-> Home -> Der LfD -> Tätigkeitsberichte -> 2001
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

22. Tätigkeitsbericht 2001 -Inhaltsverzeichnis

 

22. Tätigkeitsbericht 2001 - 3. Teil

3. Teil: Technik und Organisation

1. Die Vorabkontrolle
1.1 Videoüberwachung im Labor und in der Universitätskasse
1.2 Chipkarteneinsatz an Hochschulen

2. e-Bürgerdienste - von der Theorie zur Praxis
2.1 Die Baden-Württemberg-Card
2.2 Das Internet-Portal

3. Internet
3.1 Jeder Mitarbeiter ein Surfer?
3.2 Anonyme Veröffentlichung von News-Beiträgen?
3.3 Web-Cam im Internet-Café
3.4 Datenschutzgerechtes Web-Angebot: keine Selbstverständlichkeit
3.5 Die Bibliothek und der Internet-PC

4. Verschlüsselung - ein Dauerthema
4.1 Verschlüsselung beim BK-Outsourcing
4.2 Schutzmaßnahmen bei der Internet-Nutzung
4.3 Verschlüsselung beim elektronischen Dokumentenversand

5. Remote-Access-Technik - eine sinnvolle Nutzung des Internets

6. Internet-Wahlen - Idee mit Zukunft oder Büchse der Pandora?

7. Die Mängelliste - Ergebnisse unserer Kontrollbesuche
7.1 Verfahrensverzeichnis
7.2 Zugriffsschutz
7.3 Nur erforderliche Software installieren
7.4 Dateifreigaben im Netz
7.5 Diskettenlaufwerke
7.6 Computerreparatur
7.7 Fernwartung
7.8 Internet-Anschluss
7.9 Einwahlverbindungen
7.10 Sicherheitsrelevante Einstellungen der Netzknotencomputer nicht bekannt
7.11 Drucker in Serverraum
7.12 Löschung unvollständig und ohne Konzept
7.13 Dienstanweisung

1. Die Vorabkontrolle

Will eine öffentliche Stelle ein DV-Verfahren einsetzen, das mit besonderen Gefahren für das Persönlichkeitsrecht verbunden sein kann, so muss sie zuvor eine Vorabkontrolle durchführen. Das Verfahren darf erst dann zum Einsatz kommen, wenn sich dabei herausstellt, dass solche Risiken entweder gar nicht bestehen oder sie sich durch technische oder organisatorische Maßnahmen vermeiden lassen. Das Ergebnis der Vorabkontrolle sowie dessen Begründung sind schriftlich zu dokumentieren. Im vergangenen Jahr wurde mein Amt mehrfach gefragt, wie die Vorabkontrolle durchzuführen ist. Wir gaben dazu folgende Hinweise:

  • In welchen Fällen ist eine Vorabkontrolle notwendig?
    In einer Reihe von Fällen schreibt das Landesdatenschutzgesetz eine Vorabkontrolle ausdrücklich vor. Notwendig ist sie etwa, wenn eine öffentliche Stelle mit Hilfe eines sog. automatisierten Abrufverfahrens online auf Daten zugreifen will, die in der Verantwortung einer anderen Stelle gespeichert werden. Eine Vorabkontrolle muss auch durchführen, wer beabsichtigt besonders sensible Daten zu verarbeiten. Das Landesdatenschutzgesetz zählt dazu Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben hervorgehen. Ferner ist immer dann eine Vorabkontrolle erforderlich, wenn eine öffentliche Stelle Chipkarten, Magnetkarten oder ähnliche mobile Datenträger an Bürger ausgeben will. Darüber hinaus können aber auch andere DV-Vorhaben besondere Gefahren für das Persönlichkeitsrecht mit sich bringen und damit eine Vorabkontrolle erfordern. Diese besonderen Gefahren, so erläutert es das Landesdatenschutzgesetz, können sich insbesondere auf Grund der Art oder der Zweckbestimmung der Verarbeitung ergeben. Zu den Vorhaben, die aufgrund ihrer Art eine Vorabkontrolle erfordern, gehört die Videoüberwachung. Die besondere Problematik dieser Technik besteht darin, dass damit vielfach Daten zahlreicher Personen erfasst und gespeichert werden, die gemessen am Zweck der Überwachungsanlage, etwa der Verfolgung von Straftaten, gar nicht benötigt werden.
  • Wer führt die Vorabkontrolle durch?
    Die öffentliche Stelle, die den EDV-Einsatz plant, muss die Vorabkontrolle selbst durchführen und nicht nur deren Ergebnisse, sondern auch deren Begründung schriftlich festhalten. Sofern die Stelle einen behördlichen Datenschutzbeauftragten bestellt hat, muss sie ihm das Ergebnis der Vorabkontrolle zur Prüfung vorlegen, ansonsten meinem Amt.
  • Welche Inhalte muss die Vorabkontrolle ansprechen?
    Generell lässt sich sagen, dass die Vorabkontrolle in jedem Fall diejenigen Angaben enthalten muss, die auch in das gemäß § 11 LDSG zu führende Verfahrensverzeichnis aufzunehmen sind. Außerdem muss die Vorabkontrolle die mit der eingesetzten Technik verbundenen Risiken benennen und beschreiben, welche technischen und organisatorischen Datenschutzmaßnahmen gemäß § 9 LDSG ergriffen werden sollen, um diese Risiken abzuwehren. Ferner ist darzustellen, welche Restrisiken verbleiben und wie diese zu bewerten sind.

Konkret hatte sich mein Amt mit vier Vorabkontrollen zu befassen. Dabei zeigte sich Folgendes:

1.1 Videoüberwachung im Labor und in der Universitätskasse

Eine Universität informierte mein Amt über ein Vorhaben, bei dem eine automatisch arbeitende Laboranlage aus einem anderen Raum heraus überwacht wird. Da sich täglich nur für kurze Zeit überhaupt Personen im überwachten Raum aufhalten, es sich dabei um einen eng begrenzten Personenkreis handelt, die in dem Raum dienstliche Aufgaben wahrnehmen, die Videoaufnahmen dem Schutz der Mitarbeiter bei eventuell auftretenden Störfällen in der Anlage dienen und die Videobilder nur an einem Kontrollmonitor angesehen, nicht aber aufgezeichnet werden können, hielten wir diesen Einsatz der Videoüberwachung für ausreichend begründet und angemessen realisiert.
Etwas anders sah es bei einem Projekt aus, bei dem die Kassenräume einer Universität videoüberwacht werden sollen. Im Unterschied zum Vorhaben der Laborüberwachung werden von den Kameras im Kassenraum viel mehr Personen erfasst. Außerdem werden die Videobilder regelmäßig aufgezeichnet. In zwei Punkten war die vorgelegte Konzeption zunächst unzulänglich:
Zum einen war vorgesehen, dass die Kassierer jederzeit sog. Verdachtsaufnahmen auslösen können. Wenn sich dabei eine Situation, die ein Kassierer zunächst als problematisch einschätzte und daher aufzeichnen ließ, später als harmlos erweist, müssen diese Aufzeichnungen umgehend wieder gelöscht werden. Dies war nach dem vorgelegten Konzept nicht möglich. Es sah stattdessen vor, alle Verdachtsaufnahmen unter Beteiligung der Polizei auszuwerten und erst danach zu löschen.
Zum anderen stellte sich heraus, dass die Universität nicht darüber informiert war, wie die Passwortkonventionen am Videocomputer eingerichtet waren. Sie konnte daher nicht beurteilen, ob es für einen Unberechtigten leicht oder schwer ist, sich die gespeicherten Videodaten anzusehen. Zur Begründung führte die Universität an, dass sie ein Unternehmen mit der Systemverwaltung beauftragt habe und daher nicht über die von ihm gewählten Einstellungen Bescheid wisse. Damit ließ sie jedoch die Regeln der Auftragsdatenverarbeitung außer Acht, nach denen sie auch dann für die Einhaltung der notwendigen technischen und organisatorischen Maßnahmen verantwortlich bleibt, wenn sie eine externe Stelle mit einer Datenverarbeitungsaufgabe, hier der Computerbetreuung, betraut.

