende Verschlüsselung und die mit der unverschlüsselten Übertragung verbundenen Risiken klar und deutlich hinweisen. Eine solche Ausnahme kann aber nur dann in Frage kommen, wenn wenig sensible personenbezogene Daten zu übertragen sind.

1.1.3 Prüfung der Identität des Antragstellers

Sollen die elektronisch übermittelten Antragsdaten einen eigenhändig unterschriebenen Antrag ersetzen, so muss sich die Behörde Gewissheit über die Identität des Antragstellers verschaffen. Ansonsten wäre dem Missbrauch Tür und Tor geöffnet: Anträge ließen sich dann unter falschem Namen stellen mit der Folge, dass möglicherweise auf deren Grundlage Verwaltungsentscheidungen getroffen und im Zusammenhang damit falsche Angaben über Bürger gespeichert werden, die unter Umständen finanzielle (Verwaltungsgebühren, Mahnkosten) oder andere Nachteile für die vermeintlichen Antragsteller zur Folge haben können.

Bei einem herkömmlichen Antrag auf Papier lässt sich im Zweifelsfall anhand der eigenhändigen Unterschrift entscheiden, ob dieser tatsächlich von dem genannten Antragsteller stammt. Als elektronisches Pendant zur eigenhändigen Unterschrift kommt die digitale Signatur in Frage: Das zu unterzeichnende elektronische Dokument wird dabei mit Hilfe eines kryptografischen Verfahrens in besonderer Weise gekennzeichnet: Jeder kann anhand einer solchen Kennzeichnung überprüfen, von wem diese vorgenommen wurde. Um die gewünschte Fälschungssicherheit und Zuverlässigkeit beim Umgang mit digitalen Signaturen erreichen zu können, müssen zuvor zahlreiche technische und organisatorische Festlegungen über die Erzeugung, Ausgabe und Verwendung der Signaturschlüssel getroffen werden. Hierzu gehören beispielsweise Sorgfaltsregeln für die Stellen (Trust-Center), die die Signaturschlüssel herstellen, Vorgaben zur Frage, wie lange einmal vorgenommene Signaturen als sicher angesehen werden können und auf welche Weise man Signaturschlüssel erkennt, die für eine weitere Verwendung gesperrt wurden. Nun muss nicht jede Stelle, die digitale Signaturen nutzen will, alle diese Maßnahmen selbst festlegen. Sie kann vielmehr auf eine Reihe aufeinander abgestimmter und sich gegenseitig ergänzender Maßnahmen zurückgreifen, die im Signaturgesetz und der dazugehörigen Signaturverordnung dargestellt sind und ein verhältnismäßig hohes Maß an Sicherheit bieten. Deshalb empfiehlt es sich, diese zu übernehmen. Wird von einzelnen Vorgaben des Signaturgesetzes abgewichen, muss darauf geachtet werden, dass die Sicherheit des Signaturverfahrens nicht auf der Strecke bleibt. Der Verzicht auf Einhaltung der Anforderungen des Signaturgesetzes kann zwar eine einfachere und billigere Lösung ermöglichen. Damit ist aber nichts gewonnen, wenn sich die realisierte Lösung später als unsicher erweist. Es ist deshalb zu begrüßen, dass das Innenministerium in dem von ihm geplanten Erprobungsgesetz, das die bislang für einige Bürgerdienste bestehenden landesrechtlichen Hindernisse aus dem Weg räumen soll, die Verwendung signaturgesetzkonformer Signaturen vorsehen will.

Die bereits realisierten elektronischen Bürgerdienste und die gegenwärtig geplanten Vorhaben beschreiten bei der Identitätsprüfung unterschiedliche Wege:

• Im Fall der elektronischen Steuererklärung und der Ummeldung in Mannheim beispielsweise wird auf eine elektronische Identitätsprüfung verzichtet. Der Bürger muss daher zusätzlich zum elektronischen Antrag stets auch eine eigenhändige Unterschrift auf einem Papierausdruck seines Antrags leisten. Derartige Dienste weisen zwar, zumindest hinsichtlich der Identitätsprüfung, keine größeren datenschutzrechtlichen Risiken auf als klassische Anträge in Papierform. Sie kommen damit aber auch dem eigentlichen Sinn elektronischer Bürgerdienste, nämlich die klassische Antragstellung überflüssig zu machen, noch nicht viel näher.
• Ganz anders sieht es beim elektronischen Baugenehmigungsverfahren aus, das die Städte Esslingen und Ostfildern anbieten wollen. Dabei sollen die elektronisch eingereichten Bauanträge von Anfang an mit signaturgesetzkonformen Signaturen versehen werden. Ein Antrag in Papierform entfällt dann.
• Schließlich gibt es auch Bürgerdienste, die noch einen anderen Weg einschlagen. So soll es in Mannheim u. a. möglich sein, Anträge auf Ausstellung von Anwohnerparkausweisen elektronisch zu stellen, die weder signaturgesetzkonform signiert noch ausgedruckt und eigenhändig unterschrieben werden müssen. Zur Nutzung der Bürgerdienste soll allerdings nur zugelassen werden, wer zuvor eine Benutzerkennung und ein Passwort erhalten hat. Aber auch diese können auf elektronischem Weg beantragt werden, ohne dass dabei die Identität des Antragstellers letztlich verlässlich geprüft werden kann. Beim Anwohnerparkausweis wird das Missbrauchsrisiko aufgrund weiterer organisatorischer Maßnahmen zwar begrenzt, gleichwohl ist bei Bürgerdiensten dieser Art sehr genau zu prüfen, ob das Risiko, dass Anträge unter falschem Namen gestellt werden, hingenommen werden kann.

1.2 Datenschutz bei der E-Mail-Kommunikation

Viele elektronische Dienstleistungen können durch den Austausch elektronischer Post (E-Mail) zwischen Bürgern und Verwaltung abgewickelt werden. Probleme ergeben sich dabei, weil die Behörden auf der einen Seite sehr großen Wert darauf legen, elektronisch möglichst für jeden erreichbar zu sein, auf der anderen Seite aber das Internet bekanntlich unsicher ist und seine Nutzung vielfältige Sicherheitsrisiken mit sich bringt. Auf Bitte des Städtetags habe ich diesem dazu folgendes Vorgehen empfohlen:

Sendet ein Bürger eine unverschlüsselte E-Mail über das Internet an eine Kommune, so sollte sie diese nicht in jedem Fall auf gleichem Weg beantworten, sondern grundsätzlich nur dann, wenn sie in ihrer Antwort nur wenig sensible Daten verschicken muss. Enthält die Antwort auf die Bürgeranfrage allerdings Informationen über andere Personen oder nähere Angaben über den anfragenden Bürger, sollte die Kommune sie verschlüsseln. Die Verschlüsselung kann nicht allein deshalb unterbleiben, weil die E-Mail des Bürgers unverschlüsselt war. Darin kann entgegen einer weit verbreiteten Meinung noch kein wirksamer Verzicht auf eine datenschutzrechtlich gebotene Verschlüsselung gesehen werden, denn der Bürger weiß bei der Anfrage meist noch gar nicht, was über ihn im Antwortschreiben ausgeführt wird.

Manche Kommunen denken auch darüber nach, den Bürgern per E-Mail zusätzliche Dienstleistungen anzubieten, wie z. B. Erinnerungsschreiben, in denen sie darauf hingewiesen werden, dass ihr Personalausweis oder Reisepass in einigen Monaten abläuft. Solche Mitteilungen dürfen die Kommunen nur dann unverschlüsselt verschicken, wenn die Bürger, beispielsweise anlässlich der An- oder Ummeldung ihres Wohnsitzes, sich damit einverstanden erklärt haben. Dabei stellt sich allerdings folgendes Problem: Die Kommunen benötigen für derartige Dienste die jeweils aktuellen E-Mail-Adressen der an diesem Service interessierten Bürger. Da sich die E-Mail-Adressen aufgrund eines Providerwechsels kurzfristig ändern können, können einmal erfragte E-Mail-Adressen nicht unbefristet immer wieder verwendet werden. Vor diesem Hintergrund erscheint es gegenwärtig fraglich, ob sich ein praktikabler Weg für derartige kommunale Anschreiben finden lässt.

Verschlüsselung ist und bleibt ein Thema, das für den datenschutzgerechten Einsatz der Informations- und Kommunikationstechnik von zentraler Bedeutung ist.

2.1 Die deutsche Kryptopolitik

Seit geraumer Zeit wird in Deutschland eine kontroverse Diskussion darüber geführt, ob der Staat den Einsatz der Verschlüsselungstechnik einschränken soll. Befürworter einer Regulierung der Verschlüsselung verweisen darauf, dass auch Kriminelle ihre Botschaften verschlüsselt austauschen können und der Staat damit die Möglichkeit verliert, im Rahmen legaler Abhörmaßnahmen Kenntnis vom Inhalt ihres Informationsaustausches zu erhalten. Überzeugende Vorschläge, wie sich eine Einschränkung der Verschlüsselung in der Praxis bewerkstelligen lässt, konnten bislang freilich nicht vorgelegt werden. Daher habe ich mich bereits vor zwei Jahren gegen jedwede Einschränkung oder gar ein Verbot der Verschlüsselung ausgesprochen (vgl. 18. Tätigkeitsbericht 1997, LT-Drs. 12/2242, S. 14 bis 16). Mit ihrem Eckpunktepapier vom 2. Juni 1999 hat nun die Bundesregierung ihre Position zur Kryptopolitik dargelegt und die Diskussion auf eine neue Grundlage gestellt. Darin unterstreicht die Bundesregierung, dass sie die freie Verfügbarkeit von Verschlüsselungsprodukten in Deutschland nicht einschränken wolle und hebt gleichzeitig die Anwendung einer sicheren Verschlüsselung als eine entscheidende Voraussetzung für die Gewährleistung des Datenschutzes hervor. Diese begrüßenswerten Positionen nahmen die Datenschutzbeauftragten des Bundes und der Länder zum Anlass, mit einer Entschließung zu dieser Thematik an die Öffentlichkeit zu treten (vgl. Anhang 11). Das Eckpunktepapier der Bundesregierung ist ein Schritt in die richtige Richtung, dem aber weitere folgen müssen. Vordringlich ist dabei:

• Das Wissen um die mit der Nutzung moderner Informations- und Kommunikationstechniken verbundenen Risiken muss bei Bürgern, der öffentlichen Verwaltung und der Wirtschaft zunehmen. Denn nur wer um die Gefahren weiß, ist bereit, die notwendigen Sicherheitsmaßnahmen zu treffen.
• Für den Anwender sehr hilfreich ist, wenn eine kompetente, unabhängige und neutrale Stelle Verschlüsselungsprodukte bewertet mit dem Ziel, Verbrauchern Empfehlungen für den Einsatz geben zu können. Ausdrücklich zu begrüßen ist daher, dass das Bundesministerium des Innern inzwischen dem Bundesamt für Sicherheit in der Informationstechnik gestattet, die Öffentlichkeit über die Stärken von Verschlüsselungsalgorithmen zu unterrichten.
• Schließlich sind Anwender aufgerufen, Verschlüsselung in größerem Umgang als dies bislang der Fall war einzusetzen, um zu einer Verbesserung des Datenschutzes bei der Verarbeitung personenbezogener Daten beizutragen.

2.2 Verschlüsselungseinsatz im Land und in Kommunen

Nicht nur auf bundespolitischer Ebene erhält die Verschlüsselung derzeit Rückenwind, auch Land und Kommunen wollen sie verstärkt einsetzen. Beispielhaft hierfür stehen:

• Pilotprojekt des Städtetages zur E-Mail-Verschlüsselung
  Auf Initiative des Städtetages erproben mehrere Dutzend Städte in einem Pilotprojekt, elektronische Postsendungen verschlüsselt via Internet auszutauschen. Da das dabei eingesetzte Programm PGP (Pretty Good Privacy) von Privatpersonen kostenlos genutzt werden darf, ist dieses Produkt nicht nur zum Datenaustausch zwischen Behörden, sondern auch zur Kommunikation zwischen Bürgern und Verwaltung geeignet. Im Zusammenhang mit elektronischen Bürgerdiensten (vgl. Nr. 1) gewinnt dies zunehmend an Bedeutung.
• Rahmenvertrag des Landes zu E-Mail-Verschlüsselungsprodukten
  Das Land verhandelt gegenwärtig über den Abschluss von Rahmenverträgen zum Einsatz von Produkten, die es gestatten, elektronische Postsendungen zu verschlüsseln und digital zu signieren.
• Verschlüsselung im TESTA-Netz
  Seit einiger Zeit gibt es das von einem Privatunternehmen betriebene Computernetz TESTA, das die Verwaltungsnetze der Bundesländer und des Bundes miteinander verbindet. Über dieses Netz sollen Daten verschlüsselt übertragen werden.
• Nutzung der Verschlüsselung beim Outsourcing
  Wie in Nummer 3 dargestellt, kommt der Verschlüsselung auch beim Outsourcing erhebliche Bedeutung zu. Sie steht deshalb bei allen dort beschriebenen Vorhaben auf der Tagesordnung.

