-> Home -> Der LfD -> Tätigkeitsberichte -> 2003
  Inhalte:
  Aufgaben und Befugnisse des Landesbeauftragten
  Kontakt
  Pressemitteilungen
  Tätigkeitsberichte
  Entschließungen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
 

24. Tätigkeitsbericht 2003 -Inhaltsverzeichnis

 

24. Tätigkeitsbericht 2003 - 5. Teil

5. Teil: Technik und Organisation

1.

Schwierigkeiten auf dem Weg zur anonymen Nutzung elektronischer Dienstleistungen

1.1

Technische Hürden für die anonyme Nutzung

1.2

Speicherung personengebundener Hinweise BTMK und DROG in der PAD

1.3

Vorbehalten staatlicher Sicherheitsbehörden

2.

Aktuelle Entwicklungen im Bereich der elektronischen Signatur

3.

Chancen und Risiken von Trusted Computing

4.

Internet und eGovernment

4.1

e-Bürgerdienste-Portal Baden-Württemberg

4.2

Entschließung zum automatischen Software-Update

5.

Neue Technologien

5.1

Datensicherheit beim Einsatz von Funknetzwerken (WLANs)

5.2

Bluetooth - datenschutzrechtlich auf den Zahn gefühlt

5.3

Nutzung von DSL-Technik

5.4

Zugriffskontrolle bei USB

6.

Datenspuren bei der Bürokommunikation - Was Word und andere Standardprogramme erkennen lassen

 

 

1. Schwierigkeiten auf dem Weg zur anonymen Nutzung elektronischer Dienstleistungen

Als in den 90er Jahren die rechtlichen Rahmenbedingungen für die Nutzung des Internets sowie anderer elektronischer Dienste gesetzt wurden, wurde unter anderem auch darauf Wert gelegt, dass bei der Abwicklung elektronischer Vorgänge nicht automatisch mehr personenbezogene Daten erfasst werden, als dies bei herkömmlicher Erledigung des Vorgangs, also etwa bei einem Einkauf oder bei der Nutzung einer Bibliothek, geschieht. Datenschutz und Datenvermeidung wurden dabei als Qualitätsmerkmale dieser Dienste angesehen. Vor diesem Hintergrund wurden Anbieter von Tele- und Mediendiensten verpflichtet, auch eine anonyme oder pseudonyme Nutzung und Bezahlung ihrer Dienstleistungen zu ermöglichen, sofern dies realisierbar ist. Doch selbst wenn alle Anbieter elektronischer Dienste diesen Anforderungen Rechnung tragen, läuft die Dienstenutzung insgesamt noch nicht zwangsläufig anonym ab. Beispielsweise kann es dann trotzdem noch sein, dass der Internet-Provider, auf dessen Dienstleistungen man angewiesen ist, um die Tele- und Mediendienste zu nutzen, personenbezogen registrieren kann, welcher seiner Kunden wann welche Angebote nutzt. Neben den Schwierigkeiten, die einer anonymen Nutzung durch system- und netztechnische Hürden erwachsen, sehen sich anonym nutzbare Angebote nicht selten auch mit grundlegenden Bedenken von Seiten staatlicher Sicherheitsbehörden konfrontiert.

1.1 Technische Hürden für die anonyme Nutzung

Selbst wenn jemand einen an sich anonym nutzbaren Tele- oder Mediendienst nutzt, können die auf anderen Kommunikationsebenen anfallenden Verbindungsdaten Rückschlüsse auf den Nutzer zulassen. Zudem übertragen manche Hard- oder Softwareprodukte weitere, zur Identifizierung verwendbare Daten. Diese können so spezifisch sein, dass der Nutzer später wiedererkannt werden kann und Informationen über sein Nutzungsverhalten Schritt für Schritt in einem Persönlichkeitsprofil zusammengeführt werden können.

Folgende Datenspuren ziehen die Nutzung des Internets sowie des World Wide Web (WWW) nach sich:

  •  IP-Adresse
    IP-Adressen bestehen aus vier durch Punkte voneinander getrennten Zahlen (z. B. 129.69.2.171) und bezeichnen die im Internet erreichbaren Computer. Jedes im Internet transportierte Datenpaket weist seine Herkunft und sein Ziel anhand solcher IP-Adressen nach. Man unterscheidet dabei statische und dynamische IP-Adressen. Statische IP-Adressen sind einzelnen Computern dauerhaft zugeordnet. Über diese Zuordnung ist vielfach auch ein Rückschluss auf den oder die Nutzer möglich. Dynamische IP-Adressen erhalten Internet-Nutzer von ihrem Zugangsprovider nur für die Dauer der Nutzung. Dabei kann der Personenbezug aufgedeckt werden, wenn man neben den bei der Internet-Nutzung anfallenden Benutzerspuren (z. B. in Log-Dateien von Web-Servern) auch Kenntnis darüber hat, welche IP-Adresse wann welchem Nutzer zugeordnet war. Nicht auszuschließen ist etwa, dass einzelne Personen als freie Mitarbeiter sowohl für den Internet-Provider wie auch für den Anbieter des genutzten Tele- oder Mediendienstes tätig sind und zumindest technisch die Möglichkeit haben, mit Hilfe der gespeicherten IP-Adressen nachzuvollziehen, wer wann welches Internet-Angebot genutzt hat.
  • Cookies
    Betreiber von Web-Servern können Informationen über den Nutzer und dessen Interessen in einem Cookie auf dem PC des Nutzers speichern. Bei einem späteren Besuch der Web-Seite wird dieses wieder an den Web-Server übertragen. Firmen, die Werbeeinblendungen für zahlreiche Web-Angebote vornehmen, können mit Hilfe von Cookies feststellen, welche unterschiedlichen Web-Angebote ein Nutzer besucht (vgl. 21. Tätigkeitsbericht, LT-Drs. 12/5740, S. 12 f.).
  • Beim Surfen im WWW vom Browser automatisch übertragene Informationen
    Browser übertragen in der Regel Angaben über das auf dem PC eingesetzte Betriebssystem, dessen Versionsstand, den benutzten Browsertyp und dessen Sprachversion an jeden Web-Server, mit dem sie in Verbindung treten. Wechselt man durch Anklicken eines Links von einem Web-Angebot zu einem anderen, so wird dem Server des neu aufgerufenen Angebots mit Hilfe des Referrers zudem mitgeteilt, von welcher zuvor besuchten Seite aus der Wechsel erfolgte.
  • Nutzer- sowie installationsbezogene Informationen in Office-Dokumenten
    Wer beispielsweise ein mit Microsoft Word erstelltes Dokument elektronisch überträgt, kann, wenn er die unter Nummer 6 beschriebenen Schutzmaßnahmen außer Acht lässt, bei der elektronischen Übertragung solcher Dokumente unbeabsichtigt auch eine Reihe personenbezogener Daten übermitteln.
  • Eindeutige Produktkennzeichen
    Manche Hard- und Softwareprodukte versuchen, über Internet mit ihrem Hersteller Verbindung aufzunehmen. Teilweise dient dies dazu zu ermitteln, ob es mittlerweile Updates oder aktuellere Softwareversionen gibt. Eindeutige Produktkennzeichen, wie z. B. die in den Pentium-III-Prozessoren des Herstellers Intel enthaltenen eindeutigen Nummern, Seriennummern von Druckern oder auch die in Office-Produkten enthaltenen Kennungen, können dabei zur Identifizierung des Systems sowie unter Umständen auch seines Nutzers dienen (vgl. dazu auch: Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 25./26. März 1999 zum Thema "Transparente Hard- und Software").

1.2 Möglichkeiten für anonyme Kommunikation

Um anonyme Nutzungen zu ermöglichen, muss auf allen an der Kommunikation beteiligten Ebenen sichergestellt sein, dass dort keine identifizierenden Daten ausgetauscht werden. Geht man davon aus, dass die Anbieter von Tele- und Mediendiensten auf der von ihnen gestalteten Diensteebene anonyme Nutzungsformen ermöglichen, sind auch auf Anwendungs- wie auf der Telekommunikationsebene die Weichen für eine anonyme Nutzung richtig zu stellen. Einiges davon können die Anwender sowie die Behörden oder sonstigen Stellen, die die Computer betreiben, selbst leisten:

  • Konfiguration der eingesetzten Produkte
    Einige der identifizierenden Funktionen lassen sich durch entsprechende Konfiguration der eingesetzten Software abschalten. So lässt sich etwa die Speicherung von Cookies durch entsprechende Browserkonfiguration verhindern. Zum Teil lässt sich zudem verhindern, dass beim Surfen die Referrer übertragen werden.
  • Anpassung der internen Arbeitsabläufe
    Wie am Beispiel der versteckten Informationen in Office-Dokumenten erläutert, kann die Weitergabe identifizierender Angaben zum Teil auch durch darauf abgestimmte Arbeitsabläufe vermieden werden.
  • Informationen über identifizierende Merkmale
    Wesentliche Voraussetzung für das Ergreifen wirksamer Maßnahmen ist, dass die Anwender sich um Informationen über die in den eingesetzten Produkten enthaltenen identifizierenden Funktionen und Kennzeichen bemühen und dass entsprechende Kenntnisse in Behörden an die Nutzer weitergegeben und die Bediensteten auf diese Weise für die Problematik sensibilisiert werden.