1.2 Chipkarteneinsatz an Hochschulen

Der Einsatz von Chipkarten stellt regelmäßig besondere Anforderungen an die Vorabkontrolle. Bei einer solchen Vorabkontrolle für ein Chipkartensystem sind die vorgesehene Nutzung, die eingesetzte Chipkartentechnik und die für den Datenschutz relevanten technischen und organisatorischen Maßnahmen zu beschreiben. Unter anderem ist dabei zu dokumentieren, welche Datenfelder die Karten enthalten, wofür sie genutzt werden, wie sichergestellt ist, dass nicht benötigte Felder leer bleiben und dass die beteiligten Stellen jeweils nur auf die für ihre Aufgaben erforderlichen Daten zugreifen können. Ferner muss sichergestellt sein, dass sich niemand unbefugt Informationen aus dem Datenverarbeitungssystem beschaffen kann. Außerdem muss auf Antrag des Karteninhabers - etwa bei Verlust der Chipkarte - deren Benutzung durch Dritte unterbunden werden können und die Möglichkeit bestehen, ihn alsbald mit neuer Zugangsidentifizierung zuzulassen. Nicht zuletzt ist darzulegen, dass sowohl die auf Chipkarten als auch die auf den Hintergrundsystemen gespeicherten Daten fristgerecht gelöscht werden.
Der von einer Universität zunächst vorgelegte Entwurf der Vorabkontrolle für einen Chipkarteneinsatz war nicht konkret genug und wurde den eingangs beschriebenen Anforderungen noch nicht gerecht. Es fehlten beispielsweise nähere Angaben über die verarbeiteten Datenarten, deren Speicherdauer und die zugriffsberechtigten Stellen. Zudem blieb offen, wie die einzelnen technischen Komponenten ausgestaltet sein sollen und welche technischen und organisatorischen Maßnahmen ergriffen werden sollen, um unbeabsichtigte Datenverluste und unberechtigte Verarbeitung der Daten zu verhindern.
In der auf unsere Veranlassung überarbeiteten Fassung der Vorabkontrolle waren diese Mängel dann weitgehend behoben. Positiv zu erwähnen waren insbesondere die verschlüsselte Kommunikation der einzelnen, am Datenfluss beteiligten Systeme, die Möglichkeit für anonyme Bezahlfunktionen, z. B. bei der Mensa, eine nicht-personalisierte Karte zu erhalten sowie die organisatorischen Maßnahmen zur Abschottung zwischen Karten-ID und Namen der Karteninhaber.

Insgesamt deuten die ersten Erfahrungen darauf hin, dass die öffentlichen Stellen, trotz einiger Unzulänglichkeiten im Einzelnen, verantwortungsvoll und angemessen mit dem neuen Instrument der Vorabkontrolle umgehen.

2. e-Bürgerdienste - von der Theorie zur Praxis

Land und Kommunen rüsten gegenwärtig ihre EDV weiter auf, damit sie den Bürgern bis zum Jahr 2005 viele Dienstleistungen online anbieten können. Dabei geht es aber nicht nur um neue Technik in der Verwaltung. Soweit es bei der Inanspruchnahme einer solchen Dienstleistung auf die Identität des Bürgers ankommt, muss dieser mit Hilfe einer digitalen Signatur nachweisen, wer er ist. Um diese ausreichend fälschungssicher zu gestalten, hat jeder, der ein elektronisches Dokument digital signieren will, dazu eine speziell dafür vorgesehene Chipkarte zu benutzen. Die Landesverwaltung lässt in einem ersten Schritt 1 000 solcher Chipkarten, die so genannte Baden-Württemberg-Card, herstellen und an Bürger und Mitarbeiter in den Behörden ausgeben, um die neu entwickelten e-Bürgerdienste unter diesen Bedingungen zu erproben.
Im Rahmen meiner Beratungstätigkeit habe ich auf folgende, für den Datenschutz relevante Aspekte hingewiesen:

2.1 Die Baden-Württemberg-Card

Was für den Bürger gilt, gilt auch für die Verwaltung. Will sie ihrem elektronischen Dokument Geltung verleihen, muss dieses ebenso wie die Anträge der Bürger digital signiert sein, damit der Bürger sicher sein kann, dass es tatsächlich von der Behörde stammt. Dazu muss man wissen, dass sich digitale Signaturen dahingehend unterscheiden können, welche Angaben durch sie bestätigt werden sollen. Im Fall der Baden-Württemberg-Card sind dies nur Name und Vorname des Karteninhabers, auf seinen Wunsch auch die private Wohnanschrift. Konkret heißt das: Der Empfänger kann zwar zweifelsfrei sicher sein, dass eine Person mit dem aus der Signatur ersichtlichen Namen das Dokument unterzeichnet hat. Ob diese Person aber der als Absender bezeichneten Behörde überhaupt angehört und ob sie zur Unterschrift berechtigt ist oder es sich nur um den Hausmeister des Amtes handelt, lässt sich der Signatur nicht entnehmen. Aus diesem Grund ist die Baden-Württemberg-Card in ihrer gegenwärtigen Form zur Signierung amtlicher Mitteilungen an Privatpersonen kaum geeignet. Solange das so ist, sollten diese Karten, für deren Ausgabe der Nutzer dem mit der Herstellung beauftragten Unternehmen unter anderem seine Privatadresse und Personalausweisdaten nennen muss, nur auf freiwilliger Basis an die Bediensteten ausgegeben werden.

2.2 Das Internet-Portal

Das federführend vom Innenministerium konzipierte Internet-Portal für Bürgerdienste soll den Bürgern einen zentralen und komfortablen Zugang zur Nutzung verschiedener e-Bürgerdienste ermöglichen. Dabei soll es weit mehr bieten als nur Links auf kommunale und staatliche e-Bürgerdienste. Künftig sollen die Bürger vielmehr darin beispielsweise ihren Namen und den Wohnort, ihre Telefon- und Telefaxnummer, die E-Mail-Adresse und behördliche Akten- oder Buchungszeichen hinterlegen können. Stellen sie später über das Portal Anträge an Behörden, müssen sie diese Angaben nicht in jedes Antragsformular eingeben, sondern können die zuvor hinterlegten Daten übernehmen. Außerdem sollen die im Portal gespeicherten Bürgerdaten im Rahmen der sog. Personalisierung des Portals dazu verwendet werden, um einem Bürger nur die für ihn relevanten Informationen anzuzeigen. Statt sich aus allen 35 Landratsämtern das für ihn zuständige heraussuchen zu müssen, bekäme er dann von vornherein nur dieses angezeigt. Im Wege einer Ausschreibung sucht das Innenministerium gegenwärtig ein Unternehmen, das die technische Realisierung und den Betrieb des Internet-Portals übernehmen soll. Die Ausschreibungsunterlagen enthielten unter anderem auch Anforderungen an die datenschutzrechtliche Gestaltung des anzubietenden Systems. Positiv zu erwähnen sind dabei die Forderungen, dass die im Portal hinterlegten Bürgerdaten verschlüsselt zu speichern sind, der Zugriff darauf nur mit einem digitalen Zertifikat möglich sein soll, die zwischen Bürger und Portal ausgetauschten Daten verschlüsselt über das Internet zu übertragen sind und dass bei der Gestaltung des Systems generell das Prinzip der Datensparsamkeit zu berücksichtigen ist.
Auf eine Reihe datenschutzrelevanter Fragen gaben die Unterlagen des Innenministeriums jedoch noch keine befriedigende Antwort. Offen blieb, für welche Zwecke die Daten im Einzelnen gespeichert werden sollen, welche Stellen darauf zugreifen können, an welche Stellen personenbezogene Daten übermittelt werden, wie unberechtigte Zugriffe auf diese Daten verhindert werden und last not least wann und durch wen die Daten wieder gelöscht werden. Zudem war nicht zu erkennen, ob sichergestellt ist, dass die Bürger über alle Nutzungen ihrer Daten unterrichtet werden. Weil die Sicherheitstechniken zum Teil nur ansatzweise beschrieben waren, bat ich das Innenministerium um nähere Informationen darüber, welche Mechanismen genutzt werden sollen, um zu verhindern, dass man sich gegenüber dem Portal unter fremdem Namen anmelden kann und wo der zur Entschlüsselung der Bürgerdaten benötigte Schlüssel gespeichert wird, wer darauf Zugriff hat und wie er vor unberechtigtem Zugriff geschützt ist. Das Innenministerium antwortete, es stelle sich die technische Umsetzung so vor, dass nicht die Verwaltung oder der Portalbetreiber, sondern nur der Bürger selbst auf die von ihm eingegebenen Daten zugreifen kann und er in jedem Einzelfall ausdrücklich der Übermittlung seiner Daten an eine Behörde oder eine andere dem Portal angeschlossenen Stelle zustimmen muss. Wenn es gelingt, diesen Anforderungen Rechnung zu tragen, ist aus datenschutzrechtlicher Sicht gegen das Projekt nichts einzuwenden. Noch ist aber nicht klar, wie diese Sicherheitsanforderungen mit den Vorstellungen über die möglichen Funktionen des Portals, wie etwa der Personalisierung, in Einklang gebracht werden können.
Bleibt zu hoffen, dass es dem vom Innenministerium zur fachlichen Begleitung des Projekts geplanten Lenkungsausschuss gelingt, einen datenschutzgerechten Weg zur Realisierung des Internet-Portals aufzuzeigen.