Die Datenschutzbeauftragten von Bund und Ländern weisen schon seit Jahren darauf hin, dass die Verschlüsselung eine wichtige Maßnahme ist, um die Vertraulichkeit gespeicherter und via Netz übertragener Daten zu gewährleisten. Vor diesem Hintergrund ist es zu begrüßen, dass diese Überlegungen nunmehr auch bei den Verwaltungen zunehmend Resonanz finden. Die hier genannten Projekte können aber nur einen Einstieg in die Nutzung der Verschlüsselung markieren. Denn bislang ist die Verschlüsselung noch alles andere als ein Selbstläufer. Und auch dort, wo ein Fortschritt zu verzeichnen ist, z. B. bei der E-Mail-Kommunikation des Landes, ist mit der Bereitstellung der Verschlüsselungsmöglichkeiten noch lange nicht sichergestellt, dass alle Daten, deren Verschlüsselung geboten ist, auch tatsächlich verschlüsselt werden. Erst kürzlich wurde in einer kontroversen Diskussion im Arbeitskreis Informationstechnik der Ministerien deutlich, wie groß die Auffassungsunterschiede darüber noch sind, in welchen Fällen elektronische Postsendungen zu verschlüsseln sind und wann darauf verzichtet werden kann.

Angesichts knapper Kassen fällt es der öffentlichen Verwaltung immer schwerer, kostenträchtige EDV-Projekte rasch zu verwirklichen. Abhilfe erhofft sich hier mancher vom Outsourcing des EDV-Betriebes. Dabei wird fast immer ein Unternehmen damit beauftragt, die erforderlichen Computer bereitzustellen, zu betreiben und auf Wunsch auch die Benutzer zu betreuen. Während das Outsourcing in der Vergangenheit für die Landesverwaltung kaum eine Rolle gespielt hat, setzt sie gegenwärtig gleich in zwei großen Projekten auf dieses Pferd: bei der Bürokommunikation und dem Landesverwaltungsnetz. Aber nicht nur im Land, auch bei den Kommunen gewinnt das Outsourcing zunehmend an Bedeutung; das Outsourcing der Krankenhaus-EDV der Städtischen Kliniken Esslingen illustriert dies.

3.1 Outsourcing der Bürokommunikation

Die Möglichkeit, Textverarbeitungsprogramme einzusetzen und elektronische Post auszutauschen, gehört zum A und O heutiger Computerarbeitsplätze und ist zugleich Kernbestandteil der sog. Bürokommunikation (BK). Aber noch längst nicht alle Behörden des Landes verfügen über die dazu notwendige zeitgemäße und den Landesstandards entsprechende Ausstattung. Behörden, die ihre BK-Systeme mit eigenen Mitteln betreiben, können diese oft nur Schritt für Schritt modernisieren. Demgegenüber bietet ihnen das Outsourcing die Möglichkeit, ihre gesamte Ausstattung auf einen Schlag zu erneuern, ohne gleich die vollen Anschaffungskosten tragen zu müssen, weil der Outsourcing-Dienstleister insoweit in Vorleistung tritt. Um den Behörden diesen Weg so leicht wie möglich zu machen, schloss das Innenministerium im vergangenen Jahr einen Rahmenvertrag mit einem Outsourcing-Anbieter ab, auf dessen Grundlage alle Ministerien und ihnen nachgeordnete Behörden das Outsourcing ihrer BK-Systeme diesem in Auftrag geben können. Dabei geht es um bis zu 36 000 BK-Arbeitsplätze. Bislang schlossen das Justiz- und das Wissenschaftsministerium Einzelverträge über das Outsourcing der in beiden Ministerien betriebenen ca. 650 PC sowie der darauf eingesetzten BK-Software ab. Es handelt sich hierbei um Pilotprojekte, in denen beide Seiten praktische Erfahrungen mit dem Outsourcing sammeln wollen. Die vom Auftragnehmer durchzuführenden technischen und organisatorischen Datenschutzmaßnahmen wurden zwar - da deren Erarbeitung erst Teil der Outsourcing-Aufträge war - nicht schon vor Vertragsunterzeichnung ausgehandelt. Die Wirksamkeit des gesamten Vertrages wurde jedoch davon abhängig gemacht, dass der Auftragnehmer ein profundes Datenschutz- und Datensicherheitskonzept vorlegt. Doch damit tat sich der Auftragnehmer bislang sehr schwer. Nachdem zwei frühere Entwürfe dieses Konzepts erhebliche Mängel aufwiesen und nicht akzeptabel waren, liegt jetzt dessen dritte Version vor. Darin gibt das Unternehmen seinen ursprünglichen Plan auf, die Netze der von ihm betreuten Dienststellen mit seinem Unternehmensnetz zu koppeln. Vielmehr beabsichtigt es nun, in Räumen des Landes ein exklusiv für Landesbehörden tätiges Betreuungszentrum einzurichten. Um Protokolldaten besser auswerten zu können, ist der Einsatz eines speziellen Programmes vorgesehen. Außerdem bietet das Unternehmen jetzt an, auf von ihm betreuten PC-Arbeitsplätzen ein Verschlüsselungsprogramm zu installieren, mit dem die Mitarbeiter des Landes schutzbedürftige Daten verschlüsseln können. Zweifellos zielen alle diese Schritte in die richtige Richtung. Gleichwohl weist auch diese Fassung des Datenschutz- und Datensicherheitskonzepts grundlegende Defizite auf:

• Die Festlegung dessen, was das Konzept an Schutz bieten muss, beruht teilweise auf der falschen Annahme, dass mit der Bürokommunikation in der Regel nur Daten der Kategorie "keine personenbezogenen oder nicht schutzbedürftige Daten" bearbeitet werden. Dabei liegt auf der Hand, dass elektronisch gespeicherte Entwürfe oder elektronische Postsendungen sehr wohl Personaldaten oder andere sensible personenbezogene Daten enthalten können. Deshalb sind die technischen und organisatorischen Schutzmaßnahmen an diesem Schutzniveau auszurichten.
• Ein methodischer Mangel der vorgelegten Konzeption liegt darin, dass nicht erkennbar ist, welchen der erkannten Sicherheitsrisiken mit welchen der aufgelisteten Schutzmaßnahmen entgegengewirkt werden soll.
• Trotz des jetzt vorgesehenen Einsatzes eines speziellen Zusatzprogramms zur Auswertung der Protokolldaten bleibt die Protokollierung sicherheitsrelevanter Ereignisse und deren Auswertung unzulänglich. So lässt sich z. B. nicht automatisch erkennen, dass ein Anmeldefehlversuch oder ein anderes sicherheitsrelevantes Ereignis mehrfach kurz hintereinander auftritt. Da aber gerade daraus auf besonders sicherheitsempfindliche Vorgänge geschlossen werden muss, sollten solche Wiederholungen auch automatisch erkannt und bearbeitet werden können. Unklar bleibt auch, in welcher Weise die auftraggebenden Behörden selbst die Protokolldaten lesen und auswerten können.
• Die Verschlüsselung beim BK-Outsourcing soll die von den Behörden verarbeiteten Daten unter anderem auch vor unberechtigten Zugriffen von Mitarbeitern des Outsourcing-Dienstleisters schützen. Das vom Auftragnehmer ausgewählte Verschlüsselungsprodukt wird den an eine solche Verschlüsselung zu stellenden Anforderungen jedoch nicht hinreichend gerecht.
• Auch im Zusammenhang mit den auf Ebene des Betriebssystems zu realisierenden Sicherheitsmaßnahmen sowie dem Teleservice ist noch Manches offen.

Zusammenfassend ist festzustellen, dass das Datenschutz- und Datensicherheitskonzept nach wie vor keinen ausreichenden Schutz insbesondere vor den spezifischen Risiken des Outsourcings bietet. Deshalb wären andere Behörden, die outsourcen wollen, gut beraten, den Betrieb ihrer BK nicht aus der Hand zu geben, solange diese Mängel fortbestehen. Hinsichtlich der Pilotprojekte im Justiz- und im Wissenschaftsministerium ist dafür zu sorgen, dass diese - sei es im Wege des Outsourcings oder wieder durch eigenen Betrieb - möglichst bald auf der Grundlage eines ausreichenden Datenschutz- und Datensicherheitskonzepts betrieben werden.

3.2 Outsourcing des Landesverwaltungsnetzes

Weil immer mehr Behörden Informationen untereinander einfacher und schneller austauschen wollen und die EDV-Ausstattung der Dienststellen zunimmt, wird das Landesverwaltungsnetz (LVN), ein landesweites Computernetzwerk, an das bereits zahlreiche Landesbehörden angeschlossen sind, vermehrt in Anspruch genommen. Der Ausbau des LVN ist deshalb beschlossene Sache. Die Landesverwaltung hatte sich demzufolge mit der Frage zu befassen, ob sie das LVN und dessen über das ganze Land verteilte Netzknotencomputer selbst ausbauen und weiterhin selbst betreiben sollte oder ob ein Outsourcing des LVN-Betriebes günstiger wäre. Nach langem Hin und Her stellte das Land die Weichen in Richtung Outsourcing. Wie beim BK-Outsourcing ergeben sich aber auch bei diesem Vorhaben etliche datenschutzrechtliche Fragen und Probleme, auf die ich im Rahmen meiner Beratungstätigkeit mehrfach hingewiesen habe. Wichtig war dabei insbesondere:

• Anforderung an Verschlüsselung zu vage
  Auch beim Outsourcing eines Computernetzwerks ist dafür zu sorgen, dass der Betreiber keine Kenntnis der über das Netz übertragenen personenbezogenen Daten erhält, soweit dies nicht zur Erfüllung seiner vertraglichen Pflichten erforderlich ist. Folgerichtig forderte das Land vom Auftragnehmer, bei Bedarf auch verschlüsselte Leitungswege zur Verfügung zu stellen. Offen blieb dabei aber, ob der Auftragnehmer oder der Auftraggeber die Schlüssel zu verwalten hat. Da die Verschlüsselung den gewünschten Schutz jedoch nur dann bewirken kann, wenn dem Auftragnehmer nicht auch das Schlüsselmanagement übertragen ist, sollte der Outsourcing-Auftragnehmer damit auch nicht betraut sein.
• Mitbenutzung von Räumen des Landes für geschäftliche Zwecke regeln
  Das Land will einem Schwester-Unternehmen des favorisierten Dienstleisters gestatten, Netzknotencomputer in Räumen des Landes aufzustellen. Diese sollen aber nicht nur der Vernetzung der Dienststellen des Landes, sondern auch anderer Kunden dienen. Wenn in diesem Fall nicht ausgeschlossen ist, dass fremde Personen die vom Land bereitgestellten Räume betreten, sind zusätzliche Sicherungsmaßnahmen nötig. Dazu bedarf es in jedem Fall noch entsprechender vertraglicher Vereinbarungen.
• Datenschutz- und Datensicherheitskonzept präzisieren
  Die Erfahrungen beim Projekt BK-Outsourcing belegen, wie schwer es einem Unternehmen fallen kann, ein Datenschutz- und Datensicherheitskonzept zu erarbeiten, das dem Standard der Landesverwaltung gerecht wird. Damit keine unnötigen Verzögerungen eintreten, habe ich empfohlen, mit diesen datenschutzrechtlichen Anforderungen nicht hinter dem Berg zu halten, sondern sie dem Auftragnehmer, der vertraglich zur Erstellung eines Datenschutz- und Datensicherheitskonzeptes verpflichtet ist, gleich an die Hand zu geben.
• Abnahmemodalitäten genauer beschreiben
  Es ist geplant, die Verantwortung für den Betrieb des LVN schrittweise dem Auftragnehmer zu übertragen, soweit dieser dafür ein Datenschutz- und Datensicherheitskonzept vorlegt. Bislang nicht geregelt, jedoch dringend regelungsbedürftig ist, was geschehen soll, wenn eines oder mehrere der vorgelegten Datenschutz- und Datensicherheitskonzepte trotz Nachbesserungen nicht akzeptabel sind.