Diese Maßnahmen eignen sich vor allem, um auf Anwendungsebene vorhandene Hindernisse für eine anonyme Kommunikation zu beseitigen. Die Möglichkeit, anhand der benutzten IP-Adressen Benutzerprofile zu erstellen, lässt sich allerdings durch Maßnahmen allein auf Seiten der Anwender nicht verhindern. Dazu ist es vielmehr nötig, spezielle Anonymisierungsdienste zu nutzen, die auf der Datentransportebene (Netzwerkebene) wirken. Dazu gibt eine Reihe von Konzepten, die zum Teil auch in der Praxis angeboten werden. Sie unterscheiden sich in dem Ausmaß, in dem sie Anonymität bieten können:

  • Anonymisierungsproxy
    Im einfachsten Fall funktioniert ein solcher Anonymisierungsdienst wie eine in die Kommunikation eingeschaltete Zwischenstation, über die alle Internet-Zugriffe des Nutzers abgewickelt werden. Der Internet-Nutzer teilt dem Proxy jeweils mit, auf welche Internet-Seite er zugreifen möchte. Der Proxy greift dann unter seiner eigenen IP-Adresse auf das gewünschte Angebot zu und leitet die abgerufenen Daten an den Internet-Nutzer weiter. Zum Teil entfernt der Proxybetreiber außerdem weitere Daten, die auf persönliche oder systemtechnische Verhältnisse beim Internet-Nutzer schließen lassen. Ein Internet-Nutzer kann so gegenüber seinen Kommunikationspartnern sowie gegenüber den Anbietern der von ihm genutzten Informationsdienste anonym bleiben, nicht jedoch gegenüber dem Betreiber des Anonymisierungsdienstes. Dieser kann nachvollziehen, wann und unter welchen IP-Adressen welche Informationen abgerufen wurden. Die Verwendung eines solchen Modells setzt voraus, dass sich der Nutzer auf die Vertrauenswürdigkeit des Proxybetreibers verlassen kann.
  • Anonymisierung im Zwiebelschalen-Modell: das Onion-Routing
    Demgegenüber ist das Onion-Routing so konzipiert, dass die Kommunikation stets über mehrere, von unterschiedlichen Personen oder Einrichtungen betriebene Anonymisierungsstationen abgewickelt wird. Dies geschieht so, dass der Betreiber einer einzelnen Anonymisierungsstation nicht mehr nachvollziehen kann, wer wann welches Angebot genutzt hat. Durch Verschlüsselung der übertragenen Daten lässt sich dabei erreichen, dass die Betreiber der meisten Anonymisierungsstationen nicht einmal mehr erkennen können, auf welche Inhalte zugegriffen wird. Die Anonymität der Nutzer bleibt in diesem System gewahrt, sofern nicht die Betreiber sämtlicher genutzter Anonymisierungsstationen die ihnen zugänglichen Informationen miteinander abgleichen.
  • Mix-Technologie
    Beim Einsatz dieser Technologie bieten die Anonymisierungsstationen nicht nur die vom Onion-Routing bekannte Funktionalität, sondern sorgen zudem dafür, dass die bei ihnen eintreffenden Anfragen nicht in der gleichen Reihenfolge weitergeleitet werden. Damit kann die Anonymität der Nutzer sogar dann noch gewahrt werden, wenn man unterstellt, dass ein omnipräsenter Dritter in die Rolle eines "Big Brother" schlüpft und nicht nur Zugriff auf fast alle verwendeten Anonymisierungsstationen hat, sondern auch auf die genutzten Netzwerkverbindungen, und daher registrieren kann, wann über welche Datenverbindungen Daten zwischen welchen Computern oder Anonymisierungsstationen ausgetauscht werden. Ein solches Mix-Modell liegt beispielsweise dem von der TU Dresden in Zusammenarbeit mit dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein betriebenen und für die WWW-Nutzung vorgesehenen AN.ON-Anonymisierungsdienst zugrunde (vgl. http://www.anon-online.de). Gegenwärtig ist dabei allerdings noch nicht die volle Mix-Funktionalität realisiert.

1.3 Vorbehalte staatlicher Sicherheitsbehörden

Staatliche Sicherheitsbehörden betrachten anonyme Nutzungsformen vielfach vor allem unter dem Aspekt, dass diese auch von Straftätern genutzt werden könnten und diese Nutzung nachträglich, etwa im Rahmen staatsanwaltschaftlicher Ermittlungsverfahren, nicht mehr anhand individueller Benutzerspuren nachvollzogen werden könne. Im Rahmen einer Tagung fasste der baden-württembergische Polizeipräsident diese Bedenken Anfang Juli in folgende Worte:

    "Gerade die Möglichkeit des anonymen Agierens ("fake-accounts", Internetcafes, Gratis-Zugänge über Werbe-CDs u. a.) machen dabei das Netz zum willkommenen Freiraum für Straftäter, die sich dieses neuen Tatmittels bedienen und dabei immer ausgefeiltere Tatbegehungsformen entwickeln. Aber auch ansonsten unbescholtene Bürger nutzen die Anonymität des Internets und lassen sich zu Straftaten wie dem Download teurer kommerzieller Software verleiten. Auch hier gilt, wie im 'richtigen Leben', dass Gelegenheit bekanntlich Diebe macht!"

Im Sinne solcher Überlegungen unternahm der Bundesrat bereits mehrfach den Versuch, Anbieter von Kommunikationsdiensten zu verpflichten, die bei ihnen anfallenden Verbindungsdaten in jedem Fall für eine bestimmte Mindestdauer aufzubewahren, also auch dann, wenn diese Daten für Betrieb und Abrechnung der Dienstleistungen nicht mehr benötigt werden. Zuletzt geschah dies im November anlässlich der Bundesratsberatungen zur Novellierung des Telekommunikationsgesetzes. In dem dazu vom Bundeskabinett vorgelegten Gesetzentwurf zur Novellierung des Telekommunikationsgesetzes ist zudem ausdrücklich vorgesehen, eine anonyme Nutzung so genannter Prepaid-Handys zu untersagen. Telekommunikationsunternehmen sollen dazu auch dann zur Erhebung und Speicherung personenbezogener Kundendaten verpflichtet werden, wenn sie diese für eigene Zwecke gar nicht benötigen. In ihrer Entschließung vom 21. November 2003 unter dem Titel "Gravierende Verschlechterungen des Datenschutzes im Entwurf des neuen Telekommunikationsgesetzes" wenden sich die Datenschutzbeauftragten des Bundes und der Länder unter anderem gegen diese beiden Anliegen (s. Anhang 8).

Wie auch auf Grundlage der bestehenden Rechtslage ein datenschutzgerechter Ausgleich der Interessen der Anbieter von Anonymisierungsdiensten sowie der Strafverfolgungsbehörden zu erzielen ist, lässt sich aus der gerichtlichen Behandlung eines Falles ableiten, in dem zu klären war, unter welchen Voraussetzungen die Betreiber des oben bereits erwähnten Anonymisierungsdienstes AN.ON den Strafverfolgungsbehörden welche Informationen zur Verfügung stellen müssen. Dabei ergab sich Folgendes:

  • Das Bundeskriminalamt wollte erreichen, dass der Anonymisierungsdienst Informationen darüber aufzeichnet, welche ursprünglichen IP-Adressen dessen Nutzer verwenden, die mit Hilfe dieses Dienstes auf einen bestimmten strafbaren Inhalt zugreifen. Es hatte dazu eine richterliche Anordnung erwirkt, die die Betreiber des Anonymisierungsdienstes verpflichtete, Auskunft über die näheren Umstände der von ihnen erbrachten Telekommunikationsdienstleistung zu geben. Derartige Anordnungen werden ansonsten beispielsweise benötigt, wenn Strafverfolgungsbehörden von einem Telekommunikationsunternehmen Auskunft darüber erhalten wollen, welche Rufnummern wann und von welchem Anschluss aus angerufen wurden. Obwohl die Anordnung den Anbieter lediglich zur Herausgabe von Daten verpflichtet, vertrat das Bundeskriminalamt die Auffassung, dass die Anordnung den Anbieter für den Fall, dass er über keine Daten verfügt, die er herausgegeben könnte, dazu verpflichte, diese Daten künftig überhaupt erst aufzuzeichnen. Das mit der gerichtlichen Überprüfung befasste Landgericht Frankfurt/M schloss sich jedoch der Auffassung der Betreiber des Anonymisierungsdienstes an, nach der die Verpflichtungzur Herausgabe von Daten nicht zugleich auch eine Verpflichtung zur Aufzeichnung der Daten umfasst.
  • Will eine Strafverfolgungsbehörde die Aufzeichnung solcher Daten durch einen Anonymisierungsdienst erreichen, muss sie dazu eine Anordnung erwirken, wie sie ansonsten zur Telefonüberwachung benötigt wird. Eine solche, nur unter engeren rechtlichen Voraussetzungen zulässige Anordnung, umfasst auch die Verpflichtung, die darin näher zu bezeichnenden Kommunikationsvorgänge aufzuzeichnen.
  • Für den Betrieb eines Anonymisierungsdienstes nach diesen Maßgaben ist allerdings noch zu klären, wie dessen Nutzer auf eine zeitweise vorhandene Einschränkung der gebotenen Anonymität hingewiesen werden können.