3. Internet

Auch in diesem Jahr hatten wieder zahlreiche Bürgereingaben und Beratungswünsche mit Fragen rund um das Internet zu tun. Wie groß die Bandbreite der davon berührten Fragestellungen war, mag die folgende Übersicht illustrieren:

3.1 Jeder Mitarbeiter ein Surfer?

Die Fähigkeit, mit Medien, insbesondere dem Internet, professionell umzugehen, gewinnt im heutigen Berufs- und Wirtschaftsleben zunehmend an Bedeutung. Verständlich ist daher das Anliegen des Staatsministeriums, dass auch die Landesbediensteten auf diesem Gebiet auf der Höhe der Zeit bleiben sollen. Damit möglichst viele Mitarbeiterinnen und Mitarbeiter eine solche Medienkompetenz erwerben können, wandte sich Herr Staatsminister Palmer Ende vergangenen Jahres an seine ministeriellen Kolleginnen und Kollegen und bat darum, jedem Mitarbeiter die Nutzung des Internets am Arbeitsplatz selbst dann zu ermöglichen, wenn dies für dienstliche Zwecke nicht notwendig ist. Der für Fragen ressortübergreifender IuK-Projekte zuständige Arbeitskreis Informationstechnik erkannte zu Recht, dass dieser Vorschlag erhebliche Auswirkungen auf die Sicherheit der EDV-Systeme des Landes sowie der darin gespeicherten Daten haben kann. Er sprach sich deshalb dafür aus, sorgfältig zu prüfen, welche Sicherheitsmaßnahmen getroffen werden müssen, wenn man diesen Vorschlag realisieren will. Was das damit beauftragte Unternehmen dann ein halbes Jahr später als Ergebnis vorlegte, war allerdings mehr als enttäuschend.
Anstatt eine Studie vorzulegen, die auf die vorgeschlagene Vollversorgung und den daraus resultierenden konkreten Nutzungsbedarf der Verwaltung Bezug nimmt und darauf zugeschnittene Lösungswege aufzeigt, lieferte das Unternehmen lediglich allgemeine Aussagen zur Sicherung eines Internet-Anschlusses, die weder aktuell noch neuartig, sondern teilweise sogar aus einer im Internet veröffentlichten Diplomarbeit kopiert waren. In einem Anfang Oktober 2001 geführten Gespräch sagte das Unternehmen zu, sein Gutachten nochmals gründlich zu überarbeiten. Bedauerlich bleibt, dass seit Erteilung dieses Auftrags viele Monate verstrichen sind, ohne dass man einer Lösung der gestellten Aufgabe näher gekommen ist.

3.2 Anonyme Veröffentlichung von News-Beiträgen?

Spricht man von der Nutzung des Internets, denken viele zunächst an E-Mail und WWW. Daneben bietet das Internet aber noch eine Reihe anderer Kommunikationsmöglichkeiten. Der mit einem großen schwarzen Brett vergleichbare News-Dienst beispielsweise ermöglicht es, an themenspezifischen Diskussionsforen teilzunehmen, dort die Beiträge anderer Nutzer zu lesen und selbst Beiträge dazu zu veröffentlichen. Ein Student, der Zugang zum News-Server seiner Universität hatte, störte sich daran, dass diese alle Nutzer dieses Servers verpflichtete, in ihren Beiträgen ihren Namen und ihre E-Mail-Adresse anzugeben. Unter Hinweis auf das im Teledienstedatenschutzgesetz vorgesehene Gebot, nach Möglichkeit eine anonyme oder zumindest pseudonyme Nutzung der angebotenen Dienste zu ermöglichen, verlangte er, eigene Beiträge auch ohne Nennung von Namen und E-Mail-Adresse veröffentlichen zu dürfen.
Auf diese Frage eine Antwort zu finden, erfordert eine Abwägung der unterschiedlichen Datenschutzinteressen der verschiedenen Beteiligten: Auf der einen Seite steht der Verfasser eines News-Beitrages, der diesen auch ohne Namensnennung veröffentlichen können will. Auf der anderen Seite, auch das zeigen uns Bürgereingaben, fühlen sich Menschen zunehmend als Opfer von Veröffentlichungen im Internet, in denen verunglimpfende Aussagen über sie getroffen werden. Diese Personen sind, wenn sie falsche oder unrechtmäßige Veröffentlichungen verfolgen wollen, darauf angewiesen, die Identität des Verfassers zu erfahren. Beiden Anliegen scheint mir am besten dadurch Rechnung getragen, dass die Verfasser der Beiträge dem Serverbetreiber ihre Identität offen legen müssen, sie aber nicht dazu verpflichtet werden, ihren Namen und ihre E-Mail-Adresse in jedem Beitrag zu veröffentlichen. Es genügt, wenn diejenigen, die sich durch eine Veröffentlichung in ihren Persönlichkeitsrechten beeinträchtigt sehen, im Einzelfall die Identität des Autors erfahren können. Leider war die Universität bislang nicht bereit, diesen Überlegungen zu folgen und fordert nach wie vor die Angabe von Name und E-Mail-Adresse in jedem Beitrag.

3.3 Web-Cam im Internet-Café

Sehen ist besser als hören und hören besser als schreiben. Von diesem Motto schien eine Universität geleitet, die nicht nur ein Internet-Café einrichtete, in dem die Studenten im Web surfen, E-Mails schreiben und mit Kommunikationspartnern in aller Welt chatten konnten, sie installierte dort auch zwei sog. Web-Cams, deren Aufnahmen sie mehrmals pro Minute über eine Web-Seite im Internet veröffentlichte. Damit sollte es den Chat-Kommunikationspartnern möglich sein, nicht nur schriftlich mit ihrem Partner zu kommunizieren, sondern ihrem "Gegenüber" auch Live-Bilder von sich zu übermitteln. Die dafür vorgesehenen Kameras waren aber so angebracht, dass sie nicht nur einzelne, sondern gleich mehrere Nutzer des Internet-Cafés aufnahmen. Nur zu verständlich, dass jemand, der im Internet-Café lediglich seine E-Mails abrufen wollte, unangenehm berührt war, als er nach dem Besuch des Internet-Cafés von Bekannten darauf angesprochen wurde. Um dies künftig zu vermeiden, baten wir die Universität, die Kameras so anzubringen, dass sie nur die an einem PC stehende Person erfasst und dass diese Person frei darüber entscheiden kann, ob sie die Kamera einschalten will oder nicht. Anstatt diese datenschutzgerechte Lösung zu realisieren, zog es die Universität dann allerdings vor, die Web-Kameras ganz außer Betrieb zu nehmen.

3.4 Datenschutzgerechtes Web-Angebot: keine Selbstverständlichkeit

Um ein positives Umfeld für die Akzeptanz neuartiger elektronischer Dienste zu schaffen, hat der Bundesgesetzgeber bereits vor einigen Jahren unter anderem das Teledienstegesetz sowie das Teledienstedatenschutzgesetz verabschiedet. Eine maßgebliche Zielsetzung war dabei, dass bei der elektronischen Abwicklung von Vorgängen nicht mehr Daten erfasst werden sollen als dies geschieht, wenn man den gleichen Vorgang auf herkömmliche Art und Weise tätigt. In der täglichen Praxis verlieren Internet-Inhaltsanbieter diese Ziele jedoch gelegentlich aus dem Blickfeld. Ein Beispiel hierfür ist das für jedermann kostenlos nutzbare Angebot des Vorschriftendienstes Baden-Württemberg (VD-BW) zum Abruf von Gesetzen und Verordnungen des Landes, das der Staatsanzeiger gemeinsam mit einem privaten Verlag im Internet anbietet.
Bekundet man beim erstmaligen Besuch der Homepage sein Interesse, den Vorschriftendienst zu nutzen, so erscheint eine mit "Anmeldung für den Bürgerdienst" überschriebene Bildschirmmaske, die dem Nutzer Eingabefelder für Name, Vorname, Titel, Firma/Behörde, Postanschrift, E-Mail-Adresse präsentiert. Ferner enthält die Seite Eingabefelder für die Benutzerkennung und das Passwort, mit dem man künftig den Vorschriftendienst nutzen möchte. Letztere sind durch einen Hinweis als diejenigen gekennzeichnet, die auszufüllen sind. Dieser Aufbau der Maske und der Ablauf des Anmeldeverfahrens sind aus Sicht des Datenschutzes alles andere als glücklich. Manch ein Nutzer wird nämlich alle Felder ausfüllen und damit seine Identität offenbaren, obwohl dazu keine Notwendigkeit besteht.
Orientiert am Gebot der Datensparsamkeit wäre es sinnvoll, zunächst nur die Daten zu erfassen, die zur Nutzung des Dienstes erforderlich sind. Bietet der VD-BW darüber hinaus Zusatzdienstleistungen an, sollten die Nutzer darüber in einem zweiten Schritt informiert und ihnen insbesondere mitgeteilt werden, welche personenbezogenen Daten dafür erforderlich sind.

Da die Nutzer des VD-BW bislang nicht erfuhren, wofür die (freiwillig) eingegebenen Adressdaten verwendet und wie lange diese gespeichert werden, baten wir darum, die Nutzer auch darüber zu informieren.

Im Angebot des VD-BW wird die Javascript-Technik eingesetzt, die in einem Web-Angebot nicht nur mancherlei nützliche Aufgaben übernehmen, sondern auch dazu benutzt werden kann, den PC sowie das Surf-Verhalten des Nutzers auszuforschen. Um sich davor zu schützen, empfiehlt es sich, die Ausführung von Javascript sowie anderer so genannter aktiver Inhalte wie Java oder Active-X beim Surfen im Internet generell zu deaktivieren. Um dem Sicherheitsbedürfnis der Internet-Nutzer Rechnung zu tragen, sollte bei der Gestaltung der Web-Angebote auf die Verwendung dieser aktiven Inhalte möglichst verzichtet werden. Ist dies nicht möglich, sollten die Nutzer ausdrücklich auf die Verwendung dieser Techniken hingewiesen und ihnen erläutert werden, wozu die Technik jeweils benötigt wird. Dies ermöglicht es dem Nutzer, darüber zu entscheiden, ob er die Ausführung der aktiven Inhalte für den genannten Zweck zulassen will oder nicht.