3.3 Outsourcing bei Krankenhäusern - die Städtischen Kliniken Esslingen am Neckar

Daten, die Krankenhäuser verarbeiten, gehören zu den sensibelsten Daten überhaupt und bedürfen eines besonderen Schutzes. Dies gilt nicht nur, wenn das Krankenhaus die Daten auf EDV-Systemen im Krankenhaus selbst verarbeitet, sondern auch, wenn es eine externe Stelle zur technischen Durchführung seiner Datenverarbeitung heranzieht. Einen solchen Weg beschritten die Städtischen Kliniken Esslingen am Neckar, indem sie ein in Dresden ansässiges privates Unternehmen mit dem Betrieb ihrer SAP-EDV-Verfahren beauftragten. Hierzu gehören die Verfahren für die Patientenverwaltung, die stationäre und ambulante Abrechnung oder die medizinische Dokumentation. Das Zeitalter der Vernetzung und der Datenkommunikation macht es möglich: Die Rechner, auf denen die sensiblen Krankenhausdaten gespeichert sind, stehen in Dresden; die Mitarbeiter im Krankenhaus in Esslingen rufen von ihren PC aus die Daten ab, lassen sie sich am Bildschirm anzeigen oder verändern sie. Es liegt auf der Hand, dass mit einer solchen Form des Outsourcings zusätzliche Gefahren für den Datenschutz einhergehen, allein schon deswegen, weil die räumliche Entfernung zwischen Krankenhaus und Unternehmen es den Mitarbeitern des Krankenhauses erschwert, vor Ort bei der Firma immer mal wieder nach dem Rechten zu sehen, ob auch alles so ordentlich läuft wie es laufen sollte. Gleichwohl: Von vornherein unzulässig ist der von den Städtischen Kliniken beschrittene Weg nicht. Krankenhäuser in Baden-Württemberg dürfen nach dem Landeskrankenhausgesetz auch eine externe Stelle zur Verarbeitung von Patientendaten heranziehen. Voraussetzung dafür ist allerdings, dass das Krankenhaus die externe Stelle schriftlich beauftragt und in dem Vertrag Gegenstand und Umfang der Datenverarbeitung, etwaige Unterauftragsverhältnisse und die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen regelt.

Als mich die Städtischen Kliniken über ihr Outsourcing-Projekt unterrichteten, bat ich sie, mir die für eine datenschutzrechtliche Beurteilung des Vorhabens relevanten schriftlichen Vereinbarungen mit der Firma zukommen zu lassen. Dies entpuppte sich als ein äußerst mühsames Unterfangen. Auf mein erstes Schreiben reagierten die Städtischen Kliniken erst nach Mahnung; die von mir erbetenen und für eine sachgerechte datenschutzrechtliche Beurteilung erforderlichen Unterlagen übersandten sie erst nach und nach im Laufe von Monaten. Immer wieder musste ich nachhaken. Einen weiteren Fauxpas leisteten sie sich dann durch die Art und Weise, wie sie meine umfangreiche Stellungnahme von Mitte Mai 1999 beantworteten, besser gesagt nicht beantworteten. Nachdem sie sich mit einer Antwort rund 2 Monate Zeit gelassen hatten, begnügten sie sich im Wesentlichen damit, lapidar mitzuteilen, dass die von mir kritisierten Punkte "soweit wie möglich" behoben werden sollen, dass dies aber "noch einige Zeit in Anspruch nehmen wird". Welche Punkte auf welche Weise behoben werden sollen, blieb damit ebenso unklar wie der zeitliche Rahmen, in dem dies geschehen soll. Zudem übersandten die Städtischen Kliniken wieder nicht die von mir erbetenen Unterlagen und waren damit zum wiederholten Male nicht willens oder in der Lage, mir die für eine sachgerechte Prüfung erforderlichen Unterlagen vollständig zur Verfügung zu stellen. Diese wiederholte Weigerung sowie die fehlende Bereitschaft, inhaltlich auf mein Schreiben einzugehen, stellte eine Brüskierung der Datenschutzkontrolle dar und verstieß eklatant gegen die auch den Städtischen Kliniken obliegende Pflicht, mich bei der Ausübung meiner Aufgaben zu unterstützen. Diesen Verstoß habe ich deshalb beanstandet. Erst Ende August 1999 und damit rund 10 Monate nach meinem ersten Schreiben lagen dann die - in der Zwischenzeit nachgebesserten - Unterlagen endlich vollständig vor!

Diese unschönen Begleitumstände vorausgeschickt sind nunmehr aber die eigentlichen inhaltlichen Aspekte und Defizite bei der Datenverarbeitung im Auftrag zu beleuchten:

Besonderes Gewicht für einen wirksamen Datenschutz kommt den beim Einsatz der EDV zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen zu. Abgesehen von der Regelung, dass die Beschäftigten der Firma auf das Datengeheimnis zu verpflichten sind, sowie selbstverständlichen oder nichts sagenden Aussagen enthielt der im August 1997 zwischen den Städtischen Kliniken und der Firma abgeschlossene Vertrag keinerlei Festlegungen darüber, welche technische und organisatorische Sicherheitsmaßnahmen zu treffen sind! Diesen gravierenden Mangel habe ich ebenfalls beanstandet. Insbesondere in folgenden Punkten versäumten es die Städtischen Kliniken ausreichende Sicherheitsmaßnahmen zu vereinbaren; teilweise bestehen die Defizite immer noch:

3.3.1 Fehlendes Weisungsrecht

Bei einer Datenverarbeitung im Auftrag ist unerlässlich festzulegen, wer als Dirigent den Taktstock schwingt und wer Orchester ist. Es gilt: Die Mitarbeiter des Auftragnehmers dürfen nur entsprechend den Weisungen des Auftraggebers tätig werden. Schließlich bleibt der Auftraggeber als Daten verarbeitende Stelle in vollem Umfang für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. Daher muss er die Richtung vorgeben und die Spielregeln definieren. Da ein solches Weisungsrecht aber nicht automatisch vom Himmel fällt, muss sich der Auftraggeber im Vertrag ein Weisungsrecht gegenüber dem Auftragnehmer einräumen lassen. Ein solches suchte man in der Beauftragung der Firma aber vergebens. Erst rund zwei Jahre später holten die Städtischen Kliniken Versäumtes nach.

3.3.2 Zugriff auf personenbezogene Daten nicht unterbunden

Ein wesentliches Ziel des Datenschutzes bei einer Datenverarbeitung im Auftrag ist, dass Mitarbeiter des Auftragnehmers auf personenbezogene Daten nur insoweit zugreifen können, wie dies zur Erfüllung des Auftrags tatsächlich erforderlich ist. Um die EDV-Systeme der Städtischen Kliniken zu betreiben, müssen die Mitarbeiter der beauftragten Firma aber nicht wissen, dass Frau X als Notfall in das Krankenhaus eingeliefert wurde, dass Herr Y sich einer Blinddarmoperation unterziehen musste und dass sich der Krankenhausaufenthalt von Herrn Z wegen akuter Darmbeschwerden verlängerte, was die Kosten des Aufenthalts von soundso viel DM erklärt. Dies alles zu wissen ist für die Mitarbeiter der Firma nicht erforderlich, um den Auftrag zu erfüllen. Für den Betrieb der Krankenhaus-EDV-Systeme benötigt die Firma in der Regel keinen Zugriff auf gespeicherte personenbezogene Daten, insbesondere keinen Zugriff auf die durch die ärztliche Schweigepflicht geschützten, besonders sensiblen Patientendaten. Dabei ist zu berücksichtigen, dass das Landeskrankenhausgesetz in dieser Frage die Anlegung eines besonders strengen Maßstabs verlangt. Mitarbeiter des Auftragnehmers dürfen danach nur aus zwingenden Gründen einen Zugriff auf Patientendaten erhalten.

Tatsächlich verfügte aber eine ganze Reihe von Firmenmitarbeitern über eine jederzeitige Zugriffsmöglichkeit auf gespeicherte Patientendaten; zehn Administratoren waren mit den umfassendsten SAP-Berechtigungen ausgestattet. Da diese Personen gleichzeitig auch noch mit den Aufgaben der Datenbankadministration betraut waren, besaßen sie damit de facto eine jederzeitige und uneingeschränkte Zugriffsmöglichkeit auf sämtliche von den Städtischen Kliniken gespeicherten Daten. Ich habe die Städtischen Kliniken aufgefordert, auf technische Weise - beispielsweise durch eine geeignete Abschottung oder durch eine Verschlüsselung der Daten - sicherzustellen, dass Mitarbeiter des Auftragnehmers nur dann auf gespeicherte Patientendaten zugreifen können, wenn dies zur Erfüllung der Vertragspflichten zwingend erforderlich ist. Gleichzeitig habe ich ihnen mitgeteilt, dass entsprechende Anforderungen wie bei den durch die ärztliche Schweigepflicht geschützten Patientendaten auch für sonstige personenbezogene Daten gelten, zumindest dann, wenn sie besonders schutzwürdig sind. Die Städtischen Kliniken haben mich bislang nicht wissen lassen, ob sie meiner Forderung nachkommen werden. Sie haben lediglich mitgeteilt, dass sie wegen der Jahr-2000-Umstellung erst Anfang nächsten Jahres in der Lage seien, zu diesem und anderen, noch offenen Punkten Stellung zu nehmen.

3.3.3 Fehlende Kontroll- und Prüfrechte durch den Auftraggeber

Damit der Auftraggeber nachprüfen kann, ob der Auftragnehmer auch tatsächlich seinen Pflichten nachkommt und so verfährt, wie es vereinbart ist, benötigt der Auftraggeber Kontrollrechte. Über diese verfügt er natürlich automatisch in seinen eigenen Räumlichkeiten, also im Krankenhaus, nicht dagegen in den Räumlichkeiten der beauftragten Firma. Aus diesem Grund wäre bei einem Vorhaben diesen Ausmaßes und den hiervon berührten personenbezogenen Daten unerlässlich gewesen, in dem mit der Firma abgeschlossenen Vertrag eine Kontrollbefugnis für den Auftraggeber oder von ihm beauftragte Revisoren aufzunehmen, die es ermöglicht, Kontrollen in den Betriebs- und Geschäftsräumen des Auftragnehmers durchzuführen. Festzulegen wäre dabei gewesen, welche Personen Prüfungen durchführen dürfen, wann sie der Firma eine bevorstehende Prüfung ankündigen müssen, wie sie Zugang zu den Betriebs- und Geschäftsräumen der Firma erhalten und in welchem Umfang sie im Rahmen der Vor-Ort-Prüfung tätig werden dürfen. All dies unterblieb freilich. Inzwischen haben die Städtischen Kliniken nachgebessert und den Mangel abgestellt.

3.3.4 Schutz des Krankenhausnetzwerks unzureichend

Eine ausreichende Abschottung des Computernetzwerks der Städtischen Kliniken gegenüber unerwünschten Eindringlingen von außen ist eine wichtige Sache. Ganz gegenüber der Außenwelt abschotten können die Städtischen Kliniken ihr Netzwerk natürlich nicht, denn ansonsten würde allein schon die Datenkommunikation zwischen Esslingen und Dresden nicht mehr funktionieren. Es gilt also das richtige Maß zu finden. Ich habe den Städtischen Kliniken dargelegt, in welchen Punkten die bisher vorgesehenen Maßnahmen unzureichend sind und gleichzeitig Vorschläge unterbreitet, auf welche Weise sich ein ausreichender Schutz erreichen ließe.

3.3.5 Fortschreibung der technischen und organisatorischen Maßnahmen

Getroffene technische und organisatorische Sicherheitsmaßnahmen sind keine einmal festzulegende Größe, die dann zur Salzsäule erstarren und nicht mehr geändert werden sollten. Genau das Gegenteil ist richtig. Im Sinne eines wirksamen Datenschutzes ist unerlässlich, die Sicherheitsmaßnahmen von Zeit zu Zeit auf den Prüfstand zu stellen und sie gegebenenfalls anzupassen. Anpassungen können erforderlich sein, weil sich etwa die eingesetzte Technik verändert hat oder weil mittlerweile noch wirksamere Sicherheitsmaßnahmen verfügbar sind. Im Falle bekannt gewordener neuer Sicherheitslücken ist darüber hinaus sogar eine unverzügliche Reaktion notwendig. Richtig war daher, dass der zwischen den Städtischen Kliniken und der Firma abgeschlossene Vertrag eine Weiterentwicklung der vorgegebenen Sicherheitsmaßnahmen vorsah. Problematisch war aber die Art und Weise, wie dies geschah. Ursprünglich räumten die Städtischen Kliniken der Firma das Recht ein, die Sicherheitsmaßnahmen dem Stand der Technik anzupassen. Weder war dabei aber eine Beteiligung der Städtischen Kliniken vorgesehen noch musste die Firma das Krankenhaus über das, was sie im Einzelnen veränderte, unterrichten, noch die Änderungen schriftlich dokumentieren. Die Befugnis, die die Städtischen Kliniken der Firma einräumte, ging damit viel zu weit. Schließlich ist der Auftraggeber in vollem Umfang für einen wirksamen Datenschutz verantwortlich und muss daher bei der Umsetzung von Sicherheitsmaßnahmen erstens ein Wörtchen mitzureden haben und zweitens wissen, was getan wird. Ich habe den Städtischen Kliniken daher vorgeschlagen, vertraglich zu vereinbaren, dass der Auftragnehmer Vorschläge zur Verbesserung der technischen und organisatorischen Sicherheitsmaßnahmen nach dem Stand der Technik unterbreitet. Änderungen sollen dabei jedoch der vorherigen Zustimmung durch den Auftraggeber bedürfen, sind sodann schriftlich zu dokumentieren und als Vertragsbestandteil zu vereinbaren. Inzwischen erfolgte eine Vertragsanpassung, leider aber in einer unzureichenden Weise. Festgelegt ist nunmehr, dass die getroffenen Sicherheitsmaßnahmen dem Stand der Technik angepasst und dem Auftraggeber zur Kenntnis gebracht werden. Bei kleinen Veränderungen mag dies ja noch angehen. Nicht hinnehmbar ist jedoch, dass der Auftragnehmer nach wie vor berechtigt ist, auch gravierende Änderungen vorzunehmen, ohne sich mit dem Auftraggeber abstimmen oder von diesem eine Genehmigung einholen zu müssen.