Diese Vorgehensweise stellt aus unserer Sicht einen auch aus datenschutzrechtlicher Sicht akzeptablen Weg dar, um die von Anonymisierungsdiensten gebotene Anonymität in bestimmten, gesetzlich eindeutig geregelten Einzelfällen gegenüber den Sicherheitsbehörden aufzuheben.

Demgegenüber hätte eine Verpflichtung zur Vorratsdatenspeicherung für einen Anonymisierungsdienst zur Folge, dass dieser die Kommunikationsvorgänge sämtlicher Teilnehmer zu erfassen und zur Mitteilung an Sicherheitsbehörden bereitzuhalten hätte, ohne dass dabei im Einzelfall die Voraussetzungen der angesprochenen richterlichen Anordnung vorliegen. In der Abwägung zwischen dem Recht der Nutzer auf unbeobachtete Kommunikation und den berechtigten Interessen der Sicherheitsbehörden ist eine solche Vorratsdatenspeicherung daher als unverhältnismäßig anzusehen. (Vgl. dazu auch die Entschließung vom 21. November 2003 "Gravierende Verschlechterungen des Datenschutzes im Entwurf des neuen Telekommunikationsgesetzes" - Anhang 8 - sowie die im vergangenen Jahr gefassten Entschließungen zur systematischen verdachtslosen Datenspeicherung in der Telekommunikation und im Internet, zum geplanten Identifikationszwang in der Telekommunikation sowie zum Umgang mit personenbezogenen Daten bei Anbietern von Tele-, Medien- und Telekommunikationsdiensten.)

 

2. Aktuelle Entwicklungen im Bereich elektronischer Signaturen

Mit dem 1997 verabschiedeten Signaturgesetz schuf der Bundesgesetzgeber rechtliche Grundlagen für die Verwendung elektronischer Signaturen, die heute in Form einfacher, fortgeschrittener sowie qualifizierter Signaturen verwendet werden können. Das Signaturgesetz enthält eine Vielzahl technischer und organisatorischer Anforderungen für den Umgang mit qualifizierten Signaturen. Sie richten sich insbesondere an Trust-Center, die Chipkarten mit den zur Signatur erforderlichen Signaturschlüsseln ausgeben und elektronische Zertifikate ausstellen, die darüber Auskunft geben, welche Signaturschlüssel welchen Personen zugeordnet sind. Demgegenüber verzichtet das Gesetz auf entsprechende Anforderungen an den Umgang mit fortgeschrittenen und einfachen elektronischen Signaturen. Diese müssen lediglich zur Identifizierung von Personen dienen. Besondere Bedeutung kommt den qualifizierten Signaturen auch deshalb zu, weil geänderte Formvorschriften des Zivil- und des Öffentlichen Rechts es mittlerweile zulassen, zahlreiche Vorgänge, die bislang die eigenhändige Unterschrift tragen mussten, künftig elektronisch abzuwickeln.

Gleichwohl blieb der Einsatz qualifizierter elektronischer Signaturen bislang nur auf relativ kleine Anwenderkreise beschränkt. Mittlerweile sind jedoch Projekte beschlossen, die die Ausgabe signaturfähiger Chipkarten an alle Mitglieder der gesetzlichen Krankenversicherungen sowie an alle Beschäftigen vorsehen:

  • Bis zum Jahr 2006 sollen die gesetzlichen Krankenversicherungen an Stelle der bisherigen Krankenversichertenkarte funktional wesentlich erweiterte elektronische Gesundheitskarten an ihre Versicherten ausgeben, die unter anderem auch für Authentifizierung, Verschlüsselung und elektronische Signaturen nutzbar sein sollen.
  • Der für Leistungserbringer vorgesehene elektronische Heilberufsausweis (Health Professional Card) soll qualifizierte Signaturen enthalten. Deren Verwendung soll künftig notwendig sein, wenn beispielsweise ein Arzt auf die in den elektronischen Gesundheitskarten gespeicherten Daten eines Patienten zuzugreifen will.
  • Rund 40 Millionen Arbeitnehmer sollen ebenfalls bis zum Jahr 2006 eine Job-Card erhalten. Darin sollen nicht nur Daten zu Beschäftigungszeiten, zur Höhe von Entgeltzahlungen sowie weitere Angaben über Beschäftigungsverhältnisse gespeichert werden, sondern sie sollen ebenfalls über eine Signaturfunktion verfügen. In einem gegenwärtig durchgeführten Modellprojekt werden dafür qualifizierte Signaturen eingesetzt.

Wie sich der Einsatz qualifizierter, aber auch fortgeschrittener Signaturen darüber hinaus weiter fördern lässt, erörtern öffentliche Stellen und interessierte Unternehmen im Rahmen des von der Bundesregierung ins Leben gerufenen Signaturbündnisses. Um weitere Anreize für die Verwendung qualifizierter Signaturen zu geben, wurde dort vorgeschlagen, die Anforderungen an die qualifizierten Signaturen generell auf das im Bereich der Steuerverwaltung definierte Niveau der "qualifizierten Signatur mit Einschränkungen" abzusenken. In diesem Fall müssten bei einer Reihe sicherheitsrelevanter Anforderungen Abstriche von dem für qualifizierte Signaturen geltenden Niveau hingenommen werden. Bei der Diskussion über eine mögliche Absenkung des Sicherheitsniveaus ist allerdings zu berücksichtigen, dass aus unternehmerischer Sicht unter Umständen ein gewisses Maß fehlerhafter Identifizierungen in Kauf genommen werden kann, sofern der dadurch verursachte Schaden geringer ist als der zur Beseitigung der Sicherheitslücken notwendige Aufwand. Demgegenüber können öffentliche Stellen, die sich etwa vor der Ausgabe eines Waffenscheins Klarheit über die Identität des Antragstellers verschaffen müssen, dabei nicht ohne weiteres Abstriche an der Zuverlässigkeit der Identifizierung in Kauf nehmen. Die Überlegungen zu einer entsprechenden Absenkung des Anforderungsniveaus sind zudem auch deshalb kritisch zu beurteilen, weil diese "qualifizierte Signatur mit Einschränkungen" von der Steuerverwaltung ausdrücklich nur für eine bis Ende 2005 befristete Übergangsphase zugelassen wird, während danach uneingeschränkte qualifizierte Signaturen zu verwenden sind. In ihrer Entschließung vom 27./28. März 2003 zur elektronischen Signatur im Finanzbereich (s. Anhang 11) wiesen die Datenschutzbeauftragten des Bundes und der Länder auf weitere datenschutzrechtliche Probleme hin, die sich aus einer möglichen Absenkung des Niveaus qualifizierter Signaturen ergeben können. In jedem Fall sollte bei einer Fortschreibung der Anforderungen an qualifizierte Signaturen verhindert werden, dass dadurch die angestrebte zuverlässige Identifizierbarkeit beeinträchtigt und damit eine Grundlage für den sicheren und verlässlichen elektronischen Rechts- und Geschäftsverkehr in Frage gestellt wird.

 

3. Chancen und Risiken von Trusted Computing

Beinahe täglich erscheinende Meldungen über neue Computerviren, über die Ausbreitung so genannter Dialer-Programme oder andere Schadenssoftware und die durch sie verursachten Schäden verdeutlichen, dass bei herkömmlichen Computersystemen erhebliche Sicherheitsdefizite bestehen. Diese Systeme sind vielfach unzureichend vor unberechtigten und unerwünschten Systemänderungen geschützt. Um Abhilfe zu schaffen, bedarf es auch entsprechender Hard- und Software, die von Haus aus bessere Voraussetzungen für einen sicheren Systembetrieb mit sich bringen. Besonderes Augenmerk ist daher auf die von der Trusted Computing Group (TCG) erarbeiteten Konzeptionen zu richten, die eine solche zuverlässige Systemplattform zum Ziel haben. Deren öffentliche Diskussion konzentrierte sich rasch auf die Frage, inwieweit diese Techniken Benutzer einschränken und beispielsweise eine technische Grundlage für das Digital Rights Management bieten sollen, etwa indem sich auf den entsprechenden Computern nur noch solche urheberrechtlich geschützten Texte, Bilder, Filme oder Musikstücke wiedergeben lassen, die zuvor ausdrücklich für die Nutzung auf diesem Computer freigegeben wurden. Zu weiterer Verunsicherung über Sinn und Zweck dieser Konzeptionen trug zudem bei, dass die auch in der TCG mitwirkende Firma Microsoft zunächst unter dem Namen Palladium und später unter der Bezeichnung NGSCB (Next Generation Secure Computing Base) eigene Vorstellungen zu sicheren Systemplattformen präsentierte.