Ähnliches gilt für die im Angebot des VD-BW ebenfalls verwendeten Cookies. Zwar können Cookies - im Unterschied zu aktiven Inhalten - nicht dazu benutzt werden, den Computer des Internet-Nutzers auszuspionieren. Denkbar ist jedoch, dass mit ihrer Hilfe Persönlichkeitsprofile erstellt werden, die Auskunft darüber geben, wofür sich der Computernutzer interessiert, während er im Internet surft. Die Verwendung von Cookies zählt zu den Techniken, die mit den Worten des Teledienstedatenschutzgesetzes gesprochen "eine spätere Identifizierung des Nutzers ermöglichen und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereiten". Konsequenz daraus ist, dass die Nutzer auch über die Verwendung von Cookies informiert werden müssen. Das geschah zwar, es war aber nicht sichergestellt, dass jeder Nutzer, der sich dort registriert, diese Information zuvor auch zur Kenntnis genommen hatte.

Der VD-BW will unseren Hinweisen bei der demnächst anstehenden grundlegenden Überarbeitung des Angebots Rechnung tragen.

3.5 Die Bibliothek und der Internet-PC

Bibliotheken sehen es als eine ihrer Aufgaben an, ihren Besuchern Wissen zu vermitteln. Deshalb ist es nur zu verständlich, dass sie diesen immer öfter den Zugriff auf die vielfältigen Informationen, die das Internet bietet, ermöglichen. Zwar wird in der Regel bei der Benutzung dieser PC nicht der Nutzername erfasst; aber gleichwohl können datenschutzrechtliche Probleme auftreten. Dies ist jedenfalls dann der Fall, wenn ein Besucher erkennen kann, welche Informationen sein Vorgänger im Internet abgerufen und welche Suchanfragen er gestartet hat oder gar wie hoch dessen per Internet abgefragter Kontostand ist. Wer im Internet surft, hinterlässt dabei nämlich Spuren nicht nur auf den Rechnern (sog. WWW-Servern), von denen er Dokumente anfordert. Auch auf dem lokalen Rechner, mit dem er die abgerufenen Dokumente in Augenschein nimmt, werden bei jedem Abruf einer WWW-Seite eine Reihe von Informationen festgehalten, die es einem später mit diesem Rechner arbeitenden Nutzer festzustellen erlauben, welche WWW-Seiten durch den lokalen Rechner abgerufen wurden. Vor diesem möglichen Ausspähen besuchter WWW-Seiten durch spätere Nutzer muss die Bibliothek den Nutzer eines öffentlich zugänglichen Internet-PC schützen:

  • Gängige Browser unterhalten auf dem lokalen Rechner einen schnellen Zwischenspeicher (den so genannten Cache), mit dessen Inhalt der Browser die Seiten generiert, die auf dem entsprechenden WWW-Server statisch gespeichert sind und seit dem letzten Abruf keine Änderung erfahren haben. Dieser Zwischenspeicher befindet sich in Form von Verzeichnissen und Dateien auf der Festplatte des lokalen Rechners. Diese müssen gegen Einsichtnahme späterer Nutzer geschützt werden. Da der Zugang für alle Nutzer des lokalen Rechners im Allgemeinen unter einer einheitlichen Benutzerkennung erfolgt, greift der nachfolgende Nutzer auf die gleichen Verzeichnisse und Dateien zu wie sein Vorgänger. Die üblicherweise in Betriebssystemen eingesetzten Mechanismen wie Schreib- und Leseschutz von Verzeichnissen und Dateien erweisen sich daher als wirkungslos. Es gibt folglich nur die Möglichkeit, entweder die Benutzeroberfläche so einzuschränken, dass der direkte Zugriff auf die Dateien nicht möglich ist, oder den lokalen Zwischenspeicher nach jeder Sitzung zu löschen.
  • Wird nur der direkte Zugriff auf die Verzeichnisse und Dateien unterbunden und ermöglicht es der Browser, sich ein Inhaltsverzeichnis des Zwischenspeichers anzuschauen, so sollte der Zwischenspeicher bei jedem Start des Browserprogramms neu initialisiert werden.
  • Die Löschung der entsprechenden Verzeichnisse und Dateien reicht dann nicht aus, wenn die Zugriffe auf WWW-Seiten in weiteren Dateien, einer so genannten "History-Tabelle", aufgezeichnet werden. Auch diese Dateien sind dann nach einer Sitzung zu löschen.
  • Der Einsatz eines mehreren Rechnern zugänglichen Zwischenspeichers auf einem dezidierten Server bleibt von diesen Maßnahmen dann unberührt, wenn keine Aufzeichnungen über den Zugriff auf den Zwischenspeicher der zu bedienenden Rechner angefertigt werden.
  • Neben dem Zwischenspeicher auf der Festplatte kann ein Browser auch einen Zwischenspeicher im Hauptspeicher des lokalen Rechners unterhalten. Wenn der Browser die Erstellung eines Inhaltsverzeichnisses für diesen Zwischenspeicher unterstützt, muss der Nutzer ebenfalls vor einer möglichen Ausspähung geschützt werden. Dies kann dadurch erreicht werden, dass der Nutzer das Browserprogramm nach einer Sitzung beendet. Hierauf muss die Bibliothek in den Nutzungsbedingungen und durch deutlich erkennbare Hinweise aufmerksam machen.
  • Bei den Browsern werden meist noch die zuletzt besuchten 10 bis 15 Internet-Adressen notiert. Diese Informationen sind im Regelfall für jeden späteren Nutzer über einen Mausklick einsehbar. Auch sie müssen deshalb gelöscht werden, wenn ein Nutzer seine Sitzung beendet.
  • Als weiteres auf dem lokalen Rechner gespeichertes personenbezogenes Datum erweisen sich die auch in anderer Hinsicht nicht unproblematischen und bereits oben angesprochenen "Cookies". Durch Cookies können beispielsweise Einstellungen für den Zugriff auf WWW-Seiten festgehalten werden. Die Cookie-Attribute selbst werden häufig verschlüsselt abgespeichert, so dass der Nutzer nicht erkennen kann, welche Informationen durch das Cookie gespeichert werden. Insbesondere bei Angeboten, die eine Identifizierung der Nutzer erfordern, besteht die Gefahr, dass zur benutzerfreundlichen Gestaltung wiederholte Anmeldungen über in Cookies abgelegten Informationen abgewickelt werden. Beispielsweise kann auch festgehalten werden, dass beim Besuch eines bestimmten WWW-Servers durch einen über das Cookie identifizierten Nutzer die Seiten dynamisch entsprechend den durch das Cookie spezifizierten Interessenschwerpunkten erstellt werden. Diese Informationen sollten anderen Nutzern nicht zugänglich gemacht werden. Um das sicherzustellen, muss das Browserprogramm nach Ablauf der Sitzung beendet und die Datei, in der die Cookies gespeichert sind, gelöscht werden.

4. Verschlüsselung - ein Dauerthema

Wenn es gilt, schutzbedürftige Daten vor unberechtigtem Lesen zu schützen, kommt dem Einsatz von Verschlüsselungstechniken eine immer größere Bedeutung zu. Deshalb spielte das Thema Verschlüsselung bei Beratungen eine wichtige Rolle.

4.1 Verschlüsselung beim BK-Outsourcing

Der Betrieb von Bürokommunikationssystemen der Landesverwaltung durch ein privates Unternehmen (BK-Outsourcing) beschäftigt uns schon seit mehreren Jahren. Unbestritten gehört dazu eine wirkungsvolle Verschlüsselung, damit das Personal des Auftragnehmers trotz seiner zwangsläufig umfassenden Zugriffsberechtigungen keine schutzbedürftigen Daten lesen und erst recht nicht ändern kann. Weil die zunächst verwendete Verschlüsselungstechnik nicht erste Wahl war, setzte ich mich bereits letztes Jahr dafür ein, ein Produkt, das für die Verschlüsselung beim BK-Outsourcing besonders geeignet erschien, auf seine Praxistauglichkeit zu testen (vgl. 21. Tätigkeitsbericht, LT-Drs. 12/5740, S. 17). Nachdem ein vom federführenden Innenministerium beauftragtes Beratungsunternehmen die Eignung des Produkts bestätigt hatte, bat das Ministerium den Outsourcing-Auftragnehmer, zu ermitteln, welche Auswirkungen dessen Einsatz auf den täglichen Betrieb des Outsourcings hat. Auch dabei zeigte sich seine Tauglichkeit. Seine Feuertaufe muss es nun in der Kultusverwaltung bestehen. Damit können alle Dateien eines Nutzers auf dem Server ohne aufwändiges Zutun verschlüsselt werden. Weil die Entschlüsselung der Daten in jedem Fall erst auf dem lokalen PC stattfindet, sind die Daten auch noch während der Übertragung zwischen Server und Client geschützt.
Dieses Programm entfaltet seinen Schutz bei allen EDV-Anwendungen, bei denen der Nutzer Texte, Tabellen oder andere Dateien, die auf einem so genannten Ablageserver gespeichert sind, bearbeitet. Greift er dagegen auf Daten in einer Datenbank zu, die vielen Nutzern zur Verfügung steht, oder ruft er seine E-Mail aus einem von der Dienststelle betriebenen E-Mail-Server ab, bedarf es speziell darauf abgestimmter Konzepte, um auch dabei einen vergleichbaren Schutz zu erreichen.