3.3.6 Unzureichende Verschlüsselung auf dem Übertragungsweg

Verschlüsselung ist eine wichtige Maßnahme, um für einen ausreichenden Schutz von Daten auf dem Transportweg zu sorgen. Zu begrüßen ist daher, dass die Übertragung der auf den Leitungen zwischen Esslingen und Dresden transportierten Daten verschlüsselt erfolgt. Die Art der Verschlüsselung (DES) und die aufgrund von US-amerikanischen Exportbeschränkungen reduzierte Schlüssellänge des Verfahrens (40 bits), welches die erreichbare Sicherheit noch einmal schmälerte, entsprachen aber nicht dem Stand der Technik und boten nicht das für eine Übertragung sensibler personenbezogener Daten notwendige Sicherheitsniveau. In ihrer Antwort verwiesen die Städtischen Kliniken darauf, dass die Verschlüsselung dem in Europa freigegebenen Standard entspräche. Sie übersahen dabei freilich, dass die Kryptografie in Deutschland nicht reglementiert ist und daher hier zu Lande auch sichere Verschlüsselungsverfahren, die dem Stand der Technik entsprechen, eingesetzt werden dürfen.

3.3.7 Weitere technische und organisatorische Mängel

Schließlich musste ich noch eine ganze Reihe weiterer technischer und organisatorischer Defizite bemängeln. Selbst der Passwortschutz blieb dabei nicht außen vor. Die Umsetzung der allgemein bekannten und anerkannten Regelungen zum Umgang mit Passwörtern müssten bei einem Projekt dieser Bedeutung und Sensibilität eigentlich aber eine Selbstverständlichkeit sein.

Internet und Intranets boomen nach wie vor. Entsprechend groß ist die Facette datenschutzrelevanter Fragestellungen, mit denen sich mein Amt auch in diesem Jahr befassen musste.

4.1 Hacker-Angriffe - nicht nur eine theoretische Gefahr

Berichte über Hacker-Angriffe auf Computer der Universität Tübingen waren für uns Anlass, vor Ort zu ermitteln, was vorgefallen war und wie dies aus datenschutzrechtlicher Sicht zu bewerten ist.

Was war geschehen?

Einem Hacker war es gelungen, über das Internet auf einen Computer des Universitätsrechenzentrums, vier Computer der Fakultät Mathematik sowie eine nicht genau bekannte Zahl weiterer Computer anderer Fakultäten zuzugreifen und dort umfassende Systemverwalterberechtigungen zu erlangen. Dabei war er sehr systematisch vorgegangen:

• Im ersten Schritt spürte er etliche Computer auf, die mit einem Betriebssystem ausgestattet waren, das eine Sicherheitslücke aufwies. Da Computer ganz unterschiedlicher Einrichtungen betroffen waren, erscheint es eher unwahrscheinlich, dass es sich jeweils nur um Zufallstreffer handelte. Denkbar ist, dass der Hacker zum Aufspüren der angreifbaren Computer ein Programm einsetzte, das ganze Teilnetze des Internet und der daran angeschlossenen Intranets systematisch daraufhin untersuchen kann, welche Betriebssysteme und sogar welche Versionen dieser Betriebssysteme auf den an diesen Teilnetzen angeschlossenen Computern eingesetzt werden.
• Nach dem Aufspüren der angreifbaren Computer verschaffte sich der Angreifer in einem zweiten Schritt umfassende Systemverwalterberechtigungen auf diesen Systemen und installierte dort ein frei erhältliches Hacker-Programm. Einmal installiert, lieferte es dem Hacker quasi eine Tarnkappe, indem es die vom Hacker angelegten Dateien so im System versteckte, dass sie normalerweise einem Systemverwalter nicht auffallen und schon gar nicht gewöhnlichen Benutzern. Auch andere Spuren, die ansonsten jeder Benutzer während seiner Aktivitäten am Computer hinterlässt, werden von diesem Programm gezielt unterdrückt. Neben dieser Tarnkappenfunktion bot das Hacker-Programm auch noch eine Schnüffelfunktion: Es gestattete, den gesamten Datenverkehr im lokalen Netzwerk der Universität, an das der gehackte Computer angeschlossen war, rund um die Uhr abzuhören. Wann immer sich jemand über das lokale Netz an einem anderen Computer anmeldete oder auf sein elektronisches Postfach zugriff, speicherte das Hacker-Programm jeweils die anfangs dabei übertragenen Daten. Darunter befanden sich auch Benutzerkennungen und im Klartext übertragene Passwörter. Der Hacker konnte sich diese dann, wann immer er wollte, ansehen und so Benutzerkennungen und Passwörter erfahren, die ihm einen Zugriff auch auf Computer ermöglichten, deren Betriebssystem nicht den ursprünglich ausgenutzten Fehler aufweist.

Auf diese Weise war es ihm möglich, gewissermaßen nach dem Domino-Prinzip Zugriff auf immer mehr Computer zu erlangen. Da die Spuren der Hacker-Angriffe beim Kontrollbesuch zum Teil bereits wieder beseitigt waren, blieb es im Dunklen, auf wie viele Computer der Hacker letztlich hätte zugreifen können. Bedenkt man aber, dass bereits eine auf einem angegriffenen Computer gespeicherte Protokolldatei Informationen über ca. 500 Verbindungen enthielt, so wird erkennbar, dass dem Hacker unter dem Strich die von zahlreichen Benutzern gespeicherten Informationen auf dem Präsentierteller geliefert wurden. Da auf den Computern der Universität auch personenbezogene Daten in vielfältiger Form, beispielsweise in elektronischer Post, gespeichert waren, war der Hacker-Angriff datenschutzrelevant. Folgende Mängel waren im Zusammenhang mit dem Hacker-Angriff festzustellen:

4.1.1 Mängel, die den Angriff erst ermöglichten

Zwei gravierende technische Sicherheitslücken haben den Hacker-Angriff in dieser Form erst möglich gemacht: Der Betrieb von Computern mit fehlerhaftem Betriebssystem und die Nutzung von Programmen, die Benutzerkennungen und Passwörter im Klartext über Netz übertragen.

• Daran, dass Betriebssysteme, wie andere Programme auch, Fehler enthalten, die erst nach und nach bekannt werden, können Anwender in der Regel nichts ändern. Umso wichtiger ist es aber, dass Daten verarbeitende Stellen, vor allem wenn sie die EDV so intensiv nutzen wie eine Universität, organisatorische Vorkehrungen treffen, um nach Bekanntwerden von Sicherheitslücken schnell reagieren zu können. Daran mangelte es jedoch bei der Universität Tübingen.
• Anders sieht es beim Einsatz der Produkte aus, die Passwörter im Klartext übertragen. Hier gibt es vielfach gleichwertige Alternativen, die Passwörter nicht im Klartext übertragen, sondern ein kryptografisch gesichertes Anmeldeverfahren nutzen. Nach Bekanntwerden der Hacker-Angriffe begannen einige Universitätseinrichtungen mit dem Einsatz solcher Produkte. Da dies eine wichtige Maßnahme zur Vermeidung des beschriebenen Domino-Effekts ist, habe ich die Universität aufgefordert, den Einsatz solcher Produkte weiter zu forcieren. Dem will sie nachkommen.

4.1.2 Mängel beim Erkennen und Verfolgen der Hacker-Angriffe

Die Universität hatte nicht genug getan, um Hacker-Angriffe zeitnah erkennen und verfolgen zu können.

• Rasche Reaktion nicht gewährleistet
  Nachdem studentische Mitarbeiter des von den Hacker-Angriffen mitbetroffenen Fachbereichs Mathematik nach entsprechenden Hinweisen einer ausländischen Universität feststellten, dass zwei von ihnen betreute Computer angegriffen worden waren, benachrichtigten sie umgehend die Administratoren anderer Computer. In einigen Fällen unterblieb jedoch diese Meldung, da sie nicht wussten, wer die Computer betreut. Nicht einmal beim Universitätsrechenzentrum gab es eine Liste der EDV-Verantwortlichen der einzelnen Fakultäten und Institute. Zudem stellte sich heraus, dass ein anderer Fachbereich bereits zwei Wochen zuvor Hinweise über Hacker-Angriffe auf die Universität Tübingen erhalten hatte, ohne davon das Universitätsrechenzentrum oder andere Universitätseinrichtungen zu informieren. Ganz offenbar wurden aufgrund unzureichender organisatorischer Vorkehrungen die sicherheitsrelevanten Informationen über Hacker-Angriffe nicht gleich an alle für die Systemsicherheit verantwortlichen Uni-Mitarbeiter weitergeleitet. So gewann der Hacker mehrere Tage Zeit, in denen er sein Tun ungehindert fortsetzen und Daten der Universität ausspähen konnte. Um in solchen Fällen künftig besser gewappnet zu sein, forderte ich die Universität auf, einen Alarmplan auszuarbeiten, dem jeder Systemverwalter entnehmen kann, was er im Fall eines entdeckten Hacker-Angriffs zu tun hat und insbesondere, wen er in einem solchen Falle unterrichten muss. Außerdem schlug ich - um im Falle eines Falles nicht erst lange nach den richtigen Ansprechpartnern suchen zu müssen - die Einrichtung einer Liste vor, in der die Systemverwalter aller Universitätseinrichtungen genannt sind. Die Universität kam dem nach, erarbeitete einen Alarmplan und richtete eine Mailing-Liste ein, die zum Informationsaustausch über sicherheitsrelevante Ereignisse dient.
• Zu wenig Personal für Fragen der IT-Sicherheit
  Im Universitätsrechenzentrum, das ca. 300 eigene Computer betreibt und die betriebsfachliche Aufsicht über alle ca. 8 500 Computer der Universität zu führen hat, wurden die Fragen der IT-Sicherheit von einem Mitarbeiter bearbeitet, der daneben aber auch noch andere Aufgaben wahrzunehmen hat. Zu seinen sicherheitsbezogenen Aufgaben gehört unter anderem,
• aktuelle Meldungen über Sicherheitslücken zu verfolgen,
• die Fakultäten und Institute in Fragen der IT-Sicherheit zu beraten,
• die uni-interne Mailing-Liste zum Thema IT-Sicherheit zu betreuen,
• an der Erarbeitung und Umsetzung von Sicherheitskonzeptionen mitzuwirken,
• sicherheitsrelevante Ereignisse im Bereich der Universität zu untersuchen sowie
• das Geräte- und Verfahrensverzeichnis des Rechenzentrums zu führen.

• Computerbetreuung - Theorie und Wirklichkeit
  Dem Universitätsrechenzentrum obliegt, so will es das Universitätsgesetz, "die Betreuung aller der Universität verfügbaren Datenverarbeitungskapazitäten und die betriebsfachliche Aufsicht über alle Rechenanlagen in der Universität". Trotz dieses unmissverständlichen Wortlauts sah es das Rechenzentrum nicht als seine Aufgabe an, alle Computer der Uni zu betreuen und für sie die betriebsfachliche Aufsicht zu übernehmen. Es mag nun dahingestellt sein, ob es organisatorisch stets die beste Lösung ist, die Verantwortung für alle Universitätscomputer dem Rechenzentrum zuzuweisen. Entscheidend ist aber, dass es eine klare Regelung der Verantwortlichkeiten für die Betreuung und die betriebsfachliche Aufsicht über die Computer der Universität geben muss, denn dies stellt eine grundlegende Voraussetzung dafür dar, dass die Universität ausreichende technische und organisatorische Schutzmaßnahmen für alle automatisierten Verfahren ergreift, mit denen personenbezogene Daten verarbeitet werden. Unzulänglich war daher in jedem Fall, dass auf dem Papier eine klare Verantwortlichkeitsregelung getroffen war, die jedoch in der Praxis nicht angewandt wurde. Die Universität will es jedoch gleichwohl beim Status quo belassen. Bleibt zu hoffen, dass sich im weiteren Gespräch hierüber noch eine Wendung ergibt.