Demgegenüber rückte die Frage, inwieweit die von der TCG präsentierten Konzepte auch im Sinne des Datenschutzes und der Datensicherheit wünschenswerte Elemente enthalten, in den Hintergrund. Dabei lohnt es sich, auch aus dieser Perspektive einen näheren Blick auf die vorgeschlagenen Lösungen zu werfen:

Die im Frühjahr 2003 gegründete und unter anderem von den Firmen HP, IBM, Intel und Microsoft getragene Trusted Computing Group führt die ursprünglich von der Trusted Computing Platform Alliance (TCPA) begonnenen Arbeiten fort. Das Modell sieht vor, Personal Computer und andere zu sichernde Geräte um ein Trusted Platform Module (TPM) zu erweitern. Darin kann zum einen ein als sicher erkannter Systemzustand hinterlegt werden. Zum anderen lässt sich mit Hilfe der darin enthaltenen Mechanismen jederzeit nachweisen, dass sich das System noch in diesem Zustand befindet. Ähnlich wie bei Signaturchipkarten sollen im TPM ein oder mehrere Schlüssel hinterlegt werden, die zur Identifikation des Computers und damit unter Umständen auch seiner Nutzer dienen. Neben einem in jedem Fall vorhandenen Schlüssel, der dem PC eindeutig zugeordnet ist ("Endorsement Key"), können auch weitere von Trust-Centern vergebene Schlüssel ("Attestation Identity Keys", AIK) gespeichert und verwendet werden.

Verwendet man solche mit einem TPM ausgestattete Systeme in einem Computernetzwerk, so kann dies zu einer höheren Sicherheit beitragen. Ein Bürger, der eine elektronische Dienstleistung einer Behörde, oder der Kunde einer Bank, der ein POS-Zahlungssystem nutzen will, könnte sich, bevor er sich gegenüber der Behörde oder der Bank persönlich identifiziert und dabei schutzbedürftige Daten, etwa ein Passwort oder eine PIN, in das System eingibt, zunächst nachweisen lassen, dass sich diese Systeme in einem ordnungsgemäßen Systemzustand befinden und außer der ausdrücklich dafür vorgesehenen und freigegebenen Software keine anderen Programme darauf installiert sind. Auch wenn noch eine Reihe von Umsetzungsfragen zu klären ist, wird zugleich deutlich, dass die von der TCG vorgestellte Konzeption zu einer Erhöhung der Systemsicherheit beizutragen vermag. Damit entsprechende Systeme auch datenschutzgerecht verwendet werden können, ist bei deren weiterer Ausgestaltung noch eine Reihe von Anforderungen zu berücksichtigen:

  • Damit die erwünschte Sicherheit erreicht werden kann, muss auch ein geeignetes organisatorisches Umfeld vorhanden sein: Im obigen Bank-Beispiel muss etwa gewährleistet sein, dass in der durch das TPM als unverändert nachgewiesenen Systemkonfiguration des genutzten POS-Zahlungssystems selbst keine sicherheitsrelevanten Programmfehler oder bewusst eingefügte Hintertüren enthalten sind.
  • Sichergestellt sein sollte auch, dass sämtliche Standards von Dritten, wie dem Bundesamt für Sicherheit in der Informationstechnik, überprüft werden können.
  • Die benötigten Schlüssel sollten auch von Trust Centern erstellt werden können, die von der TCG und ihren Mitgliedern unabhängig sind. Daneben sollte es auch möglich sein, dass der für einen PC verantwortliche Administrator die notwendigen Schlüssel selbst erzeugt.
  • Der für einen PC verantwortliche Administrator sollte auf Wunsch Programme auch außerhalb der geschützten Umgebung ablaufen lassen können.
  • Die korrekte Funktion der sicheren Systemplattform darf nicht davon abhängen, dass die einzelnen Computer regelmäßig Online-Verbindungen zu zentralen Servern aufbauen müssen.
  • Die Verwendung des TPM darf eine anonyme Kommunikation etwa im Internet nicht verhindern. Dies ist bislang nicht sichergestellt. Denn für die Vergabe der AIK müssen die Nutzer dem Trust Center etliche Angaben über ihren PC inklusive ihres gerätespezifischen Schlüssels offenbaren. Bedenkt man, dass Online-Diensteanbieter, bei denen sich jemand mit einem solchen Key identifiziert, diesen Schlüssel dem Trust-Center zur Überprüfung der Gültigkeit vorlegen können, so bedeutet dies, dass das Trust-Center dadurch zugleich erfährt, welche Dienste wann von welchem PC aus genutzt werden.
  • Weitere datenschutzrechtliche Anforderungen ergeben sich aus der Entschließung "TCPA darf nicht zur Aushebelung des Datenschutzes missbraucht werden", die die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Rahmen ihrer Sitzung am 27./28. März 2003 gefasst hat (s. Anhang 13).

 

4. Internet und eGovernment

4.1 e-Bürgerdienste-Portal Baden-Württemberg

In diesem Jahr wurden die ersten beiden Ausbaustufen des e-Bürgerdienste-Portals des Landes für die Nutzung über Internet freigeschaltet. Damit ist es möglich, sich über Behörden und die von ihnen angebotenen Dienstleistungen zu informieren, anhand bestimmter Lebenslagen Hinweise zu den damit verbundenen Behördengängen zu erhalten und per Mausklick etliche kommunale und staatliche Bürgerdienste aufzurufen. Die zu diesem Projekt erarbeiteten Rahmen- und Strukturkonzeptionen zum Datenschutz wiesen noch zu Beginn des Jahres grundlegende Unzulänglichkeiten auf (vgl. dazu auch 23. Tätigkeitsbericht, LT-Drs. 13/1500, S. 83 ff.). Im Rahmen unserer Beratungstätigkeit konnten wir jedoch in der Folge noch eine Reihe konzeptioneller Verbesserungen erreichen:

  • Präzisierung des Funktionsumfangs
    Während die erwähnten Datenschutzkonzeptionen in ihrer ursprünglichen Fassung nicht einmal genau erkennen ließen, von welchen künftigen Dienstleistungen überhaupt die Rede ist, werden diese nun im Einzelnen genannt. Dies ist keineswegs nur eine Formalie. Denn erst, wenn man weiß, welche Dienstleistungen für welchen Zweck angebote werden, lässt sich ermitteln, welche Rechtsgrundlagen dabei zu berücksichtigen sind, und klären, welche personenbezogenen Daten dafür verarbeitet werden dürfen.
  • Präzisierung der Rechtsgrundlagen
    Die Datenschutzkonzeptionen gingen in ihrer ursprünglichen Fassung nicht durchgängig von den gleichen rechtlichen Grundlagen für die Datenverarbeitung aus, sondern erwähnten mal diese, mal andere Gesetze und Verordnungen. Auch in dieser Hinsicht trat mittlerweile eine wesentliche Verbesserung ein.
  • Verzicht auf Cookies und aktive Inhalte
    Anders als ursprünglich geplant, verzichtet das e-Bürgerdienste-Portal nun vollständig auf Cookies sowie auf so genannte aktive Inhalte wie JavaScript, Java-Applets sowie ActiveX-Controls. Wenn nun vielfältige interaktive Dienstleistungen angeboten werden, ohne auf diese datenschutzrechtlich problematischen Hilfsmittel zurückzugreifen, wird das Projekt eher dem Anspruch gerecht, auch datenschutzrechtlich beispielhafte Lösungen zu präsentieren.

Auch wenn sich dadurch bereits deutliche Verbesserungen für den Datenschutz ergeben haben, steht die datenschutzgerechte Lösung einiger Punkte noch aus:

  • Protokollierung der Zugriffe auf das Portal
    Das Betriebskonzept für das e-Bürgerdienste-Portal sieht bislang vor, dass jeder Zugriff auf das Portal protokolliert wird. Jedes Mal also, wenn ein Bürger die im Portal enthaltenen Inhalte liest oder per Mausklick einen Bürgerdienst aufruft, wird registriert, welche IP-Adresse der PC des Bürgers hat, wann der Zugriff erfolgt, auf welchen Inhalt zugegriffen wurde oder ob sich beim Zugriff ein Fehler ereignet hat und wenn ja welcher. Wenn der Nutzer überhaupt erst durch Anklicken eines auf einer anderen Web-Seite angebrachten Links zum e-Bürgerdienste-Portal kam, wird auch registriert, von welchem zuvor besuchten Angebot aus dieser Wechsel erfolgte. Als Grund für diese Protokollierung gab das Innenministerium an, diese Angaben seien für die Aufrechterhaltung der Systemsicherheit nötig.
    Zwar darf eine Stelle auch personenbezogene Daten speichern, wenn dies erforderlich ist, um die Sicherheit von Systemen zu gewährleisten, mit denen personenbezogene Daten verarbeitet werden. Das Innenministerium legte bislang jedoch noch nicht dar, weshalb sämtliche von der Protokollierung erfassten Daten tatsächlich zur Abwehr sicherheitsrelevanter Vorkommnisse benötigt werden. Insbesondere sehen wir keinen Grund, auch solche Abrufe zu protokollieren, bei denen Bürger - so wie vom Innenministerium vorgesehen - auf die im Portal enthaltenen Informationen zugreifen und diese Zugriffe auch fehlerlos abgewickelt werden. Wir forderten das Innenministerium daher nochmals auf, den Umfang der Protokollierung auf das Maß zurückzuführen, das zur Identifikation und zur Bearbeitung sicherheitsrelevanter Ereignisse notwendig ist.
  • Verschlüsselung der übertragenen Daten
    Gerade weil im Rahmen des e-Bürgerdienste-Portals auch interaktive Bürgerdienste nutzbar sein sollen, bei denen personenbezogene Daten ausgetauscht werden können, ist sicherzustellen, dass diese Daten durch Verschlüsselung vor unberechtigter Kenntnisnahme oder gezielter Verfälschung geschützt werden. Im e-Bürgerdienste-Portal wird dementsprechend zwar eine Verschlüsselungsfunktion integriert, diese wird aber nur dann wirksam, nachdem sie der Benutzer durch Mausklick eingeschaltet hat. Um zu vermeiden, dass schutzbedürftige Daten nur deshalb ungeschützt über das Internet übertragen werden, weil der Nutzer die Aktivierung der Verschlüsselung versäumt, baten wir das Innenministerium, die Verschlüsselung als Standard zu realisieren.

4.2 Entschließung zum automatischen Software-Update

Die Herstellung von Software ist ein fehlerträchtiges Geschäft. Diese leidvolle Erfahrung mussten die Benutzer machen, die im Berichtszeitraum von einer Flut neuer Viren heimgesucht wurden. Machten sich doch die Virenprogrammierer verstärkt die Softwarefehler in Betriebs- und Anwendungssystemen zu Nutze, um ihren Viren und sonstiger schadenstiftender Software zu einer hohen Verbreitung auf PCs zu verhelfen.

Um den Angriffen der Virenprogrammierer nicht hilflos ausgeliefert zu sein, stellen die Softwarehersteller unentgeltlich so genannte Software-Updates zur Verfügung. Andererseits versteht man unter einem Software-Update auch die nachträgliche Installation von Programmen und Softwarebibliotheken zur Beseitigung von Fehlern in einem installierten Programm, die vom Softwarehersteller zur Verfügung gestellt werden.

Bei der Durchführung eines Software-Updates, die auch über das Internet erfolgen kann, ist festzustellen, dass den Softwareherstellern weitreichende Zugriffsrechte auf den Rechnern ihrer Kunden eingeräumt werden müssen. Ob und welche personenbezogenen Daten von den Rechnern der Kunden an die Softwarehersteller übertragen werden, wird, wenn überhaupt, in kurzen Erklärungen mitgeteilt. Nachprüfbar sind diese Aussagen für die meisten Benutzer im Allgemeinen nicht.

Deshalb hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Berichtszeitraum eine Entschließung gefasst, die die datenschutzrechtlich zulässige Durchführung von Software-Updates zum Inhalt hat (s. Anhang 15).

Beim Software-Update haben sich im Wesentlichen zwei Vorgehensweisen herausgebildet: Eine Methode besteht darin, dass die Client-Rechner, auf denen die fehlerhafte Software installiert ist, automatisch nach dem Start oder wenn eine Verbindung in das Internet hergestellt wird mit einem Rechner des Softwareherstellers - dem so genannten Verteilserver - in Verbindung treten und anfragen, ob ein Software-Update für die installierte Software vorliegt, es gegebenenfalls übertragen und installieren. Die zweite Methode unterscheidet sich von der ersten darin, dass die Software-Updates von einem Verteilserver des Softwareherstellers auf einen zweiten Verteilserver, der der Sphäre des Kunden zugeordnet ist, übertragen und gespeichert werden. Die Clients treten beim Start mit diesem lokalen Verteilserver in Verbindung und installieren gegebenenfalls die auf diesem Verteilserver vorgehaltenen Software-Updates. Bei dieser Variante kann ein Administrator im Allgemeinen Einfluss darauf nehmen, ob ein Software-Update auf den Clients installiert werden soll.

Eine datenschutzrechtliche Prüfung hat ergeben, dass folgende Bedingungen hinsichtlich des technischen Datenschutzes an die Softwaresysteme, die automatische Software-Updates installieren, zu stellen sind:

  • Zustimmung
    Die Installation eines Software-Updates darf nur nach vorheriger Zustimmung durchgeführt werden. Die Zustimmung kann nur von Personen erteilt werden, die für die Sicherheit des Systems verantwortlich sind. Für die Erteilung der Zustimmung ist es dann nicht erforderlich, dass sich ein Administrator zu jedem Arbeitsplatzrechner begibt, wenn ein lokaler Verteilserver eingesetzt wird. Das Einstellen des Software-Updates auf dem Verteilserver oder die Freigabe eines Software-Updates zur Installation auf den Clients ist der Zustimmung gleichzusetzen. Steht kein lokaler Verteilserver zur Verfügung, muss zwangsläufig bei jedem PC die Zustimmung direkt erteilt werden.
  • Grundsatz der Datensparsamkeit
    Software-Updates sind nicht auf einzelne Personen zugeschnitten, sondern nur spezifisch auf ein Softwareprodukt. Daher kann es auch nicht erforderlich sein, dass personenbezogene Daten über die Benutzer, die mit einem entsprechenden Rechnersystem arbeiten, zu Zwecken der Durchführung eines Software-Updates an den Softwarehersteller übermittelt werden. Ein Lizenzschlüssel, der bei einer Installation eines Programms einzugeben ist, ist im Allgemeinen kein personenbezogenes Datum und darf vom Softwarehersteller zu Zwecken des Software-Updates abgerufen werden. Für die personenbezogenen Daten, die ein Benutzer in seinen Dateien speichert oder verarbeitet, gilt gleichfalls, dass eine Übermittlung der Dateien an die Softwarehersteller nicht zulässig ist. Die Daten, die im Rahmen des Software-Update-Prozesses vom Client an den Verteilserver übertragen werden, sollten sich also auf technische Daten, die den Zustand des Systems beschreiben und für die Durchführung eines Software-Updates notwendig sind, beschränken.
  • Grundsatz der Datenvermeidung
    Ein Software-Update sollte nur die tatsächlich aufgetretenen Fehler der installierten Software beheben. Die Installation weiterer Software, die nicht der Fehlerbehebung dient und deren Funktionalität nicht benötigt wird, sollte nicht durchgeführt werden. Die Hersteller sollten zusätzliche Funktionalität in gesonderten Upgrades oder so genannten Optionpacks zur Verfügung stellen.
  • Revisionssicherheit
    Zur Gewährleistung eines sicheren Betriebs gehört, dass man sich über den Sicherheitszustand des Systems im Klaren ist. Daher sollten die Softwarehersteller erklären, dass sie Software-Updates nicht nachträglich verändern. Sind Änderungen eines Software-Updates notwendig, weil sich beispielsweise herausstellt, dass die Fehlerbehebung nur unzureichend ist, dann sollte hierfür ein weiteres Software-Update verwendet werden. Dann ist nachvollziehbar, welchen Sicherheitsstand ein Rechnersystem tatsächlich hat. Bedauerlicherweise war im Berichtszeitraum auf Grund gleicher Benennung unterschiedlicher Updates zu beobachten, dass nicht nur bei den Benutzern und Administratoren bisweilen eine große Verunsicherung darüber herrschte, welches Software-Update welchen Fehler behebt und auf welchen Systemen installiert werden muss.
  • Übermittlungskontrolle
    Da schon ein Fall bekannt geworden ist, wonach ein als Software-Update getarnter Computervirus über den Verteilmechanismus installiert werden sollte, ist es erforderlich, dass die Herkunft eines Software-Updates nachvollziehbar ist. Um dies zu gewährleisten, sollten von den Softwareherstellern Authentifikationsverfahren eingesetzt werden, die es ermöglichen, dass Software-Updates eindeutig auf Hersteller zurückgeführt werden können. Umgekehrt sollten Benutzer und Administratoren nur Software-Updates installieren, deren Herkunft zweifelsfrei festgestellt werden kann.
  • Transportkontrolle
    Der Transport der Software-Updates findet fast immer über das Internet statt. Die Integrität der Software-Updates muss daher durch einen Prüfmechanismus gewährleistet werden, der sicherstellt, dass die übertragenen Daten nicht während des Transports verändert wurden. Die Integritätsprüfung kann beispielsweise durch Verwendung so genannter Hashwert-Verfahren durchgeführt werden. Da es sich bei Software-Updates nicht um personenbezogene Daten handelt, ist eine Verschlüsselung bei der Übertragung nicht zwingend erforderlich.
  • Verfügbarkeitskontrolle
    Die Verträglichkeit eines Software-Updates mit der laufenden Produktionsumgebung sollte geprüft werden. Schließlich darf die Installation eines Updates nicht die ganze IT-Infrastruktur einer Behörde lahm legen. Zur Gewährleistung der Verfügbarkeitskontrolle sollte daher in einer Testumgebung nach Installation eines Software-Updates der Client hinsichtlich seiner Funktionalität geprüft werden. Das Ergebnis der Prüfung sollte Aufschluss darüber geben, welche Daten vom Client zum Verteilserver übertragen, welche Dateien auf dem Client ersetzt beziehungsweise gelöscht und welche Konfigurationsänderungen auf dem Client durchgeführt wurden. Wenn neben dem den Fehler behebenden Software-Update zusätzlich noch weitere Software aufgespielt oder die Konfiguration des Systems geändert wird, dann ist zu prüfen, welche zusätzlichen Komponenten installiert wurden und wie sie sich auf die Systemsicherheit auswirken. Gegebenenfalls müssen diese Komponenten nachträglich wieder entfernt werden. Bei Update-Systemen, die es erfordern, dass ein Client direkt mit einem Software-Verteilserver des Herstellers kommuniziert, kann ein einmaliger Test, der die datenschutzrechtliche Unbedenklichkeit zum Ergebnis hat, keine Gewähr dafür bieten, dass jede weitere Installation die gleichen Änderungen durchführt, steht es doch dem Softwarehersteller frei, das Software-Update nach seinem Gutdünken zu ändern.
    Bei den zu installierenden Komponenten kann zwischen reinen Anwendungsdaten, wie beispielsweise Virensignaturen von Virenschutzprogrammen, und Programmen, die auf den Rechnern ausgeführt werden können, unterschieden werden. Beim Update von Virensignaturen kann eine vereinfachte Prüfung vorgenommen werden. Aber auch in diesem Fall sollte die Verteilung einer authentifizierbaren Virensignaturdatei auf die Clients von einem lokalen Verteilserver ausgehen.
  • Datenverarbeitung im Auftrag
    Wenn die beschriebenen Bedingungen nicht erfüllt sind, dann handelt es sich bei der Durchführung eines Software-Updates im Allgemeinen um eine Tätigkeit im Rahmen von Wartungsarbeiten, die der Softwarehersteller vornimmt. Bei einer Wartungstätigkeit, bei der auch personenbezogene Daten mit im Spiel sein können, handelt es sich nach allgemeiner Auffassung um eine Datenverarbeitung im Auftrag. Es wäre dann im öffentlichen Bereich in Baden-Württemberg § 7 LDSG anzuwenden, der unter anderem einen schriftlich abzufassenden datenschutzrechtlichen Vertrag zwischen Auftraggeber und Auftragnehmer erfordert.