4.2 Schutzmaßnahmen bei der Internet-Nutzung

Wer Computer mit dem Internet verbindet, geht damit zahlreiche Risiken ein. Notwendig sind daher Maßnahmen wie Firewalls, die Hackerangriffe abwehren. Weil trotz aller Sorgfalt Lücken in diesen Schutzmauern nicht auszuschließen sind, empfiehlt es sich, schutzbedürftige Daten zu verschlüsseln, damit ein Angreifer, der die Barrieren überwunden hat, zumindest keine Daten im Klartext lesen kann. Weil davon auch das Innenministerium ausgeht und eine flächendeckende Verschlüsselung für nötig hält, bat es das Unternehmen, das es mit der Erstellung einer "Konzeptstudie zur Realisierung einer sicheren Internet-Anbindung der Landesverwaltung" beauftragt hatte, in dieser auch zu prüfen, welche Rolle die Verschlüsselung der Daten spielen kann. Bedauerlicherweise maß die Studie gleichwohl dieser Frage keine große Bedeutung bei und stellte lediglich ganz allgemein dar, wozu eine Verschlüsselung zu gebrauchen ist.
Bei näherer Betrachtung hätte sich gezeigt, dass die Verschlüsselung zwar einen guten zusätzlichen Schutz bietet, dieser aber nicht gegen alle denkbaren Angriffe wirksam ist. Viele Hacker sind beim Angriff auf einen Computer darauf aus, die Kennung des Administrators zu knacken. Gelingt ihnen das, können sie auf alle gespeicherten Daten zugreifen. Sind diese jedoch so verschlüsselt, dass sie nur für die jeweiligen Bearbeiter lesbar sind, kann auch der Administrator und demzufolge ein Hacker diese Daten nicht im Klartext lesen. Gegenüber solchen Angriffen bietet die Verschlüsselung zusätzlichen Schutz. Demgegenüber ist die Verschlüsselung wirkungslos, wenn es dem Angreifer z. B. mittels eines Computervirus gelingt, einen Nutzer, der zum Zugriff auf die verschlüsselten Daten berechtigt ist, zur Ausführung eines Programmes zu bringen, das dann auf gespeicherte Daten zugreift und diese an den Angreifer sendet. Zudem kann die Verschlüsselung keinesfalls verhindern, dass schutzbedürftige Daten durch einen Angreifer geändert oder gelöscht werden.

4.3 Verschlüsselung beim elektronischen Dokumentenversand

Eine Arbeitsgruppe der Organisationsreferenten der Ministerien befasste sich geraume Zeit mit der Frage, in welchen Fällen Daten verschlüsselt zu übertragen sind und wann darauf verzichtet werden kann. Sie kam, was zu erwarten war, zum Ergebnis, dass personenbezogene oder andere schutzbedürftige Daten beim Versand über das Internet oder andere offene Netze zu verschlüsseln sind. Beim Versand von Daten über andere Übertragungswege gehen allerdings die Auffassung der Arbeitsgruppe und unsere um einiges auseinander:

  • Verschlüsselung innerhalb eines lokalen Netzwerks
    Bei der Datenübertragung in lokalen Netzwerken (LAN) sah die Arbeitsgruppe in der Regel keinen Grund zur Verschlüsselung. Wie bereits beim BK-Outsourcing aufgezeigt, kann aber im LAN ebenfalls eine Verschlüsselung erforderlich sein. Auch wenn ein lokales Netz über mehrere Standorte verteilt ist, die durch angemietete Telekommunikationsleitungen miteinander verbunden sind, sind Vertraulichkeit und Unverfälschtheit (Integrität) der im lokalen Netz übertragenen Daten ohne Verschlüsselung nicht ohne weiteres sichergestellt. Ein Verzicht auf Verschlüsselung im LAN als Regelfall kann daher allenfalls bei solchen Dienststellen in Frage kommen, die ihre Netzinfrastruktur und ihr BK-System selbst betreiben. Aber auch dann kann der Umgang mit besonders sensiblen personenbezogenen Daten die Verschlüsselung erfordern. Die Verschlüsselung ist beispielsweise geeignet zu verhindern, dass der Systemverwalter eines Landratsamts auf Daten des Gesundheitsamts oder einer psychologischen Beratungsstelle, die zum Landratsamt gehören, zugreifen kann.
  • Verschlüsselung im Landesverwaltungsnetz
    Auch bei dem von einem privaten Unternehmen betriebenen Landesverwaltungsnetz oder bei vergleichbaren Netzen sah die Arbeitsgruppe "nur für wenige Dateien" die Notwendigkeit, sie zu verschlüsseln. Ein solcher grundsätzlicher Verzicht auf die Verschlüsselung wäre nur vertretbar, wenn auf andere Weise zuverlässig sichergestellt ist, dass die übertragenen Daten nicht unberechtigt gelesen werden können. Da das vom Betreiber des Landesverwaltungsnetzes selbst erarbeitete Datenschutz- und Sicherheitskonzept keine konkreten Aussagen über die ergriffenen Schutzmaßnahmen enthält (vgl. 21. Tätigkeitsbericht, LT-Drs. 12/5740, S. 18) und auch die weiteren, uns im Laufe des Jahres zur Verfügung gestellten Unterlagen in dieser Hinsicht Fragen offen ließen, kann man nicht ohne weiteres die Sicherheit des Netzes unterstellen.

Leider folgte der Landessystemausschuss weitgehend dem Vorschlag der Arbeitsgruppe. Es wird weitere Überzeugungsarbeit zu leisten sein.

5. Remote-Access-Technik - eine sinnvolle Nutzung des Internets

Mit dem durch die Liberalisierung des Telekommunikationsmarkts einhergehenden Ausbau der Telekommunikationsnetze erschließen sich auch für die Behörden und sonstigen öffentlichen Stellen im Lande völlig neue, kostengünstige Möglichkeiten, ihre Rechnernetze zu realisieren. Bisher mieteten sie für diesen Zweck in der Regel exklusiv Standleitungen an, die dann allerdings insbesondere in den Nachtstunden meist nicht optimal ausgelastet waren. Insbesondere gewinnt die Nutzung des Internets als Basis eines Behördennetzes beispielsweise auf kommunaler Ebene auf Grund der flächendeckenden Verfügbarkeit von Einwählknoten und der günstigen Kosten vermehrt an Bedeutung. Die Anbieter von Telekommunikationsausrüstung haben darauf reagiert und bieten seit längerem technische Lösungen zur Realisierung eines virtuellen privaten Netzwerks (VPN) an. Damit ist es möglich, ein in die Infrastruktur des Internets eingebettetes, abgeschlossenes privates Netzwerk aufzubauen. Derartige Lösungen sind freilich nur zulässig, wenn sichergestellt ist, dass Unberechtigte nicht auf Daten lesend oder gar schreibend zugreifen können und die an das Internet angeschlossenen Netze und Rechner ausreichend vor Angriffen aus dem Internet geschützt sind. Wenn öffentliche Stellen ihre Telekommunikationsnetze auf der Basis eines VPN realisieren wollen, müssen sie deshalb folgenden Anforderungen Rechnung tragen:

  • Der Aufbau einer Verbindung muss über fälschungssichere Authentifizierungsmechanismen erfolgen. Dabei muss sich nicht nur der Initiator der Verbindung gegenüber dem Rechenzentrum, sondern umgekehrt auch dieses gegenüber demjenigen, der die Verbindung aufbauen will, zweifelsfrei identifizieren. Nur so kann dieser sicher sein, dass die beabsichtigte Verbindung tatsächlich auch zustande gekommen ist. Die normale Benutzerauthentifizierung von Betriebssystemen durch Benutzerkennung und Passwort reicht für diesen Zweck nicht aus. Vielmehr sind zertifikatsbasierte Lösungen durch Chip-Karten vorzuziehen.
  • Alle Daten, die über eine Internet-VPN-Verbindung übertragen werden sollen, müssen hinreichend sicher verschlüsselt werden.

Wird, wie z. B. bei der Einrichtung von Telearbeitsplätzen, ein einzelner PC über ein VPN an ein Behördennetz angebunden, sind folgende flankierende Maßnahmen vorzusehen:

  • Die Systemintegrität des PC muss sichergestellt sein. Das bedeutet, dass Betriebssysteme, die keine Trennung in Administratorenrolle und Benutzerrolle kennen und damit jedem Nutzer beliebige Zugriffsrechte beispielsweise auf Dateien und Systemkonfiguration einräumen, nicht eingesetzt werden dürfen. Wissentliche oder unwissentliche Änderungen an der Konfiguration der VPN-Software oder des Betriebssystems dürfen für normale Nutzer nicht möglich sein.
  • Neben VPN-Verbindungen dürfen vom PC aus keine weiteren Verbindungen zum und vom Internet möglich sein. Eine Realisierung setzt daher den Einsatz einer sog. Personal Firewall auf dem einzelnen PC voraus, der nur die VPN-Verbindungen gestattet. Soll der PC auf das Internet zugreifen können, so darf der Zugriff nur über die VPN-Verbindung und über das Behördennetz erfolgen.
  • Wenn die Netze größerer Organisationseinheiten miteinander verbunden werden, muss die Anbindung ohnehin über ein Firewall-System geschehen, wobei dann auch Maßnahmen gegen Denial-of-Service-Angriffe auf die die VPN-Verbindung herstellenden Netzknotenrechner ergriffen werden sollten. Beispielsweise muss es im Zusammenwirken mit dem Service-Provider möglich sein, kurzfristig die IP-Adresse und, sofern notwendig, den IP-Namen dieser Router zu ändern, um so derartigen Angriffen ihre Gefährlichkeit zu nehmen.