4.2 Was muss der Provider tun?

Neben ihrer lange Zeit eigentlichen Domäne, nämlich dem Betrieb von Großrechneranwendungen und Datennetzen, beschäftigen sich viele Rechenzentren inzwischen intensiv mit dem Thema Internet. So auch das Rechenzentrum Region Stuttgart des Zweckverbands Regionale Datenverarbeitung Region Stuttgart (KDRS/RZRS), das als Internet-Provider seinen Kunden, wie Städten oder Gemeinden, den Zugang zu dem weltweiten Datennetz ermöglicht. Bei einem Besuch überprüften wir die dabei getroffenen Sicherheitsmaßnahmen und stellten Folgendes fest:

• Durch eine Firewall schottete das Rechenzentrum das von ihm betriebene regionale Datennetz vom Internet ab. Dabei konnte jeder, der an einem für die Internet-Nutzung freigeschalteten PC arbeiten durfte, sämtliche für diesen PC freigegebenen Internet-Dienste nutzen, auch wenn er gar nicht alle für die Erledigung seiner dienstlichen Aufgaben benötigt und die umfassende Nutzungsmöglichkeit ihm deshalb gar nicht hätte eingeräumt werden dürfen. Eine Möglichkeit, nach Nutzern zu differenzieren, bestand nicht. Ich habe daher das Rechenzentrum aufgefordert, die Firewall so einzurichten, dass eine solche Differenzierung möglich ist. Das Rechenzentrum hat inzwischen mitgeteilt, es werde eine benutzerbezogene Steuerung für die Kunden umsetzen, die dies ausdrücklich wünschen.
• Das Rechenzentrum vermittelt nicht nur die Auffahrt auf das weltweite Internet, sondern hält auch eigene Informationsangebote zum Abruf im Internet bereit. Diese Angebote speicherte das Rechenzentrum auf seinem Firewall-Rechner. Ein wichtiger Grundsatz bei der Gestaltung einer Firewall-Lösung besagt aber, dass der Firewall-Rechner nur für die Aufgaben eingesetzt werden sollte, die er unbedingt erbringen muss. Dies sind im Wesentlichen die Filterung und Weiterleitung von Datenpaketen sowie die Protokollierung, nicht dagegen die Speicherung von Angeboten. Je weniger Aufgaben ein Rechner erbringen muss, desto weniger Programme sind auf ihm zu installieren mit der Folge, dass der Firewall-Administrator den Rechner besser überwachen kann. Je weniger Programme auf dem Firewall-Rechner ablaufen, desto geringer wird auch die Gefahr von Programmfehlern, die im schlimmsten Fall dazu führen können, dass mehr Daten als erlaubt zwischen dem regionalen Datennetz und dem Internet fließen. Inzwischen speichert das Rechenzentrum seine Internet-Angebote auf einem separaten Rechner.
• Sofern ein Firewall-Rechner nicht ausschließlich lokal vor Ort, sondern auch aus der Ferne administriert wird, sollten die über Datenleitung ausgetauschten Administrationsdaten aus Sicherheitsgründen generell verschlüsselt übertragen werden. Beim KDRS/RZRS war dies nicht der Fall. Inzwischen hat es eine Verschlüsselungslösung in Aussicht gestellt.
• Ein ordentliches schriftliches Sicherheitskonzept ist unverzichtbar, wenn es um die mit erheblichen Risiken für den Datenschutz und die Datensicherheit einhergehende Anbindung an das Internet geht. Aus dem Sicherheitskonzept müssen der vorgesehene Nutzungsumfang, die mit der Anbindung einhergehenden Risiken und die zur Beseitigung der Risiken erforderlichen Sicherheitsmaßnahmen hervorgehen. Zwar verfügte das Rechenzentrum über ein schriftliches Sicherheitskonzept. Dieses war aber unvollständig und teilweise fehlerhaft. Sein Nutzwert war daher eingeschränkt. Diesen Mangel habe ich beanstandet. Das Rechenzentrum hat Abhilfe zugesagt.

4.3 Was muss der Anwender beachten?

Wer sein eigenes Computernetzwerk über einen Provider an das Internet anschließen möchte, darf sich nicht nur auf die vom Provider getroffenen Sicherheitsmaßnahmen verlassen. Eigene Anstrengungen sind unverzichtbar. Diese können jedoch umso geringer ausfallen, je mehr Sicherheit der Provider bietet. Einem Landkreis habe ich, als ich vom Personalrat eines Kreiskrankenhauses gebeten wurde, mich zu den datenschutzrechtlichen Aspekten einer solchen Anbindung zu äußern, Folgendes mitgeteilt:

• Die Nutzung des Internet-Dienstes World Wide Web kann dazu führen, dass ohne Zutun des Nutzers Programme auf den eigenen PC geladen werden und dort ablaufen (sog. ActiveX-Controls oder Java Applets). Klar, dass damit Sicherheitsrisiken einhergehen, weil ein solch fremdes Programm natürlich auch Schaden stiftende Funktionen enthalten kann. Zur Begrenzung der Risiken verfügt die Java-Technologie - anders als ActiveX - über eine Sicherheitsarchitektur, deren Umsetzung in der Vergangenheit jedoch immer wieder zu wünschen übrig ließ. Da in aller Regel zentrale Firewall-Lösungen ActiveX-Controls und Java Applets nicht herausfiltern, gilt für den Anwender die Devise: Er selbst muss die PC, die über einen Zugang zum Internet verfügen, sicher konfigurieren. Die ActiveX-Unterstützung sollte er gänzlich abschalten; ein restriktiver Umgang empfiehlt sich auch bei Java.
  Weitere Gefahren drohen auch durch JavaScript. Hierbei können JavaScript-Befehle in die WWW-Seite eingebaut werden, die ausgeführt werden, sobald der Nutzer die Seite aufruft. Es empfiehlt sich, die JavaScript-Unterstützung im Browser abzuschalten, wenn im Internet gearbeitet wird.
• Dateiverzeichnisse dürfen nicht für einen Zugriff über das Netz freigegeben werden. Unverzichtbar ist zudem, für einen ausreichenden Virenschutz zu sorgen, auch wenn der Provider entsprechende Vorsorge betreibt. Denn verschlüsselte elektronische Post kann der Provider natürlich nicht auf Viren überprüfen. Das ist erst nach der Entschlüsselung der elektronischen Post beim Adressaten möglich.
• Unverzichtbar ist schließlich, dass nur solche Beschäftigte Zugang zu Internet-Diensten erhalten, die über die mit der Nutzung des Internet einhergehenden Risiken und erforderlichen Sicherheitsmaßnahmen ausreichend unterrichtet sind. Denn nur wenn ein ausreichendes Sicherheitsbewusstsein vorhanden ist, kann davon ausgegangen werden, dass die Nutzer selbst ihrerseits das Erforderliche beachten und tun.
  
  

Computer sind aus dem Berufsalltag und zunehmend auch aus dem privaten Bereich nicht mehr wegzudenken. Texte mit dem PC zu schreiben oder Adressen zu verwalten, ist heutzutage für Viele selbstverständlich. Der Anschluss an das Internet eröffnet zusätzliche Möglichkeiten: Der Austausch elektronischer Post, E-Commerce, die Erledigung von Bankgeschäften oder der Abruf von Informationen erschließen weitere Lebensbereiche. Bei allen diesen elektronischen Aktivitäten die Privatsphäre der Nutzer zu wahren, ist ein wichtiges Anliegen des Datenschutzes. Dazu gehört, dass der Nutzer weiß, wann welche Angaben dabei über ihn anfallen, wie sie verarbeitet werden sollen und was er selbst tun kann, um solche persönlichen Datenspuren zu vermeiden oder deren Umfang zumindest zu begrenzen. In der Praxis macht dies freilich Mühe. Die moderne Hard- und Software präsentiert sich demjenigen, der von ihren vielfältigen Möglichkeiten Gebrauch machen will, häufig als bunte Fassade mit einem Konglomerat aus ansprechenden Schriftarten, komfortabler Mausbedienung, vielen Masken und unzähligen Einstellmöglichkeiten. Den Überblick darüber zu behalten, welche Einstellungen denn nun für die Privatsphäre relevant sind und an welcher Schraube wie zu drehen ist, um sie möglichst gut zu wahren, fällt allein schon aufgrund des großen Funktionsumfangs der Produkte oft nicht leicht. Hinzu kommt, dass immer wieder Produkte entwickelt und am Markt angeboten werden, deren Abläufe selbst für Fachleute, geschweige denn für die breite Masse der Nutzer, die keine EDV-Spezialisten sind, kaum nachvollziehbar sind. Wie schwer es ist, Spuren zu vermeiden, illustrieren folgende Beispiele:

5.1 Was Texte so alles verraten können

Ein brauchbares Textverarbeitungsprogramm gehört zur Grundausstattung eines jeden Computerarbeitsplatzes, ob im Büro oder zu Hause. Wer Texte erstellt, konzentriert sich in aller Regel auf den Inhalt und ist froh, wenn sie endlich seinen Vorstellungen entsprechen. Textdokumente können aber weit mehr Informationen enthalten als das, was sich schwarz auf weiß dem Ausdruck entnehmen lässt. So können Textdokumente, die mit dem weit verbreiteten Textverarbeitungsprogramm Word 97 erstellt werden, einiges über ihren Ersteller und ihre Entstehungsgeschichte verraten. Problematisch kann dies bei der Weitergabe eines Textes oder dessen Veröffentlichung, beispielsweise im Internet, sein, weil die Adressaten Interna, die über den reinen Textinhalt hinausgehen, in aller Regel nichts angehen:

• Autorenname:
  In Word lässt sich ein Autorenname hinterlegen, der, einmal eingegeben, mit jedem neu erstellten Word-Textdokument verknüpft wird. Bei der Weitergabe eines Textes oder seiner Veröffentlichung kann freilich unerwünscht sein, dass der Empfänger oder derjenige, der den Text abruft, sogleich auch den Namen des Autors erfährt. Das lässt sich verhindern, wenn der Ersteller des Textes vor der Weitergabe oder vor der Veröffentlichung den mit diesem Text verknüpften Autorennamen verändert, indem er ihn mit einer nicht sprechenden Zeichenkette belegt, die keinen Personenbezug aufweist. Weil dies leicht einmal vergessen werden kann, kann man auch den Autorennamen in Word von vornherein mit einer nicht sprechenden Zeichenkette belegen.
• Diverse Angaben zum Textdokument:
  Wer ein Word-Textdokument erhält, kann abrufen, wann das Textdokument erstellt und wann es zuletzt geändert, geöffnet und gedruckt wurde. Zudem lässt sich abrufen, wie oft die Datei gespeichert wurde und wie viele Minuten sie zur Bearbeitung geöffnet war. Diese Angaben verraten einiges über die Entstehung des Textdokuments. Die Anzahl der Dateispeicherungen lässt z. B. einen Rückschluss zu, wie häufig der Ersteller über dem Text gebrütet und ihn überarbeitet hat. Verändern oder löschen kann der Nutzer diese Angaben nicht. Wer bei der Weitergabe oder der Veröffentlichung eines Textes dem Bekanntwerden dieser Interna vorbeugen will, dem bleibt deshalb nichts anderes übrig, als das Textdokument unter einem neuen Namen zu speichern. Die Angaben, wann das Textdokument erstellt und wann es zuletzt geändert und geöffnet wurde, werden dabei aktualisiert. Zudem wird die Anzahl der Dateispeicherungen zurückgesetzt.
• Änderungsfunktion:
  Die sog. Änderungsfunktion kann nützlich sein, wenn mehrere Personen an der Erstellung eines Textes mitwirken. Wird sie eingeschaltet, so lässt sich dem Textdokument entnehmen, wer wann welche Textpassage eingegeben hat. Was im Rahmen eines internen Dienstbetriebs durchaus sinnvoll sein kann, wird bei der Weitergabe eines Textes an eine andere Stelle oder bei dessen Veröffentlichung freilich problematisch, weil den Empfänger in aller Regel nichts angeht, auf welche Weise der Text entstanden ist. Hier hilft: Die Änderungsfunktion ausschalten und den Textinhalt in ein neues Textdokument kopieren. Denkbar ist natürlich auch, die Änderungsfunktion von vornherein erst gar nicht einzuschalten.
• Textversionen:
  Insbesondere dann, wenn ein Autor an langen oder komplizierten Texten feilt, ist er mitunter froh darüber, dass er mit Word mehrere unterschiedliche Versionen eines Textes in einem einzigen Textdokument gemeinsam verwalten kann. Will er den Text weiterbearbeiten, so kann er sich zunächst die unterschiedlichen Textversionen am Bildschirm anzeigen lassen. Um den Überblick zu behalten, werden zu jeder Version automatisch Datum und Uhrzeit der Erstellung angezeigt. Zudem kann der Ersteller jede Textversion noch mit einem Kommentar versehen, der hilfreich sein kann, um zu erkennen, worin sich die Textversionen denn nun im Einzelnen unterscheiden. Hat der Ersteller schließlich dem Text den letzten Schliff gegeben, so sollte er vor dessen Weitergabe oder Veröffentlichung tunlichst darauf achten, nur die aktuelle Version beizubehalten und die anderen zu löschen. Ansonsten würde er nämlich neben der endgültigen Fassung des Textes auch gleich noch dessen Rohversionen mitliefern.
• Verborgene Informationen:
  Wer sein Word-Textdokument mit Hilfe eines sog. ASCII-Editors genauer unter die Lupe nimmt, kann einige Überraschungen erleben. Denn in Word-Textdokumenten können auch Angaben enthalten sein, die bei der regulären Bearbeitung des Textes mit Hilfe von Word nicht am Bildschirm angezeigt werden und die im Text nichts zu suchen haben. Dazu gehören die Namen der Rechner und Verzeichnisse, auf denen und in denen die Datei gespeichert wurde. Schon dies kann unerwünscht sein, weil es Aufschluss über die interne Organisation der Datenverarbeitung gibt. Aber es gibt noch Gravierenderes: Wer eine Textpassage löscht, geht selbstverständlich davon aus, dass sie nicht mehr im Textdokument gespeichert ist. Schließlich wird sie ja auch nicht mehr am Bildschirm angezeigt. Bereits gelöschte Textteile können aber nach wie vor im Textdokument gespeichert sein.
  Um dem vorzubeugen, sollte der Nutzer die sog. Schnellspeicherungsfunktion abschalten. Alle Probleme beseitigt dies freilich nicht. Wer vor der Weitergabe oder der Veröffentlichung eines Textes auf Nummer sicher gehen will, dass keine unerwünschten Angaben im Textdokument enthalten sind, dem bleibt nicht anderes übrig, als den Text mit Hilfe eines ASCII-Editors akribisch zu untersuchen. Stellt er dabei Unerwünschtes fest, dann sollte er den Text in einem anderen Dateiformat abspeichern. Ein voller Erfolg ist damit freilich nicht garantiert.