Nur mit sicheren Systemen ist eine datenschutzrechtlich zulässige Verarbeitung personenbezogener Daten möglich. Die zeitnahe Installation von Software-Updates ist daher zu begrüßen, weil dadurch die Systemsicherheit eines Rechners oder Rechnernetzwerks insgesamt erhöht und damit dem Datenschutz in verstärktem Maße Genüge getan wird.

Allerdings muss auch die Durchführung des Software-Updates datenschutzrechtlich unbedenklich gestaltet sein.

 

5. Neue Technologien

Trotz des schlechten wirtschaftlichen Umfelds wird die IT-Branche nach wie vor von einem hohen Innovationspotential beherrscht. Neue Technologien der Hardware und Software werden weiterhin nahezu monatlich vorgestellt und am Markt eingeführt. Für den technischen Datenschutz in der Landesverwaltung bedeutet dies, dass die neuen Technologien darauf geprüft werden müssen, wie mit ihnen ein Höchstmaß an datenschutzrechtlich zulässigem Einsatz realisiert werden kann und welche Randbedingungen hierfür erfüllt werden müssen. In diesem Abschnitt stellen wir Auszüge der Tätigkeiten in diesem Bereich dar.

5.1 Datensicherheit beim Einsatz von Funknetzwerken (WLANs)

Nicht nur wenn es darum geht, Notebooks, Pocket-PCs oder andere mobile Geräte mit lokalen Computernetzen zu verbinden, kommt der Einsatz eines Funknetzwerks (Wireless Local Area Network, WLAN) in Frage. Auch bei der Vernetzung stationärer Computer fällt die Wahl immer öfter auf ein WLAN, das sich oft preiswert und schnell realisieren lässt. Die Technik ermöglicht zum einen die unmittelbare Kommunikation zwischen mehreren Geräten. Zum anderen gestattet sie die Integration mehrerer PCs, Notebooks oder anderer Geräte in ein stationäres, kabelgebundenes LAN. Dabei wird die Kommunikation über einen an das stationäre Netz angeschlossenen so genannten "Access-Point" abgewickelt.

Auch öffentliche Stellen interessieren sich für den WLAN-Einsatz. Dabei geht es auch um Bereiche, in denen sensible Daten verarbeitet werden, wie z. B. Krankenhäuser. Diese erwarten Kosteneinsparungen, wenn sie zur Patientenbetreuung am Krankenbett Notebooks einsetzen können, die über WLAN mit dem Klinikinformationssystem verbunden sind. Aus Sicht des Datenschutzes ist bei der WLAN-Nutzung vorerst noch Zurückhaltung angebracht: Deren Technik umfasst zwar auch eine Reihe von Sicherheitsmaßnahmen, diese bieten bislang jedoch nur unzureichenden Schutz vor dem Abhören der übertragenen Daten sowie einem Eindringen fremder Nutzer in das lokale Netzwerk. Die WLAN-Technik ermöglicht standardmäßig folgende Schutzmaßnahmen:

  • Örtliche Begrenzung des Sendebereichs
    Die Sendeleistung der Komponenten und die Anordnung der Antennen ist so zu wählen, dass der Sendebereich möglichst wenig über den mit dem WLAN zu versorgenden räumlichen Bereich hinausreicht.
  • Vergabe eines Netzwerknamens
    Für jedes WLAN kann ein Netzwerkname (SSID) vergeben werden. Um Zugang zu einem solchen Netz zu erhalten, muss man den Netzwerknamen kennen. Da der Netzwerkname jedoch im Klartext übertragen wird, lässt er sich durch Abhören des Funkverkehrs ermitteln. Zudem wird dieser Name von einigen Access-Points auf Anfrage mitgeteilt.
  • MAC-Adress-Filterung
    Jede Netzwerkkarte, die einem PC, einem Notebook oder einem sonstigen Gerät die Teilnahme an der Netzwerkkommunikation ermöglicht, verfügt über eine weltweit eindeutige MAC-Adresse (MAC: Media Access Control). In Filterlisten des WLAN kann man darauf zurückgreifen und festlegen, welche Geräte mit welchen MAC-Adressen Zugang zum lokalen Netz erhalten dürfen.
    Die Sicherheit dieses Mechanismus ist jedoch dadurch begrenzt, dass sich MAC-Adressen ebenso wie die Netzwerknamen abhören lassen. Ein Angreifer kann dann die in seiner Hardware fest hinterlegte MAC-Adresse softwaretechnisch durch die abgehörte ersetzen. Darüber hinaus ist zu berücksichtigen, dass die manuelle Pflege derartiger Filterlisten, zumindest in größeren Netzwerken, vielfach als unpraktikabel angesehen wird.
  • WEP-Verschlüsselung und Authentisierung (Wired Equivalent Protocol)
    Ein zentrales Sicherheitselement im WLAN ist die Verschlüsselung der übertragenen Daten. Das dafür standardmäßig eingesetzte WEP verwendet Schlüssel mit 40 oder 104 Bit Schlüssellänge. Daneben verwendet es weitere 24 Bit als so genannten Initialisierungsvektor (IV), der vor jedem Datenpaket unverschlüsselt übertragen wird. Diese WEP-Verschlüsselung weist eine Reihe von Unzulänglichkeiten auf:
    • In manchen Systemen werden die verwendeten Schlüssel im Klartext abgespeichert.
    • Eine Schlüssellänge von 40 Bit ist zu niedrig.
    • Die Länge des Initialisierungsvektors (24 Bit) ist zu niedrig.
    • Der verwendete RC4-Algorithmus weist konzeptionelle Lücken auf und ist dadurch angreifbar.
    Insgesamt bedeutet dies, dass die WEP-Verschlüsselung nicht ausgereift ist und noch vielfältige Angriffspunkte bietet.

Um diese Sicherheitslücken zu schließen, sollen im WLAN kommender Generationen statt des RC4-Algorithmus eine Verschlüsselung mit Hilfe des AES (Advanced Encryption Standard) vorgenommen und höhere Schlüssellängen verwendet werden. Zudem sind weitere Veränderungen geplant, um auch unberechtigtes Anmelden an vorhandenen Funknetzwerken zu erschweren. Es ist gegenwärtig noch zu früh, um darüber zu urteilen, ob diese Techniken einen ausreichenden Schutz der übertragenen Daten bieten können. Nach den bisherigen Erfahrungen erscheint es jedoch in jedem Fall angebracht abzuwarten, ob sich die künftigen Produkte im Praxisbetrieb als sicher erweisen. Solange das nicht der Fall ist, kommt der Einsatz von WLAN, soweit nur die o. g. Standardsicherungsmaßnahmen ergriffen worden sind, zumindest in solchen Umgebungen nicht in Betracht, in denen personenbezogene oder andere schutzbedürftige Daten verarbeitet werden.