6. Internet-Wahlen - Idee mit Zukunft oder Büchse der Pandora?

Wohin man auch schaut - bei Bundestags-, Landtags- oder Kommunalwahlen - lässt die Wahlbeteiligung oft sehr zu wünschen übrig. Dies hat natürlich verschiedene Ursachen, eine davon ist gewiss die Bequemlichkeit mancher Wähler, die weder das Wahllokal aufsuchen noch das Verfahren der Briefwahl durchlaufen wollen. Ist dann noch am Wahltag schlechtes Wetter, bleiben manche, die eigentlich zur Wahl gehen wollten, daheim in der warmen Stube. Wäre es da nicht ein Segen, wenn der Wähler seine Stimme vom heimischen PC aus via Internet abgeben könnte? Derartige Ideen gibt es schon seit geraumer Zeit und im Rahmen eines Modellprojekts wurde an der Universität Osnabrück schon eine amtliche Wahl per Internet durchgeführt. Zwei Städte im Land wollten da nicht hintan stehen. Sie entschlossen sich, die Wahl ihrer Jugendgemeinderäte über das Internet durchzuführen in der Hoffnung, dadurch die Jugendlichen über ein ihnen vertrautes Medium zu erreichen und zur Stimmabgabe zu animieren. Weil die Gemeindeordnung nur regelt, dass ein Jugendgemeinderat eingerichtet werden kann, nicht aber wie dieser zustande kommt, gibt es dafür auch keine rechtlichen Hindernisse. In beiden Städten bestand aber Einigkeit darüber, dass die Wahl allgemein, frei, gleich und geheim sein sollte. Als wir jedoch die Konzeptionen näher unter die Lupe nahmen zeigte sich: Auch hier ist nicht alles Gold was glänzt. Die getroffenen technischen und organisatorischen Schutzvorkehrungen waren nicht so, dass eine 100%ige Garantie für allgemeine, freie, gleiche und geheime Internet-Wahlen gegeben war.

  • Der Wahlserver
    Damit eine Stimme tatsächlich gewertet wird und nicht auf Abwege gerät, muss gewährleistet sein, dass der Wähler tatsächlich mit dem Wahlserver der Gemeinde in Verbindung tritt. Hierzu bedarf es des Einsatzes authentifizierender Mechanismen über so genannte Serverzertifikate, die den Wahlrechner gegenüber dem Wähler auf sichere Art und Weise eindeutig identifizieren. Andernfalls könnte sich ein übel meinender Zeitgenosse dazwischen schalten, so dass abgegebene Stimmen bei ihm auf- oder durchlaufen. Eine derartige Authentifizierung gab es bei beiden Wahlen nicht.
  • Der Netzzugang
    Selbstverständlich dürfen Wähler bei der Stimmabgabe nicht behindert werden. Genau das war aber in einer Stadt der Fall, weil durch Defizite in der Konfiguration des Internet-Namensdienstes DNS die Wähler, die den Zugriff auf das Internet über einen von ihrem Provider betriebenen so genannten Proxy-Server vornahmen, keine Verbindung zu dem Wahlrechner der Gemeinde aufbauen konnten.
    Um einen ungehinderten Zugang zum Wahlserver zu gewährleisten, gilt es aber auch Folgendes zu bedenken:
    Das Verfahren muss so gestaltet sein, dass es unabhängig davon funktioniert, welchen Browser der Wähler verwendet.
    Darüber hinaus muss sichergestellt sein, dass niemand den Zugriff auf den Wahlserver einschränken oder verhindern kann, indem er den Rechner dermaßen in Anspruch nimmt, dass andere Teilnehmer nicht mehr auf dieses System zugreifen können. Es ist also die effiziente Abwehr dieser so genannten Denial-of-Service-Angriffe vonnöten.
  • Die Anonymisierung
    Eine der beiden Städte verwendete zur Anonymisierung sog. Transaktionsnummern (TAN). Diese wurden von einem Trust-Center generiert und in verschlossenen Umschlägen an die Stadt geschickt. Diese wiederum sandte die Umschläge zusammen mit den übrigen Wahlunterlagen an die wahlberechtigten Jugendlichen. Bei der Stimmabgabe mussten die Wähler dann die TAN dem elektronischen Votum hinzufügen. Dieses Vorgehen hätte der Feststellung, wer welche Stimme abgegeben hat, Tür und Tor geöffnet. Die mit der Durchführung der Wahl betrauten Mitarbeiter der Stadt hätten dazu nur die Umschläge mit den TAN öffnen, die TAN notieren, anschließend in einen anderen Umschlag stecken und aufschreiben müssen, welche TAN an welchen Wahlberechtigten geschickt worden war. Bei der Wahlhandlung hätten sie sich dann nur noch Zugang zu der Datei verschaffen müssen, in der die Stimmen gespeichert sind. So wäre die Anonymisierung ad absurdum geführt worden.
    In der anderen Stadt wurde die Identifizierung des Wählers bei der Stimmabgabe nicht durch die Vergabe einer TAN, sondern mit einer Chipkarte vorgenommen. Zugleich wurde die Stimme mit dem öffentlichen Schlüssel eines asymmetrischen Verschlüsselungsverfahrens verschlüsselt und signiert zum Wahlrechner geschickt. Würden die verschlüsselten Stimmen zusammen mit der Signatur gespeichert werden, könnte derjenige, dem der private Schlüssel z. B. durch unvorsichtiges Verhalten des Wahlleiters oder seiner Mitarbeiter bekannt geworden ist, die Beziehung zwischen der Signatur, also dem Wähler, und seinem Votum herstellen. Mit dem Wahlgeheimnis wäre es aus und vorbei. Zudem muss technisch ausgeschlossen sein, dass der Wahlleiter, in dessen Besitz sich bis zur Auszählung der zu dem öffentlichen Schlüssel korrespondierende private Schlüssel befindet, Zugriff auf die Stimmzettel hat.
  • Transparenz des Verfahrens
    Bei manchen Wahlen kommt es auf eine oder einige wenige Stimmen an. Könnte bei einer Internet-Wahl jemand, z. B. ein Mitarbeiter der Gemeinde, der über das notwendige technische Know-how verfügt, oder ein Programmierer mit im Verfahren versteckten Einfallstoren Stimmen verändern oder hinzufügen oder das Wählerregister manipulieren, kann das weitreichende Folgen haben. Deshalb muss hier besonders genau geprüft werden, dass das Verfahren ordnungsgemäß arbeitet und Manipulationen durch Verschlüsselung und andere Sicherungsmaßnahmen so weit wie möglich ausgeschlossen sind.
    Bei Internet-Wahlen kann die automatisierte Auszählung im Rechner naturgemäß nicht mit Argusaugen überwacht werden. Deshalb ist es unerlässlich, auch den Auszählungsvorgang transparent zu machen und sich vorher vom ordnungsgemäßen Funktionieren der Auszählung zu vergewissern. Bei beiden Wahlen war das nicht der Fall. Ob beispielsweise durch einen beabsichtigten oder unbeabsichtigten Softwarefehler Stimmen nicht gezählt oder Stimmzettel mehrfach gezählt wurden, war nicht auszuschließen. Auch war nicht erkennbar, ob die Datenbanken, in denen die Stimmzettel anonymisiert gespeichert waren, gegen Manipulationen effektiv geschützt waren.
    Wer eine Wahl durchführt, kann bei alledem nicht einfach darauf vertrauen, das erworbene Verfahren werde schon ordnungsgemäß funktionieren und keine Schwachstellen aufweisen. Vielmehr ist hier eine besondere Prüfung des Verfahrens auf Korrektheit am Platz. Die Zertifizierung der für den Wahlprozess eingesetzten Software durch eine neutrale und vertrauenswürdige Institution halte ich dabei für unerlässlich.

Alles in allem: Würden diese Verfahren der Internet-Wahl auch bei Landtags- oder Kommunalwahlen angewandt, wären sie teils als noch nicht sicher genug einzustufen und müssten nachgebessert werden, teils müsste durch Zertifizierung nachgewiesen sein, dass die nötigen Schutzmaßnahmen gegen Angriffe und Manipulationen im Verfahren auch vorhanden sind.