5.2 Die eindeutigen Nummern

Die Privatsphäre ist nicht nur dann tangiert, wenn der Nutzer Angaben hinterlässt, die ihn unmittelbar identifizieren, wie etwa seinen Namen, Vornamen und seine Anschrift. Sie kann auch schon dann berührt sein, wenn er eine eindeutige Nummer hinterlässt, auch wenn diese, für sich allein genommen, keinen Rückschluss auf eine bestimmte Person ermöglicht. Denn wer einmal davon erfährt, welche Person welche Nummer verwendet, der kann in zukünftigen Fällen, auch wenn er nur die Nummer erhält, auf den Nutzer rückschließen. Solche eindeutigen Nummern gerieten dieses Jahr gleich zweimal in die Schlagzeilen:

• Seit Anfang dieses Jahres sind Personal Computer erhältlich, die mit dem neuen Prozessor Pentium III bestückt sind. Bereits bei der Herstellung wird dieser Prozessor mit einer eindeutigen Seriennummer versehen, die sich mit Hilfe von Programmbefehlen auch wieder auslesen und über Datennetze übermitteln lässt. Datenschützer übten weltweit teilweise scharfe Kritik an dieser Seriennummer; die Proteste gipfelten sogar in Boykottaufrufen einzelner US-amerikanischer Datenschutzgruppen. Anlass für die Kritik war die Befürchtung, dass eine solche eindeutige Seriennummer, die den Prozessor und damit den PC identifiziert, sich auch dazu verwenden lässt, Nutzerprofile zu erstellen. Denn wem einmal die Zuordnung zwischen einer eindeutigen Nummer und einer Person bekannt wird, weil etwa der Nutzer auf einer Internet-Seite seinen Namen hinterlässt, um Informationsmaterial anzufordern, der kann in zukünftigen Fällen allein anhand der Nummer auf die Person rückschließen. Stand der Dinge ist nunmehr, dass sich das Auslesen der Seriennummer wenigstens abschalten lässt; PC-Hersteller können ihre Computer auch gleich in diesem Zustand ausliefern.
• Kaum flaute die Diskussion um den Pentium III-Prozessor ab, kam anderes im Zusammenhang mit dem Computerbetriebssystem Windows 98 ans Licht. Der Hersteller dieser Software bietet den Anwendern die Möglichkeit, das Produkt entweder auf herkömmliche Weise per Post oder auch online registrieren zu lassen. Wer davon Gebrauch macht, den unterrichtet der Hersteller beispielsweise über Progammverbesserungen. Bei der Online-Registrierung wurde neben den eigentlichen Registrierungsinformationen auch gleich noch eine bei der Installation des Betriebssystems erzeugte eindeutige Nummer, die den zugehörigen PC identifiziert, heimlich an den Hersteller übertragen. Nachdem dieser Umstand in der Öffentlichkeit bekannt wurde und für einigen Wirbel sorgte, überarbeitete der Hersteller sein Registrierungsprogramm so, dass die eindeutige Nummer nicht mehr heimlich übertragen wird.
  
  Dies war aber noch nicht alles. Auch weitverbreitete Standardprogramme des gleichen Herstellers, wie das Textverarbeitungsprogramm Word oder das Tabellenkalkulationsprogramm Excel, können eindeutige Nummern erzeugen und in Dokumenten, die mit diesen Programmen erstellt wurden, speichern. Nun liegt es bei der Weitergabe oder der Veröffentlichung eines mit Word geschriebenen Textes oder einer mit Excel erzeugten Tabelle aber beileibe nicht im Interesse eines Dokumentenerstellers, dem Empfänger stets eine eindeutige Nummer mitzuliefern, durch die er unmittelbar auf den PC, auf dem das Dokument erstellt wurde, und unter Umständen auch auf den Ersteller rückschließen kann, auch wenn aus der erhaltenen Datei selbst nicht hervorgeht, wer sie erstellte. Inzwischen bietet der Hersteller ein Korrekturprogramm an, das verhindert, dass die Nummer in den Dokumenten gespeichert wird. Ein zweites löscht die Nummer aus bereits erstellten Dokumenten. Datenschutzbewussten Anwendern ist zu raten, von diesen Programmen rege Gebrauch zu machen.

5.3 Was ist vonnöten?

Um im Zeitalter der Vernetzung den gläsernen Nutzer zu verhindern, der nicht mehr überblickt, wer über welche Informationen über ihn verfügt, ist zweierlei unverzichtbar: Computersysteme sollten von vornherein so konstruiert sein, dass möglichst keine oder so wenig Datenspuren wie möglich über die Nutzer anfallen (vgl. 18. Tätigkeitsbericht 1997, LT-Drs. 12/2242, S. 11 ff.). Da dies leider nur allzu häufig nicht der Fall ist, erlangt besondere Bedeutung, dass der Nutzer nachvollziehen kann, wann welche Angaben über ihn anfallen, gespeichert oder über Datennetze übertragen werden sollen. Nur dann ist er in der Lage, auch selbst steuernd in die Datenverarbeitung einzugreifen und beispielsweise einer vorgesehenen Übertragung persönlicher Angaben über das Internet einen Riegel vorzuschieben. Transparenz über die in den Computersystemen aus Hard- und Software ablaufenden datenschutzrelevanten Vorgänge ist also das Gebot der Stunde. Hinzu kommen müssen Sicherheitsfunktionen, die es dem Nutzer ermöglichen, die Zügel selbst in die Hand zu nehmen und seine Privatheit in dem von ihm gewünschten Maße zu schützen. Voraussetzung für all dies sind freilich entsprechende marktgängige Produkte. Die Datenschutzbeauftragten des Bundes und der Länder haben diese wichtige Thematik zum Anlass genommen, in einer Entschließung die Entwicklung und den Einsatz derartiger Hardware und Software zu fordern (vgl. Anhang 14). Bleibt zu hoffen, dass sich die Datenschutzfreundlichkeit von Produkten mehr und mehr zu einem Wettbewerbsfaktor entwickelt.

Es ist manchmal schon recht ernüchternd, wenn wir bei unseren Kontrollen vor Ort immer wieder die gleichen, auch in unseren Tätigkeitsberichten schon wiederholt beschriebenen Mängel feststellen müssen. Ganz besonders treffen wir solche Defizite bei den technischen und organisatorischen Sicherheitsmaßnahmen an, und zwar auf allen Ebenen und querbeet im gesamten Kontrollbereich. Die nachstehende, keineswegs vollständige Aufzählung von im Berichtsjahr festgestellten Mängeln zeigt dies beispielhaft. Ganz offensichtlich schenken die öffentlichen Stellen im Lande, aus welchen Gründen auch immer, dem technisch-organisatorischen Datenschutz noch immer nicht die Beachtung, die ihm eigentlich zukommt, obwohl doch gerade die fortschreitende Computerisierung und Vernetzung und die damit verbundenen Missbrauchsmöglichkeiten und Risiken dazu allen Anlass böten. Wesentliche Verbesserungen scheinen mir nur erreichbar, wenn sich vor Ort mehr als bisher sachverständige, engagierte Mitarbeiterinnen und Mitarbeiter dieser wichtigen Aufgabe stellen.

6.1 Probleme mit dem Telefax

Gleich mehrfach wandte sich eine in Stuttgart ansässige Firma an meine Dienststelle, da sie binnen kürzester Zeit von drei verschiedenen Stellen des Landes eine Reihe von Telefaxsendungen erhielt, die sämtlich eigentlich für die Landesoberkasse in Karlsruhe bestimmt waren. In einem Fall gingen der Firma auch personenbezogene Daten zu. Auf der von der Verwaltung des Landtags initiierten Fehlsendung waren fünf Landtagsabgeordnete mit Name, Vorname, Kontonummer und einem Geldbetrag aufgeführt, den sie für EDV-Anschaffungen erhielten.

Ausgelöst wurde diese Fehlsendung wie so oft durch einen Bedienungsfehler. Bei einem an einer Nebenstellenanlage angeschlossenen Telefaxgerät ist es notwendig, zunächst eine bestimmte Taste zu betätigen, um eine Amtsleitung zu erhalten. Meist ist dies die "0", so auch beim Telefaxgerät der Landtagsverwaltung. Um ein Telefax nach Karlsruhe zu versenden, wäre folglich zunächst eine "0" für die Amtsleitung und sodann die "0721" als Vorwahl für Karlsruhe zu wählen gewesen. Tatsächlich aber unterblieb die Wahl der ersten "0" mit der Folge, dass die Sendung nicht in Karlsruhe, sondern bei der Firma in Stuttgart landete.

Das gleiche Problem zeigte sich bei der Kontrolle in einer Justizvollzugsanstalt. Deren Telefaxgerät war ebenfalls an eine Nebenstellenanlage angeschlossen, und auch hier musste bei Verbindungen ins öffentliche Netz jeweils eine zusätzliche "0" vorgewählt werden. Dem Sendejournal des Telefaxgeräts war zu entnehmen, dass sich der jeweilige Absender manchmal erst nach Auftreten eines Übertragungsfehlers daran erinnerte, dass noch eine zusätzliche "0" zu wählen ist. Außerdem deuteten einige Einträge im Sendejournal darauf hin, dass auch Sendungen der Justizvollzugsanstalt aufgrund der fehlenden zusätzlichen "0" zu Irrläufern wurden.

Angesichts dieser immer wieder auftretenden Mängel beim Umgang mit dem Telefax und dem sich dabei ergebenden erhöhten Risiko von Fehlleitungen erinnerte ich daran, dass Unterlagen mit personenbezogenen Daten grundsätzlich nicht per Telefax übertragen werden sollten. Sofern wegen einer besonderen Eilbedürftigkeit in einem Ausnahmefall doch einmal eine Übertragung per Telefax unerlässlich ist, ist - etwa durch Kontrolle der gewählten Empfangsnummer in der Anzeige des Telefaxgeräts - peinlich genau darauf zu achten, dass tatsächlich der richtige Empfänger die Daten erhält. Schließlich ist angezeigt, an den Telefaxgeräten jeweils deutlich wahrnehmbare Hinweise anzubringen, dass zunächst stets eine führende "0" vorzuwählen ist. Die Landtagsverwaltung und die Justizvollzugsanstalt wollen dem Rechnung tragen.

Weitere Informationen zum datenschutzgerechten Umgang mit Telefax-Geräten sind unserem Merkblatt "Datensicherheit beim Telefax" zu entnehmen, das über das Internet-Angebot meiner Dienststelle unter http://www.baden-wuerttemberg.datenschutz.de abgerufen oder in gedruckter Form bei meiner Dienststelle angefordert werden kann.

6.2 Mängel bei der Zutrittskontrolle

Um unberechtigte Personen davon abzuhalten, dass sie sich an Servern, Routern oder Modems zu schaffen machen, sind derartige Geräte möglichst in einem separaten, abschließbaren Raum unterzubringen. Zugang zu den Geräten dürfen nur diejenigen erhalten, die sie administrieren. Ein Kreiskrankenhaus stellte einen Server sowie das Fernwartungsmodem samt Fernwartungsprotokollierungseinrichtung in seinem Labor frei zugänglich auf. In einem Landratsamt war zwar ein separater Serverraum vorhanden. Dieser Raum war aber gegenüber den angrenzenden Räumen teilweise nur durch Schränke oder Trennwände abgeteilt, die nicht bis zur Decke reichten.

6.3 Mängel bei der Freigabe und dem Betrieb eines Verfahrens

Die Verarbeitung personenbezogener Daten darf nur mit Hilfe sorgfältig getesteter und von der Dienststelle schriftlich für den Echtbetrieb freigegebener EDV-Verfahren erfolgen. Anders ging ein Landratsamt vor. Es setzte ein EDV-Verfahren ein, das sich zum Zeitpunkt unseres Besuchs nach den Angaben des Landratsamts noch im "Teststadium" befand und noch nicht zum Echteinsatz freigegeben war. Wohin es führen kann, wenn man Testbetrieb und Echtbetrieb nicht klar voneinander abgrenzt, zeigte sich dann auch gleich: Im Echtdatenbestand speicherte das Landratsamt auch einige Testdaten. Neben der fehlenden Freigabe war dies ein weiterer Mangel, besteht bei einer solchen Vorgehensweise doch die Gefahr, dass Testdaten irrtümlich als Echtdaten verarbeitet werden. Inzwischen hat das Landratsamt die Testdaten gelöscht und das Verfahren schriftlich für den Echteinsatz freigegeben.