Wer trotz der gegenwärtig bestehenden sicherheitstechnischen Unzulänglichkeiten ein WLAN einrichten und damit auch personenbezogene oder andere schutzbedürftige Daten verarbeiten will, muss zusätzliche Maßnahmen ergreifen, die die bestehenden Sicherheitslücken schließen. An Folgendes ist dabei zu denken:

  • Verschlüsselung
    Zum Schutz der übertragenen Daten vor unberechtigter Kenntnisnahme und Veränderung ist eine als sicher angesehene Verschlüsselung, etwa durch ein auf IPSec beruhendes virtuelles privates Netzwerk (VPN), zu realisieren.
  • Identifikation der zugelassenen Geräte und Nutzer
    Zusätzliche Sicherheitsmaßnahmen sind auch zu ergreifen, um eine zuverlässige Identifikation der zugelassenen Geräte und Nutzer vornehmen zu können. Dazu kommt etwa die Verwendung eines so genannten RADIUS-Servers (Remote Authentication Dial-In User Service) in Betracht.
  • Kontrollierte Datenflüsse zwischen Fest- und Funknetz
    Ähnlich wie beim Anschluss eines lokalen Netzwerks an das Internet ist der Übergang zwischen dem stationären Teil eines LAN und den über Funk eingebundenen Komponenten durch eine Firewall so zu sichern, dass an dieser Schnittstelle nur solche Datenströme gestattet werden, die zuvor ausdrücklich zugelassen wurden. Alle anderen Kommunikationswünsche werden abgewiesen.
  • Administration des Access-Points
    Es sind sichere Wege für die Administration der Funknetzkomponenten vorzusehen. Diese sollten nicht über Funk administriert werden können. Die Administration sollte nicht mit Hilfe von Diensten wie Telnet erfolgen, die die zur Anmeldung erforderlichen Passwörter im Klartext übertragen. Sofern jemand versucht, sich als Administrator anzumelden, sollte dies eine Alarmmeldung auslösen.

5.2 Bluetooth - datenschutzrechtlich auf den Zahn gefühlt

Neben WLAN für die Funkvernetzung gibt es für mobile Geräte wie Handy oder Notebook sowie für Peripheriegeräte wie Maus, Tastatur oder Headset einen weiteren, sich rasch verbreitenden Standard namens Bluetooth, der die drahtlose Übertragung von Daten und Sprache bis zu einer Entfernung von zehn Metern ermöglicht. Bei Funkverbindungen besteht die Gefahr, dass Unberechtigte diese Daten abhören können, natürlich auch dann, wenn personenbezogene Daten mit im Spiel sind. Deshalb müssen bei Verwendung von Bluetooth Maßnahmen zur Übermittlungskontrolle und Transportkontrolle ergriffen werden. Folgendes muss beim Einsatz von Bluetooth bedacht werden:

  • Entdeckung
    Ein Bluetooth-fähiges Gerät nimmt andere Geräte in seinem Sendebereich wahr, indem es betriebsbereite Geräte in seiner Umgebung abfragt. Das Gerät kennt dann die weltweit eindeutigen, 48 Bit langen Adressen aller Geräte in seinem Sendebereich. Damit unbefugte Geräte nicht Kenntnis von der Geräteadresse erlangen, sollte bei sicherheitskritischen Geräten der Betriebszustand auf "non discoverable" (nicht entdeckbar) eingestellt werden. Dann ist das Gerät "unsichtbar" und kann nur auf eigene Initiative hin eine Verbindung mit einem anderen Gerät aufbauen. Ist dies nicht möglich und handelt es sich um ein mobiles Gerät, dann besteht die Gefahr, dass ein Bewegungsprofil des Geräts und damit seines Benutzers erstellt werden kann.
  • "Paarung"
    Damit zwei Bluetooth-Geräte miteinander kommunizieren können, müssen sie auf logischer Ebene gekoppelt werden. Dies geschieht durch eine so genannte Paarung. Für die Koppelung verwendet Bluetooth eine PIN. Sie ist entweder fest in das Gerät eingebaut (Funkmaus, Headset) oder muss vom Benutzer eingegeben werden. Zur Koppelung ist auf beiden Geräten die gleiche PIN einzugeben. Für die Gewährleistung der Sicherheit der Verbindung ist die Länge und Komplexität der PIN wichtig, da aus ihr eine Reihe von Schlüsseln, die die Verbindung absichern, generiert wird. Die PIN muss mindestens ein Zeichen und kann höchstens 16 Zeichen lang sein. Es sollte eine PIN gewählt werden, die nicht leicht "erratbar" ist (Beispiel: 1234) und mindestens acht Zeichen umfasst. Wenn möglich, sollten von Herstellern getroffene Voreinstellungen der PIN geändert werden. Wurde die beabsichtigte Koppelung zwischen zwei Geräten durchgeführt und sollen keine weiteren Verbindungen mit anderen Geräten aufgebaut werden, dann sollten die Geräte in einen Betriebszustand gesetzt werden, bei dem keine weiteren Koppelungen mehr durchgeführt werden können ("non-pairable").
    Damit zwei Geräte miteinander kommunizieren können, ist die Berechnung eines Verbindungsschlüssels notwendig. Laut Spezifikation kann hierfür auch der Geräteschlüssel verwendet werden. Dieser wird durch die Paarung mit anderen Geräten auch diesen bekannt. Dadurch können andere Geräte die Kommunikation abhören. Geht ein mobiles Gerät verloren oder wird außer Betrieb genommen, dann ist weiterhin auf allen Geräten, mit denen es gekoppelt wurde, der Verbindungsschlüssel gespeichert. Wenn der Verbindungsschlüssel ein Geräteschlüssel ist, dann kann man mit Kenntnis der Geräteadresse und gewissem technischen Aufwand ein nicht gekoppeltes Gerät so programmieren, dass es an Stelle des ursprünglichen Geräts eingesetzt werden kann und dadurch unberechtigte Zugriffe ermöglicht werden. Dem kann dadurch begegnet werden, dass man die Verbindungsschlüssel auf den verbleibenden Geräten löscht.
  • Authentifizierung
    Damit ihre Geräte mit möglichst vielen anderen Geräten problemlos kommunizieren können, wählen die Hersteller der Sicherheit nicht dienliche Standardeinstellungen, wie beispielsweise deaktivierte Authentifizierung und Verschlüsselung. Authentifizierung und Verschlüsselung sind aber bei der Verarbeitung personenbezogener Daten erforderlich.
    Weiter ist zu bedenken, dass die Authentifizierung bei Bluetooth auf der Ebene der Geräte stattfindet. Eine Benutzerauthentifizierung kennt Bluetooth derzeit nicht. Das bedeutet, dass auch der unbefugte Besitzer alle mit einem Gerät möglichen Verbindungen nutzen kann. Wenn personenbezogene Daten verarbeitet werden, sollte deshalb eine Benutzerauthentifizierung in der Anwendung durchgeführt werden.
  • Verschlüsselung
    Der Bluetooth-Standard bietet die Möglichkeit, die Daten bei der Übertragung zu verschlüsseln. Es wird ein Stromverschlüsselungsverfahren namens E0 eingesetzt. Bei Geräten einfacher Funktionsart ist eine Verschlüsselung beim Aufbau einer Verbindung nicht erforderlich; vielmehr muss die Verbindungsverschlüsselung optional angefordert werden. Bevor Daten verschlüsselt übertragen werden, muss sich mindestens eines der Geräte gegenüber dem anderen authentifizieren. Aus dem dabei gewonnenen Authentifizierungsschlüssel wird der Schlüssel für die Verschlüsselung gewonnen. Dies bedeutet, dass eine Verschlüsselung bei der Datenübertragung von zwei Geräten, die beide nicht die Fähigkeit zur Authentifizierung haben, nicht möglich ist.
    Wenn eine Verschlüsselung gewünscht wird, tauschen im Fall einer Punkt-zu-Punkt-Verschlüsselung die beteiligten Geräte einen Verschlüsselungsschlüssel aus. Dabei einigen sich die Geräte auf einen kleinsten Nenner. Sind einfache Geräte beteiligt, dann kann dieser Schlüssel der Geräteschlüssel sein. Während diese Einschränkung bei einer Funkmaus oder einer Fernsteuerung nicht problematisch ist, ist es beispielsweise bei einer Funktastatur bedenklich, wenn der Verbindungsschlüssel des Geräts mit dem Geräteschlüssel identisch ist. Denn dann besteht die Gefahr, dass der Geräteschlüssel nicht die erforderliche Schlüssellänge hat oder dass der Geräteschlüssel anderen Geräten möglicherweise durch andere Kommunikationsbeziehungen bekannt ist (Beispiel: zwei PCs und eine Funktastatur).
    Zur Stromverschlüsselung von Bluetooth ist zu sagen, dass die Qualität der Verschlüsselung vermutlich erst nach einer gewissen Zeit verlässlich eingeschätzt werden kann. Mathematisch bewiesen wurde beispielsweise schon, dass das Verschlüsselungsverfahren nicht so stark ist, wie die Schlüssellänge von 128 Bit vermuten lässt.
  • Unsichere Einstellungen
    Wie schon dargestellt, enthalten Bluetooth-Geräte eine Konfiguration ab Werk, die aus dem Namen des Geräts und einer PIN besteht. Weiterhin können Bluetooth-Geräte so konfiguriert sein, dass festgelegt werden kann, ob das Gerät für andere Geräte sichtbar, mit anderen Geräten koppelbar ist und ob es den Aufbau einer Verbindung zulässt. Vor Inbetriebnahme sollten diese Einstellungen geprüft und gegebenenfalls rekonfiguriert werden. Wird ein Gerät nicht gebraucht, dann empfiehlt es sich, dass der Arbeitsmodus auf "non connectable" (nicht verbindbar) eingestellt wird.
  • Sicherheitsbetriebsarten
    Bluetooth kennt beim Betrieb drei verschiedene Sicherheitsmodi. Nur der Sicherheitsmodus 3 gewährleistet, dass sich die Kommunikationspartner beim Aufbau einer Verbindung gegenseitig authentifizieren müssen. Dieser Modus sollte daher bei der Übertragung und Verarbeitung von personenbezogenen Daten gewählt werden.
    Ersatzweise kann der Modus 2, der die Authentifizierung beim Verbindungsaufbau abhängig von der Charakteristik der beteiligten Geräte erfordert, gewählt werden, wenn an der Kommunikation Geräte beteiligt sind, mit denen schon eine Koppelung durchgeführt wurde.