7. Die Mängelliste - Ergebnisse unserer Kontrollbesuche

Auch in diesem Jahr stellten wir bei Kontrollen eine ganze Reihe technisch-organisatorischer Mängel fest. Die folgende, keineswegs vollständige Übersicht soll einen Eindruck davon vermitteln, wo bei der Realisierung eines angemessenen technisch-organisatorischen Datenschutzes der Schuh drückt:

7.1 Verfahrensverzeichnis

Jede öffentliche Stelle, die automatisiert personenbezogene Daten verarbeitet, muss ein Verfahrensverzeichnis führen und darin eine Reihe datenschutzrelevanter Angaben über die von ihr eingesetzten EDV-Verfahren eintragen. Näheres hierzu ist unseren Hinweisen zum Verfahrensverzeichnis zu entnehmen, die im Internet unter www.baden-wuerttemberg.datenschutz.de abgerufen werden können. Eine solche schriftliche Dokumentation ist allein schon deswegen notwendig, damit die Stelle selbst den Überblick darüber behält, was sie mit Hilfe der EDV eigentlich tut und welche Daten sie auf welche Weise verarbeitet.
Drei Krankenhäuser führten nur unzulängliche Verfahrensverzeichnisse. Teils waren notwendige Angaben überhaupt nicht enthalten. Teils waren die Angaben zu allgemein und als Datenart beispielsweise nur medizinische Daten genannt.
Ein Bürgermeisteramt speicherte die Seriennummern für Passanträge mit einem Tabellenkalkulationsprogramm und erfasste dabei auch die Namen der Antragsteller. Es benutzte diese Datei wie eine Datenbank und gewährte mehreren Mitarbeitern Zugriff auf diesen Datenbestand. Auch solche Dateien müssen aber in das Verfahrensverzeichnis aufgenommen werden, wenn darin personenbezogene Daten dauerhaft gespeichert werden.

7.2 Zugriffsschutz

Werden personenbezogene Daten elektronisch gespeichert, sind diese gegen unberechtigte Nutzung zu schützen. Dazu gehört, dass

  • sich alle Computernutzer mit Hilfe einer individuellen Anmeldung und einem geheimen Passwort gegenüber dem Computer als zugriffsberechtigte Nutzer ausweisen. Was dabei im Einzelnen zu beachten ist, ist unseren "Hinweisen zum Umgang mit Passwörtern" zu entnehmen, die im Internet unter www.baden-wuerttemberg.datenschutz.de abrufbar sind,
  • durch individuelle Zugriffsberechtigungen sichergestellt ist, dass jeder Computernutzer nur auf die Daten zugreifen kann, die er benötigt,
  • Bildschirmschoner eingerichtet werden, die den Bildschirm automatisch nach einigen Minuten ohne Eingaben abdunkeln und mit einer Sperre versehen, die nur durch ein Passwort aufgehoben werden kann.

Leider war diesen altbekannten Anforderungen nicht durchweg Rechnung getragen:

  • Passwortschutz unzulänglich
    In zwei Behörden waren weder Mindestlänge noch ein automatischer Verfall der Passwörter sichergestellt. Es gab auch keine Anmeldesperre nach mehreren Anmeldefehlversuchen und bei einem Passwortwechsel konnten frühere Passwörter wieder verwendet werden.
    In einem Krankenhaus verfielen einige der verwendeten Passwörter nicht automatisch nach einer gewissen Zeit. Ferner fehlte auch hier eine Anmeldesperre nach mehreren Fehlversuchen. Zudem war nicht sichergestellt, dass die Nutzer ihr vom Systemverwalter zugeteiltes Passwort bei der ersten Anmeldung durch ein eigenes ersetzen.
    Eine Beratungsstelle betrieb einen PC ganz ohne Passwortschutz und speicherte darauf Schreiben mit Informationen über Klienten und Vermerke über Beratungsgespräche. An einem weiteren PC garantierte der Passwortmechanismus weder eine Mindestlänge noch war die Anzahl der Anmeldefehlversuche beschränkt. Unzureichend war ferner, dass nach der Anmeldung jeder Nutzer auf alle im PC gespeicherten Daten zugreifen konnte, obwohl dies dienstlich nicht notwendig war. Alle diese Mängel wogen besonders schwer, da die PC vom Flur der Beratungsstelle aus frei zugänglich waren und die Bildschirmschoner nicht einmal einen Passwortschutz aufwiesen.
    In einem Krankenhaus übernahmen jeweils zwei Ärzte für 24 Stunden die Funktion "Arzt vom Dienst" und nutzten während dieser Zeit eine Benutzerkennung mit besonders umfangreichen Berechtigungen. Beim Schichtwechsel nannten sie den Nachfolgern jeweils das von ihnen gewählte Passwort. Dabei könnte leicht bekannt werden, wie der eine oder andere sein Passwort jeweils bildet. Ein Missbrauch der Kennung wäre nicht ausgeschlossen.
  • Bildschirmschoner nicht datenschutzgerecht genutzt
    Eine Stadt und ein Krankenhaus hatten zwar Bildschirmschoner eingerichtet, diese aber nicht mit einem Passwortschutz versehen.
    Ein anderes Krankenhaus überließ es den Mitarbeitern, ob an ihrem PC ein passwortgeschützter Bildschirmschoner zum Einsatz kam oder nicht.
    Ein weiteres Krankenhaus hatte nur an einem Teil der von ihm eingesetzten PC passwortgeschützte Bildschirmschoner eingerichtet. Und selbst dort war der Schutz nur sehr gering: An mehreren Arbeitsplätzen bestand dieses Passwort nur aus einem Buchstaben. Über einem Monitor der Pforte war das Passwort auf einem Zettel notiert. Außerdem hätten die Mitarbeiter den Bildschirmschoner und dessen Passwortschutz jederzeit deaktivieren können.

7.3 Nur erforderliche Software installieren

Viele Computerprogramme können auch zur Verarbeitung personenbezogener Daten genutzt werden. Um ein mögliches Missbrauchsrisiko von vornherein so gering wie möglich zu halten, dürfen diese Programme nur dort installiert und zur Nutzung bereitgestellt werden, wo dies zur Erfüllung dienstlicher Aufgaben benötigt wird.
Zwei Behörden nahmen es damit offenbar nicht so genau: Die eine hatte an jedem Arbeitsplatz ein Datenbanksystem installiert, mit dem die Nutzer eigene Datenbanken hätten aufbauen und betreiben können. Aber längst nicht jeder Behördenmitarbeiter benötigt derart leistungsfähige Werkzeuge. Bei der anderen Dienststelle räumte eine stichprobenweise befragte Mitarbeiterin ein, Software nutzen zu können, die sie dienstlich nicht benötigt.

7.4 Dateifreigaben im Netz

Werden mehrere PC über ein Netzwerk miteinander verbunden, so kann man, ohne einen speziellen Computer (Server) bereitstellen zu müssen, von einem PC aus auf Daten zugreifen, die auf einem anderen gespeichert sind. Voraussetzung ist freilich, dass die Daten auf dem bereitstellenden PC ausdrücklich für einen Zugriff über Netz freigegeben sind.
Bei zwei Kontrollen mussten wir feststellen, dass die Mitarbeiter von diesen Möglichkeiten Gebrauch gemacht hatten, ohne dass dies den für die EDV-Sicherheit Verantwortlichen bekannt war.
Problematisch war dabei, dass jeder Nutzer der vernetzten PC alle auf der lokalen Festplatte seines PC gespeicherten Daten zum Zugriff über Netz freigeben konnte. Eine spezielle Dienstanweisung oder sonstige organisatorische Vorgaben zum Umgang mit dieser Möglichkeit gab es in beiden Fällen nicht. Zudem war der Passwortschutz, der unberechtigte Zugriffe auf freigegebene Daten verhindern sollte, unzulänglich. Die Anzahl der möglichen Anmeldefehlversuche war nämlich nicht beschränkt.

7.5 Diskettenlaufwerke

Ein frei zugängliches Diskettenlaufwerk birgt stets das Risiko, dass Computerviren oder andere unerwünschte Programme oder Daten auf den PC gelangen sowie dass umgekehrt personenbezogene Daten vom PC abgezogen und Dritten, für die sie nicht bestimmt sind, zugänglich werden. Außerdem kann der Computer, sofern dies nicht über weitere Einstellungen verhindert wird, über das Diskettenlaufwerk mit einem fremden Betriebssystem gestartet und mit dessen Hilfe vorhandene Zugriffsbeschränkungen möglicherweise umgangen werden. Um all das zu verhindern, sollten Diskettenlaufwerke, die nicht regelmäßig für dienstliche Zwecke benutzt werden, verriegelt oder deaktiviert werden.
Dies wird nicht überall beherzigt: Obwohl die Mitarbeiter zweier Dienststellen in der Regel nicht mit Disketten an ihrem PC arbeiten mussten, konnte jeder die Diskettenlaufwerke seines PC nutzen.
7.6 Computerreparatur/P>

Wer einen Computer oder eine Festplatte, auf dem personenbezogene Daten gespeichert sind, zur Reparatur gibt, muss besonders sorgfältig vorgehen. Ein Landratsamt, das es daran hatte fehlen lassen, sah sich plötzlich damit konfrontiert, dass eine von ihm früher genutzte Festplatte, auf der noch ca. 900 Schreiben der Führerscheinstelle gespeichert waren, auf einem Flohmarkt auftauchte. Dabei stellten wir unter anderem fest:

  • Daten zu lange gespeichert
    Als die Festplatte ausgewechselt wurde, waren darauf bis zu 5 Jahre alte Schreiben gespeichert. Da die gespeicherten Briefe in erster Linie der Abwicklung der Korrespondenz dienten, hätte auch eine Speicherdauer von drei Monaten ausgereicht.
  • Keine Datenschutzvereinbarung bei Reparaturauftrag
    Obwohl das Landratsamt bereits vermutete, dass der Defekt des PC mit der Festplatte zu tun hatte, traf es im Auftrag keine spezielle Vereinbarung über den Umgang mit den auf der Festplatte gespeicherten personenbezogenen Daten.