6.4 Dokumentation unvollständig

Die baden-württembergischen Justizvollzugsanstalten arbeiten mit mehreren vom Justizministerium entwickelten Verfahren zur Verarbeitung der Gefangenen- und der Besucherdaten. Bei unseren Kontrollbesuchen in den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall stellte sich heraus, dass diese Verfahren über Funktionen verfügten, die in der Verfahrensdokumentation überhaupt nicht genannt waren. Nicht beschrieben waren beispielsweise die Auskunftsfunktionen, mit deren Hilfe Gefangenendaten nur gelesen, nicht aber verändert werden konnten. Nicht beschrieben - und dies war wesentlich gravierender - waren auch die Funktionen, mit deren Hilfe jeder Benutzer die für ihn vorgesehenen Zugriffsbeschränkungen hätte umgehen und auf Daten, die er nicht für seine dienstlichen Aufgaben benötigt, hätte zugreifen können.

Die Unvollständigkeit der Dokumentation erschwerte nicht nur die Kontrolle unnötig. Sie ist auch für die Stelle, die die EDV-Verfahren einsetzt, ein gravierendes Manko. Ohne vollständige Dokumentation kann sie ihrer Aufgabe, die notwendigen technischen und organisatorischen Datenschutzmaßnahmen festzulegen, nicht nachkommen. Die unvollständige Dokumentation stellte daher einen datenschutzrechtlichen Mangel dar. Das Justizministerium hat mitgeteilt, dass es zu diesem und einer ganzen Reihe weiterer bei den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall festgestellter Mängel, die ich ihm Mitte September mitgeteilt habe, voraussichtlich erst im Februar oder März nächsten Jahres antworten kann. Auch so kann man demonstrieren, für wie wenig gravierend man Datenschutz- und Datensicherheitsmängel hält.

6.5 Mängel beim Verfahrensverzeichnis

Jede Stelle, die personenbezogene Daten mit Hilfe eines EDV-Verfahrens verarbeiten will, muss mit der Aufnahme des Echtbetriebs in dem sog. Verfahrensverzeichnis schriftlich dokumentieren, welche personenbezogenen Daten es aufgrund welcher Rechtsgrundlage mit dem EDV-Verfahren verarbeiten darf, welche Personen von der Verarbeitung der Daten betroffen sind, welche anderen Stellen welche Daten regelmäßig erhalten, wann welche gespeicherten Daten zu sperren bzw. zu löschen sind, wer mit welchen Zugriffsrechten auf welche gespeicherten Daten zugreifen darf und welche technischen und organisatorischen Sicherheitsmaßnahmen getroffen sind. Eine solche schriftliche Dokumentation ist allein schon deswegen notwendig, damit die Stelle selbst den Überblick darüber behält, was sie mit Hilfe der EDV eigentlich tut und welche Daten sie auf welche Weise verarbeitet. Nach wie vor tun sich die öffentlichen Stellen mit diesem Verfahrensverzeichnis sehr schwer (siehe dazu auch meinen 18. Tätigkeitsbericht 1997, LT-Drs. 12/2242, S. 27 sowie 19. Tätigkeitsbericht 1998, LT-Drs. 12/3480, S. 92). Das Kreiskrankenhaus Freudenstadt führte überhaupt kein Verfahrensverzeichnis; die Verfahrensverzeichnisse der Regierungspräsidien Karlsruhe und Freiburg, der Justizvollzugsanstalten Ravensburg und Schwäbisch Hall sowie des Landratsamts Schwäbisch Hall waren unvollständig und enthielten teilweise nichts sagende Angaben.

6.6 Unzureichende oder gar fehlende Löschfunktionen

Die exaktesten Festlegungen, wann welche Daten zu löschen sind, nützen nichts, wenn das EDV-Verfahren keine oder keine praxistauglichen Löschfunktionen zur Verfügung stellt. Die Daten verarbeitenden Stellen dürfen daher nur EDV-Verfahren für die Verarbeitung von personenbezogenen Daten einsetzen, die über geeignete Löschfunktionen verfügen. Das war nicht der Fall bei einem EDV-System eines Kreiskrankenhauses sowie bei einem landeseinheitlichen EDV-Verfahren zur Verarbeitung von Daten von Asylbewerbern.

6.7 Unzureichende Eingabekontrolle

Um einer missbräuchlichen Verwendung personenbezogener Daten wenigstens im Nachhinein noch auf die Schliche kommen zu können, ist es wichtig, dass sich nachträglich überprüfen lässt, wer wann welche Daten in den Computer eingegeben hat. Deshalb muss die Eingabe maschinell protokolliert werden. Zumindest muss in der jeweiligen Akte festgehalten werden, wer wann die Eingabe getätigt hat. Dieser Anforderung trug ein Landratsamt nicht ausreichend Rechnung.

6.8 Start des PC nicht gut genug abgesichert

Wird ein PC eingeschaltet, so muss zunächst einmal das Betriebssystem geladen werden, damit der Rechner in einen betriebsbereiten Zustand gelangt. Der Start des PC sollte dabei über die Festplatte oder über das Netzwerk erfolgen, nicht dagegen über das Diskettenlaufwerk oder das CD-ROM-Laufwerk. Ansonsten besteht zum einen die Gefahr, dass Viren eingeschleppt werden, falls die Diskette oder die CD-ROM solche enthält. Zum anderen könnte der Computerbenutzer sein eigenes Betriebssystem auf Diskette oder CD-ROM mitbringen und auf dem PC installieren mit der Folge, dass er u.U. Sicherheitsmaßnahmen, die die Daten verarbeitende Stelle getroffen hat, unterläuft. Diese Anforderung beachtete das Kreiskrankenhaus Freudenstadt nicht, da sich die PC, an denen Diskettenlaufwerke zur Erledigung dienstlicher Aufgaben verfügbar sein mussten, auch von einer Diskette starten ließen. Das Kreiskrankenhaus hat den Mangel inzwischen abgestellt.

6.9 Mängel beim Passwortschutz

Folgende Passwortmängel trafen wir bei unseren Kontrollen in diesem Jahr an:

• Fehlender Passwortschutz
  Abgesehen von je zwei PC konnten alle in den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall eingesetzten PC nach dem Einschalten gleich genutzt werden. Ein Passwort musste dazu nicht eingegeben werden. Dies war ein Mangel, weil nur berechtigte Personen mit einem PC arbeiten und auf die gespeicherten Daten zugreifen dürfen.
• Passwörter allgemein bekannt
  Wer über das lokale Netz der Justizvollzugsanstalten Ravensburg und Schwäbisch Hall auf freigegebene Daten anderer PC zugreifen oder wer die auf den Servern installierten Programme nutzen wollte, musste sich zunächst am lokalen Netzwerk anmelden. Als Benutzername war dabei jeweils der PC-Name einzugeben und auch als Passwort diente stets der PC-Name. Auch dies war ein Mangel, weil ein Passwort, das alle kennen, nutzlos ist und seine Funktion verfehlt.
• Verfahrensnutzung ohne Verwendung individueller Kennungen und Passwörter möglich
  Um bei der Justizvollzugsanstalt Ravensburg die Programme zur Verarbeitung der Gefangenendaten zu nutzen, musste nur etwa die Hälfte der ca. 90 Benutzer ein Passwort eingeben. Die andere Hälfte konnte ohne Eingabe eines Passworts auf die in dem Verfahren gespeicherten personenbezogenen Daten zugreifen. Welche Benutzer sich mit Passwort anmelden mussten und welche nicht, entschied der Systemverwalter jeweils danach, ob seiner Einschätzung nach der betreffende Mitarbeiter bereits so weit mit der Technik vertraut war, dass er mit der Passworteingabe zurecht kam. Neu eingerichtete Benutzer arbeiteten in jedem Fall erst einmal mehrere Wochen lang ohne Passwort.
  Auch bei der Justizvollzugsanstalt Schwäbisch Hall war die Anmeldung der Benutzer mit individueller Kennung und Passwort die Ausnahme: Die ca. 100 Mitarbeiter des Vollzugsdienstes, des sog. Werkdienstes und der Krankenstation verwendeten keine individuellen, sondern Gruppenkennungen, die ohne Eingabe eines Passwortes nutzbar waren. Die Mitarbeiter der Verwaltung meldeten sich zwar mit individuellen Kennungen an. Jedoch mussten auch hier nicht einmal 10 der insgesamt etwa 40 Mitarbeiter bei der Anmeldung ein Passwort eingeben.
• Administratoren kennen Passwörter
  Das Kreiskrankenhaus Freudenstadt speicherte die Benutzerkennungen und Passwörter sämtlicher Nutzer des dortigen Computernetzwerks im Klartext in einer Datei, auf die die beiden Systemverwalter zugreifen konnten. Das Kreiskrankenhaus begründete die Einrichtung dieser Datei damit, dass sich die Systemverwalter in Fällen, in denen ein Benutzer Probleme mit der EDV hat, unter der Kennung des Benutzers anmelden und den Fehler nachvollziehen wollten.
  Ein ähnliches Bild zeigte sich bei der Justizvollzugsanstalt Ravensburg: Sofern dort Benutzer überhaupt ein Passwort verwenden mussten, wurde dieses zwischen Benutzer und Systemverwalter abgesprochen und vom Systemverwalter auf der lokalen Festplatte seines PC gespeichert.
  Der Benutzerverwalter des Labor-EDV-Systems im Kreiskrankenhaus Backnang kannte sämtliche Benutzerpasswörter und konnte sich die Passwörter jederzeit am Bildschirm im Klartext ansehen.
  Alle diese Vorgehensweisen widersprachen dem Grundsatz, dass Passwörter nur dem jeweiligen Benutzer bekannt sein dürfen. Auch System- und Benutzerverwalter dürfen das Passwort eines Benutzers nicht kennen. Ansonsten können sie sich nämlich ohne weiteres unter falscher Identität am EDV-System anmelden. Die vom Gesetz verlangte Eingabekontrolle, nach der nachvollziehbar sein muss, wer welche Daten in das System eingab, ließe sich nicht gewährleisten. Sofern Benutzerkennungen samt zugehöriger Passwörter sogar im Klartext in einer Datei gespeichert werden, stellt dies ein enormes Sicherheitsrisiko dar. Denn wer Zugriff auf diese Datei erhält, weil etwa das für den Zugriff notwendige Passwort einmal doch einem Unberechtigten bekannt wird, erhält auf einen Schlag alle Informationen, um sich als beliebiger Benutzer anzumelden. Bei allem Verständnis für die Notwendigkeit einer effizienten Administration der eingesetzten EDV-Systeme: Ein ausreichender Datenschutz muss dabei gewahrt bleiben.
• Benutzer konnten ihre Passwörter nicht selbst ändern
  Abgesehen von einem einzigen Mitarbeiter konnten die Computernutzer im Krankenhaus Freudenstadt ihr Passwort nicht selbst ändern, genauso wenig wie die Benutzer des Labor-EDV-Systems im Kreiskrankenhaus Backnang.
  Dies wird den datenschutzrechtlichen Erfordernissen nicht gerecht. Jeder Benutzer muss in der Lage sein, sein Passwort jederzeit zu ändern. Von dieser Möglichkeit muss er beispielsweise dann Gebrauch machen, wenn er den Verdacht hegt, sein Passwort sei einer anderen Person bekannt geworden.

Die Passwortmängel in den Kreiskrankenhäusern Freudenstadt und Backnang sowie in den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall musste ich beanstanden. Die Kreiskrankenhäuser haben die Mängel inzwischen abgestellt. Die Antwort des Justizministeriums zu den Mängeln in den Justizvollzugsanstalten lässt noch, wie erwähnt, auf sich warten.

6.10 Keine Bildschirmsperre

Die Systemverwalter der Justizvollzugsanstalten in Ravensburg und Schwäbisch Hall richteten, sofern das von Benutzern so gewünscht wurde, den PC so ein, dass der Bildschirmschoner nur nach Eingabe eines Passworts deaktiviert werden konnte. Nach Auskunft der Systemverwalter war eine solche Bildschirmsperre in beiden Justizvollzugsanstalten an 2 bis 4 PC eingerichtet. Dieses Vorgehen, das es in das Ermessen der einzelnen Benutzer stellte, ob eine solche Sperre eingerichtet wurde oder nicht, war datenschutzrechtlich nicht in Ordnung: Notwendig ist vielmehr, einen Bildschirmschoner an allen Arbeitsplätzen so einzurichten, dass er nach 5 bis 10 Minuten aktiviert wird und die Sperre nur durch die Eingabe des Passworts wieder beseitigt werden kann.