7.7 Fernwartung

Wird ein Unternehmen mit Fernwartungsarbeiten betraut, erfordert dies einen schriftlichen Auftrag. Da dabei eine fremde Stelle Zugriff auf das DV-System erhält, sind die notwendigen Datenschutzmaßnahmen präzise festzulegen. Woran dabei aus Sicht des Datenschutzes zu denken ist, ist unserer Orientierungshilfe zur Fernwartung zu entnehmen, die im Internet-Angebot meiner Dienststelle unter www.baden-wuerttemberg.datenschutz.de abgerufen werden kann.
Vier Aufträge, die diesen Anforderungen nicht gerecht wurden, hatte ein Krankenhaus und nicht weniger als sieben solcher Aufträge hatte eine Stadtverwaltung abgeschlossen. Letztere hatte zudem die zum Verbindungsaufbau erforderlichen Passwörter im Klartext in einer Tabelle notiert. Leicht hätten sie dadurch Unberechtigten bekannt werden können.
Bei einem weiteren Krankenhaus und zwei Behörden war nicht nur das Fehlen jeglicher schriftlicher Vereinbarungen zu bemängeln, dort hätte der Auftragnehmer sogar jederzeit auch ohne Mitwirkung oder vorherige Information des Krankenhauses auf dessen Computer zugreifen können.
Ein Krankenhaus gestattete seinem Auftragnehmer die Einschaltung von Unterauftragnehmern, allerdings ohne sich vorzubehalten, Subunternehmen, die es nicht als ausreichend zuverlässig ansieht, vom Online-Zugriff auf seine Computer auszuschließen. Ferner hätte der Auftragnehmer vertraglich verpflichtet werden müssen, seinerseits die Subunternehmer vertraglich zur Einhaltung der gleichen Datenschutzregelungen zu verpflichten, die er zu beachten hat.

7.8 Internet-Anschluss

Der Anschluss eines Computernetzwerks an das Internet bringt vielfältige Risiken für den Datenschutz mit sich. Einen Überblick darüber sowie über mögliche Gegenmaßnahmen gibt unser Merkblatt zu Internet und Datenschutz, das im Internet unter www.baden-wuerttemberg.datenschutz.de zum Abruf bereitsteht. Erfreulich war, dass alle Stellen ihr lokales Netzwerk durch eine Firewall vor den im Internet lauernden Gefahren abgesichert hatten. Bei der Art und Weise, wie diese geplant und realisiert wurde, gab es jedoch eine Reihe von Unzulänglichkeiten:

  • Keine redundante Auslegung sicherheitsrelevanter Funktionen
    Während es zu einer sicherheitsorientierten Vorgehensweise bei der Realisierung von Firewalls gehört, sicherheitskritische Bestandteile der Firewall mehrfach und in technisch unterschiedlicher Ausführung zu realisieren (Prinzip von Redundanz und Diversifikation), hatten eine Stadtverwaltung und zwei Krankenhäuser diese jeweils nur in einfacher Ausführung realisiert.
  • Zu viele Kommunikationsmöglichkeiten gestattet
    Bei der Konfiguration einer Firewall ist stets nach dem Grundsatz vorzugehen, dass nur die unbedingt notwendigen Kommunikationsmöglichkeiten zugelassen werden. Ein Krankenhaus hatte jedoch mehrere Kommunikationsmöglichkeiten gestattet, die niemand dienstlich benötigte. Für die Durchführung von Systemarbeiten war ferner der Verbindungsaufbau mit einem einzelnen Computer notwendig: Das Krankenhaus hatte aber den Verbindungsaufbau zu beliebigen Computern im Internet gestattet.
  • Verbindungen an der Firewall vorbei zugelassen
    Ein Krankenhaus ließ es zu, dass eine Systemverwalterin von ihrem vernetzten internen Arbeitsplatz-PC unter Umgehung der Firewall ungeschützt auf das Internet zugreifen konnte.
  • Unzureichender Schutz vor Gefahren, die von aktiven Web-Inhalten ausgehen
    Drei Krankenhäuser und eine Stadtverwaltung hatten keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen, um sich vor unerwünschten Wirkungen der beim Surfen anzutreffenden aktiven Inhalte wie z. B. Java, JavaScript, Active-X-Controls zu schützen.
  • Konzeptionelle Mängel
    Ein Krankenhaus hatte die für die Einrichtung einer Firewall unerlässliche schriftliche Konzeption nur lückenhaft erstellt: Weder war ihr zu entnehmen, wozu es den Internet-Anschluss benötigt, noch war genannt, welche Risiken die geplante Nutzung mit sich bringt und wie diese vermieden werden sollen. Auch die von einer Stadt vorgelegte Konzeption schwieg sich zu den Punkten Kommunikationsbedarf und Risiken aus. Außerdem hieß es darin, sie sei lediglich als "erster Konfigurationsvorschlag" anzusehen. Ein anderes Krankenhaus erreichte nicht einmal dieses Niveau: Es musste einräumen, dass es seinen Internet-Anschluss ganz ohne schriftliche Konzeption realisiert hatte.

7.9 Einwahlverbindungen

Wer seine Computer mit dem öffentlichen Telekommunikationsnetz verbindet und beispielsweise für die Fernwartung die Einwahl per ISDN oder Modem auf diese Computer gestattet, öffnet damit eine Tür, durch die unter Umständen auch ungebetene Gäste auf den Computer gelangen können. Notwendig ist daher, sich genau zu überlegen, wie die Einwahlmöglichkeiten gestaltet werden, und für jede Konfigurationsoption zu prüfen, ob diese für die angestrebte Nutzung notwendig ist. Daran ließ es ein Krankenhaus mangeln, das für die Einwahlverbindungen nicht nur das tatsächlich benötigte Kommunikationsprotokoll, also quasi die Sprache, mit der sich die Computer miteinander verständigen, sondern gleich noch zwei weitere zugelassen hatte.

7.10 Sicherheitsrelevante Einstellungen der Netzknoten-Computer nicht bekannt

Verbindet man ein lokales Netzwerk mit dem Landesverwaltungsnetz oder dem Kommunalen Verwaltungsnetz, so eröffnet dies weitreichende Möglichkeiten zum Datenaustausch mit anderen, an diese Netze angeschlossenen Stellen. Inwieweit diese Möglichkeiten tatsächlich bestehen, hängt unter anderem von den Einstellungen der zur Netzkoppelung verwendeten Netzknoten-Computer (Router) ab. Mitunter ist den Dienststellen gar nicht bekannt, wie diese Netzknoten-Computer konfiguriert sind und welche Daten sie passieren lassen und welche nicht. Ohne dieses Wissen lässt sich aber nicht beurteilen, ob und, wenn ja, welche Sicherheitsrisiken sich aus diesem Anschluss für ihr internes Netz ergeben. Zwei Justizbehörden verfügten nicht über diese Informationen.

7.11 Drucker im Serverraum

Wer über ein modernes lokales Netzwerk verfügt, speichert in der Regel alle selbst erstellten Schreiben, die in Datenbanken erfassten Datensätze sowie sonstige Daten zentral auf speziell dafür eingerichteten Servern. Das macht es nötig, diese Server besonders zu schützen. Dazu gehört, dass Server in einem Raum aufgestellt sein sollten, der nicht noch anderen Zwecken dient.
Das ließ ein Krankenhaus außer Acht, das in einem Raum neben einem Buchhaltungsserver noch mehrere Drucker betrieb und allen Mitarbeitern der Buchhaltung gestattete, diesen Raum zu betreten. Wie zur Demonstration, wie problematisch dies ist, lag zum Zeitpunkt unseres Kontrollbesuchs auf dem Server auch noch ein Sicherungsband, das man mühelos hätte mitnehmen können.

7.12 Löschung unvollständig und ohne Konzept

Öffentliche Stellen dürfen personenbezogene Daten nicht ewig speichern, sondern stets nur so lange, wie dies zur Erledigung ihrer Aufgaben erforderlich ist. Unumgänglich ist daher, dass jede Stelle für sich festlegt, wie lange sie die einzelnen Datenarten benötigt und wann sie zu löschen sind. Doch eine solche Festlegung fehlt häufig.

7.13 Dienstanweisung

Jede Stelle, die personenbezogene Daten verarbeitet, muss die zum Datenschutz erforderlichen Verhaltensregeln für die Mitarbeiter in einer Dienstanweisung zum Datenschutz festlegen. Dies geschieht nicht immer mit der notwendigen Sorgfalt:
Ein Krankenhaus besaß nur eine unvollständige Dienstanweisung und bei einer Stadtverwaltung existierte sie nur als Entwurf. Ein Landratsamt hatte überhaupt keine erlassen und meinte dazu, die im Landesdatenschutzgesetz verankerte Pflicht zum Ergreifen der erforderlichen Schutzmaßnahmen verpflichte ja unmittelbar jeden Mitarbeiter, das jeweils Notwendige zu tun. Weiteres sei überflüssig.
Kontakt
Impressum