6.11 Mängel beim Umgang mit Dateifreigaben in lokalen Netzwerken

Werden mehrere PC über ein Netzwerk miteinander verbunden, so kann man, ohne einen speziellen Computer (Server) bereitstellen zu müssen, von einem PC aus auf Daten zugreifen, die auf einem anderen gespeichert sind. Voraussetzung ist freilich, dass die Daten auf dem bereitstellenden PC ausdrücklich für einen Zugriff über Netz freigegeben sind.

Wer ein solches Netzwerk betreibt, muss dafür sorgen, dass nur Mitarbeiter auf die personenbezogenen Daten zugreifen können, die sie tatsächlich für ihre Aufgaben benötigen. Hieran ließen es die Justizvollzugsanstalten mangeln: Dort hätte jeder Nutzer eines vernetzten PC alle auf der lokalen Festplatte des PC gespeicherten Daten zum Zugriff über Netz freigeben können. Eine spezielle Dienstanweisung oder sonstige organisatorische Vorgaben zum Umgang mit dieser Möglichkeit gab es in beiden Fällen aber nicht. Zudem war der Passwortschutz, der unberechtigte Zugriffe auf freigegebene Daten, z. B. Laborergebnisse von Urinuntersuchungen bei den Gefangenen, verhindern sollte, unzulänglich. Die Anzahl der möglichen Anmeldefehlversuche war nämlich nicht beschränkt. Zudem läuft jeder Passwortschutz von vornherein ins Leere, wenn die Passwörter - wie in Schwäbisch Hall geschehen - der Einfachheit halber im PC hinterlegt werden. Um diese Probleme vermeiden zu können, sollten personenbezogene oder andere schutzbedürftige Daten, auf die mehrere Mitarbeiter einer Dienststelle zugreifen sollen, nicht mehr über Freigaben, sondern über einen speziellen Server bereitgestellt werden.

6.12 Unzureichender Schutz bei Fehlversuchen

Fehlerhafte Anmeldeversuche, etwa wenn zu einer Benutzerkennung Passwörter ausprobiert werden, können generell ein Indiz dafür sein, dass ein Unberechtigter versucht, sich am EDV-System anzumelden und auf Daten zuzugreifen, die er nicht sehen darf. Fehlversuche dürfen daher nicht ohne Folgen bleiben. Nach drei, maximal fünf Fehlversuchen unter derselben Benutzerkennung in einem Zeitraum von etwa 30 Minuten ist eine dauerhafte Sperre der betreffenden Benutzerkennung vorzusehen. Weiteren Eindringversuchen unter dieser Kennung ist damit ein wirksamer Riegel vorgeschoben. Diese Anforderung beachteten zwei Kreiskrankenhäuser sowie zwei Regierungspräsidien nicht ausreichend.

6.13 Fehlende Transparenz bei den Zugriffsrechten

Um den Überblick darüber zu behalten, wer über welche Zugriffsrechte verfügt, sollte es eigentlich selbstverständlich sein, dass sich der Benutzerverwalter eine Übersicht anzeigen oder ausdrucken lassen kann, aus der hervorgeht, welche Mitarbeiter welche Zugriffsberechtigungen haben. Solche Ausdrucke sind beispielsweise unverzichtbar, um zu überprüfen, ob die aktuell eingerichteten Zugriffsberechtigungen noch den dienstlichen Notwendigkeiten entsprechen.
In den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall war dies jedoch nicht möglich.

6.14 Benutzer konnten sich selbst zusätzliche Zugriffsmöglichkeiten verschaffen

Einen gravierenden Mangel mussten wir bei der Überprüfung der vom Justizministerium entwickelten Programme zur Verarbeitung der Gefangenendaten feststellen, die unter anderem in den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall eingesetzt wurden: Diese boten zwar die Möglichkeit festzulegen, welcher Benutzer welche Programmfunktionen nutzen darf, allerdings konnte jeder Benutzer diese Beschränkung umgehen und sich selbst auch den Zugriff auf Programmfunktionen verschaffen, die er nicht für seine Aufgaben benötigte. Möglich wurde dies, weil die Funktionen zur Berechtigungsverwaltung nicht nur den Systemverwaltern, sondern allen Benutzern zur Verfügung standen. Ein Benutzer, der nur wenige beschränkte Auskunftsfunktionen über Stammdaten der Gefangenen benötigte, hätte sich auf diesem Weg beispielsweise lesenden und schreibenden Zugriff auch auf Besucher- oder Gefangenendaten verschaffen können, die er dienstlich nicht benötigte. Dies verstieß in krasser Weise gegen den datenschutzrechtlichen Grundsatz, wonach jeder Mitarbeiter nur auf diejenigen personenbezogenen Daten zugreifen können darf, die er für seine dienstlichen Aufgaben benötigt. Diesen schwerwiegenden Mangel habe ich gegenüber dem Justizministerium beanstandet. Dessen Antwort steht auch hier noch aus.

6.15 Fehlende Terminalbeschränkung

Jeder Benutzer der Verfahren zur Verarbeitung von Gefangenendaten konnte diese Verfahren von jedem vernetzten Arbeitsplatz aus aufrufen. Es gab dabei keine technische Beschränkung der Art, dass sich die einzelnen Mitarbeiter jeweils nur von bestimmten Arbeitsplatzcomputern aus anmelden dürfen (sog. Terminalbeschränkung).

Existiert keine solche Beschränkung, so kann beispielsweise ein Mitarbeiter, der nur wenige Zugriffsrechte besitzt, aber die Kennung und das Passwort eines Kollegen mit mehr Befugnissen erfährt, sich von seinem Arbeitsplatz aus mit dessen Kennung anmelden und auf diese Weise die für ihn geltenden Zugriffsbeschränkungen umgehen. Im Fall der Justizvollzugsanstalt Ravensburg wäre dies besonders leicht möglich gewesen: Hier hätte man nicht einmal das Passwort eines Kollegen kennen müssen, um mit einer fremden Kennung zu arbeiten. Jeder Benutzer konnte hier nämlich in einer Systemdatei nachlesen, welche Kennungen seiner Kollegen er ohne Passwort nutzen könnte: er hätte alle diese Kennungen, zu denen im Übrigen auch die des Anstaltsleiters gehörte, ohne weiteres von seinem Arbeitsplatz aus verwenden können.

Die fehlende Terminalbeschränkung erleichtert es ferner auch unberechtigten Dritten, durch Ausprobieren das Passwort zu einer ihnen bekannt gewordenen Kennung zu ermitteln. Sie können sich für ihre Tests dann jeden beliebigen Arbeitsplatzcomputer auswählen, der dafür gerade günstig erscheint.

6.16 Defizite beim Virenschutz

Eine besondere Gefährdung im elektronischen Zeitalter stellen Computerviren dar. Das Risiko einer Infektion besteht unter anderem, wenn Datenträger wie Diskette oder CD-ROM benutzt werden. Im Kreiskrankenhaus Freudenstadt waren an einigen wenigen PC Disketten- und CD-ROM-Laufwerke verfügbar. Weder hatte das Kreiskrankenhaus Freudenstadt festgelegt, dass Mitarbeiter, die über benutzbare Laufwerke verfügen, Datenträger, die ihnen zugehen, erst der EDV-Abteilung zur Virenüberprüfung auszuhändigen haben noch hatte es die Arbeitsplätze dieser Mitarbeiter mit aktuellen Virenschutzprogrammen ausgestattet. Inzwischen hat es wenigstens per Dienstanweisung festgelegt, dass eingehende Datenträger erst nach vorheriger Virenüberprüfung durch die EDV-Abteilung benutzt werden dürfen.

6.17 Wenn aus temporären Daten dauerhafte werden

Mitunter speichern Behörden auf ihren Computern personenbezogene Daten und wissen gar nichts davon. Feststellen mussten wir dies bei der Justizvollzugsanstalt Schwäbisch Hall. Sie hatte an einem PC einen Scanner angeschlossen, der vor allem dazu genutzt wurde, Ausweise oder andere Vorlagen zu kopieren. Hierzu wurden die gescannten Vorlagen jeweils unmittelbar nach dem Scannen ausgedruckt. Auf Nachfragen erklärten sowohl der zuständige Mitarbeiter als auch der Systemverwalter, die gescannten Vorlagen würden nicht auf der Festplatte des PC gespeichert. Bei der Überprüfung stellte sich jedoch gerade das Gegenteil heraus. Die Dateien der gescannten Dokumente wurden automatisch auf der Festplatte des Computers gespeichert. So sammelten sich im Laufe von zweieinhalb Monaten immerhin 167 Dateien gescannter Ausweise oder anderer Unterlagen an. Dies durfte selbstverständlich nicht sein. Noch während unserer Kontrolle löschte daher der Systemverwalter die 167 bei der Kontrolle vorgefundenen Bilddateien.

6.18 Fehlende oder unzureichende Schulungen

Der Datenschutz im EDV-Alltag kann nur klappen, wenn die Mitarbeiter über die zur Bedienung der Systeme und Programme notwendigen Kenntnisse und Fertigkeiten verfügen. Diese müssen sie im Rahmen von Schulungen erhalten. Anders war dies in einer Gemeinschaftsunterkunft des Landratsamts Schwäbisch Hall. Ohne irgendwelche Schulungen erhalten zu haben, mussten sich die dort tätigen Mitarbeiter selbst darum kümmern, wie die Programme am besten einzusetzen und auf welche Weise personenbezogene Daten damit zu verarbeiten sind. Das Landratsamt will in Zukunft ausreichende Schulungen anbieten.

Besonders wichtig sind ausreichende Schulungen für Systemverwalter. Aber auch hiermit steht es, wie wir bei unseren Kontrollbesuchen in den Justizvollzugsanstalten Ravensburg und Schwäbisch Hall feststellen mussten, nicht immer zum Besten: Dort hatte man alte Computer, die mit einem heute nicht mehr gebräuchlichen Betriebssystem arbeiteten, durch vernetzte Computer ersetzt und dabei gleich drei neue Betriebssysteme eingesetzt. Den Systemverwaltern, die über keine EDV-technische Ausbildung verfügten, wurden zwar in einführenden Fortbildungen Grundkenntnisse dieser Systeme vermittelt - diese Kenntnisse genügten aber nicht, um zielgerichtet an Planung, Einrichtung und Betrieb des neuen Systems heranzugehen. Die Systemverwalter mussten sich die notwendigen Kenntnisse, auch was sicherheitsrelevante Funktionen und Einstellungen angeht, vielmehr durch "learning by doing" selbst aneignen. Dabei liegt auf der Hand, dass fehlende oder unzulängliche Kenntnisse leicht zu handwerklichen Fehlern bei der Realisierung technischer und organisatorischer Datenschutzmaßnahmen führen können.

6.19 Fernwartung

Inzwischen müsste eigentlich allerorten bekannt sein, dass in Fällen, in denen eine Firma mit Fernwartungsarbeiten betraut wird, diese schriftlich zu beauftragen ist und dass in dem Vertrag die notwendigen Datenschutzregelungen präzise festzulegen sind. Schließlich erhält eine fremde Stelle Zugriff auf das eigene DV-System; präzise Spielregeln sind also unverzichtbar. Als Hilfestellung, welche Maßnahmen im Einzelnen zu treffen sind, können meine Hinweise zum Thema Fernwartung dienen, die Interessierte über das Internet-Angebot meiner Dienststelle unter http://www.baden-wuerttemberg.datenschutz.de abrufen oder auch direkt bei meiner Dienststelle anfordern können.

Nach wie vor werden aber oft Firmen lediglich auf der Grundlage eines ganz allgemeinen Wartungsvertrags tätig, in dem dann sinngemäß nur zu lesen ist, die Bestimmungen des Datenschutzes seien zu beachten. Auf welche Weise und durch welche konkreten Maßnahmen dies geschehen soll, bleibt offen. Eine solch unzureichende Beauftragung musste ich bei einem Kreiskrankenhaus feststellen.

Auch wenn fremde Personen im Rahmen einer Wartung vor Ort tätig werden und dem Wartungspersonal auch Einblick in personenbezogene Daten eingeräumt werden muss, ist eine schriftliche Beauftragung mit Regelungen zum Datenschutz unerlässlich. Dies unterblieb bei einem Landratsamt.

6.20 Mängel bei der Vernichtung von Unterlagen

Wer eine Spezialfirma damit betraut, auszusondernde Unterlagen abzuholen und zu vernichten, muss einen schriftlichen Auftrag erteilen und in dem Vertrag die notwendigen Datenschutzmaßnahmen präzise festlegen. Daran hapert es vielfach:

• Aus dem Vertrag, den ein Kreiskrankenhaus mit einer Firma abschloss, ging nicht hervor, wo die sensiblen Krankenhausdaten vernichtet werden.
• Ein Kreiskrankenhaus sowie zwei Landratsämter machten keine oder nur unzureichende Vorgaben hinsichtlich der Art der Vernichtung von Unterlagen. Personenbezogene Daten sind aber stets zumindest nach Stufe 3 der DIN-Norm 32757, Teil 1, zu vernichten.
• Ein Landratsamt regelte nicht, wie rasch die Firma das Vernichtungsgut nach dessen Abholung der Vernichtung zuführen muss und ob und, wenn ja, wie lange die Firma die zu vernichtenden Unterlagen zwischenlagern darf.