Da das Innovationstempo bei Bluetooth, bedingt durch die Marktdynamik mit laut Presseberichten ca. 1 200 Geräten und durch die Fortschreibung des Standards, weiterhin hoch ist, können diese Hinweise nicht abschließend sein. Erfahrungsgemäß kommt es durch Implementierungen, die aus unterschiedlicher Interpretation des Standards resultieren, immer wieder zu Situationen, die die Sicherheit beeinträchtigen. Hier gilt es, die Entwicklung weiterhin zu beobachten.

5.3 Nutzung von DSL-Technik

Die Preisentwicklung bei Kommunikationsverbindungen über das Internet veranlasst Gemeinden auf der Suche nach Einsparpotenzialen, die Kommunikation zwischen den Standorten der Gemeindeverwaltung oder gemeindenahen Institutionen darüber abzuwickeln. Dagegen ist nichts einzuwenden, wenn die Anforderungen an die Sicherheit erfüllt werden. Eine Gemeinde ist nämlich in der Regel auch Teilnehmer an weiteren Rechnernetzen wie beispielsweise das Kommunale Verwaltungsnetz (KVN). Daher ist eine unsichere Anbindung an das Internet auch eine Bedrohung für die Sicherheit weiterer, nicht zur Gemeinde gehörender Rechner und Rechnernetze.

Konkret ging es im Berichtszeitraum um eine Gemeinde, die eine DSL-Verbindung zwischen zwei Standorten der Gemeindeverwaltung über das Internet schalten wollte. Ein Mitarbeiter der Gemeinde schilderte telefonisch, dass eine digitale Hochgeschwindigkeitsverbindung (DSL) für die Kommunikation zwischen zwei Standorten hergestellt werden sollte. Mit der DSL-Technik ist es aber im Gegensatz zu ISDN nicht möglich, mit einem bestimmten Kommunikationspartner in Verbindung zu treten, sondern es wird nur eine Verbindung zu einem Telekommunikationsprovider aufgebaut, über die Daten in das Internet geschickt werden können. Meine Mitarbeiter gingen daher davon aus, dass es sich um eine so genannte DSL-flat-rate-Verbindung handeln würde, die über fest zugewiesene IP-Adressen permanent eine Verbindung zwischen den zwei Standorten über das Internet ermöglicht, und baten um eine schriftliche Darstellung insbesondere der Maßnahmen zur Gewährleistung der Sicherheit der Rechner und Rechnernetze. In der äußerst kurz gefassten Antwort tauchte der Begriff DSL überhaupt nicht auf. Statt dessen war die Rede von ISDN-Ports und festen IP-Adressen, die den Routern zugewiesen wären und dass die Verbindung abgebaut würde, wenn keine Daten mehr zu übertragen wären. Von dieser unerwarteten technischen Erklärung überrascht und auch auf Grund der fehlenden Beschreibung von Sicherheitsmaßnahmen baten meine Mitarbeiter um Klärung, wie sich die Dinge denn jetzt verhielten: ISDN oder DSL?

Als Antwort erhielten wir, dass beides verwendet würde. Die ISDN-Verbindung solle als Punkt-zu-Punkt-Verbindung eingesetzt werden; eine nicht permanente Verbindung über das Internet, die es ermöglicht, private Netzwerke über ein öffentliches Netz zu verbinden (VPN), solle als DSL-Verbindung aufgebaut werden. Wir vermuteten, dass aus Gründen der Redundanz diese Vorgehensweise gewählt wurde, konnten uns aber nicht erklären, wie eine VPN-Verbindung über eine beidseitig nicht permanente DSL-Verbindung aufgebaut wird. Woher weiß die Datenquelle von der bei jedem Verbindungsaufbau dynamisch zugewiesenen IP-Adresse des Kommunikationspartners? Daher wurde die Gemeinde erneut gebeten, die Lösung für dieses Problem zu beschreiben. Die Antwort war, dass die ISDN-Verbindung nicht zur Datenübertragung benutzt würde, sondern nur zum Aufbau einer VPN-Verbindung über die jeweils aufzubauende DSL-Verbindung. Damit waren im vierten Anlauf die Dinge wenigstens formal geklärt. Der Verbindungsaufbau soll dabei wohl so laufen, dass dann, wenn Daten zwischen den zwei Standorten ausgetauscht werden sollen, jeweils die Datenquelle eine DSL-Verbindung eröffnet und ihr dabei eine IP-Adresse zugewiesen wird. Die Datenquelle baut daraufhin ihrerseits eine ISDN-Punkt-zu-Punkt-Verbindung zum Kommunikationspartner auf und teilt diesem ihre IP-Adresse mit, worauf der Kommunikationspartner eine DSL-Verbindung zum Internet herstellt und die dabei zugewiesene IP-Adresse über die ISDN-Verbindung der Datenquelle rückmeldet. Nachdem beide Kommunikationspartner in Kenntnis der IP-Adresse des anderen gelangt sind, kann eine abgesicherte IP-Verbindung (IPSec) aufgebaut werden. Fraglich war, über welches Protokoll die IP-Adressen der DSL-Verbindung über die ISDN-Verbindung übertragen werden. Hierfür gibt es zwei Möglichkeiten. Die eine besteht in der Übertragung mit dem ISDN-Protokoll. Die zweite Alternative besteht im Aufbau einer TCP/IP-Verbindung über die ISDN-Strecke. Ein gängiges Standardprotokoll von TCP/IP, das die gewünschte Kommunikation realisiert, ist meinen Mitarbeitern nicht bekannt. Da der Verbindungsaufbau vollständig von den Routern durchgeführt wird, handelt es sich vermutlich um ein firmenspezifisches Protokoll des Herstellers der Router. Weil die Sicherheit dieses Protokolls für eine Abschätzung der Sicherheit der Lösung nicht unerheblich ist und dem WWW-Angebot des Herstellers keine Erkenntnisse darüber zu entnehmen waren, setzten sich meine Mitarbeiter erneut mit der Gemeinde in Verbindung und baten um eine detailliertere Beschreibung, wie der Verbindungsaufbau einer IPSec-DSL-Verbindung unter Vermittlung einer ISDN-Verbindung tatsächlich funktioniert. Eine derartige Beschreibung muss es gegeben haben, wie sonst hätte die skizzierte Lösung entwickelt werden können. Die Gemeinde teilte daraufhin mit, dass man in Anbetracht des Termindrucks die Schaltung einer Standleitung in Auftrag gegeben habe.

Fazit aus dieser Geschichte:

In der schnelllebigen Welt der Informations- und Kommunikationsbranche ist das Innovationstempo nach wie vor sehr hoch. Hier den Überblick zu behalten ist kaum möglich. Daher ist es für die Erstellung einer datenschutzrechtlichen Stellungnahme erforderlich, das Sicherheitskonzept, insbesondere wenn neue Technologien eingesetzt werden, nachvollziehen zu können. Eingaben an den Landesbeauftragten für den Datenschutz müssen daher so detailliert sein, dass meine Mitarbeiter aus dem Sicherheitskonzept die datenschutzrechtlich relevanten Zusammenhänge nachvollziehen können.

5.4 Zugriffskontrolle bei USB

Eine große Vielfalt von externen Geräten wie Drucker, Modem, Scanner, Chipkartenlesegerät, PDA-Synchronisationsstation usw. können an PCs angeschlossen werden. Bisher verfügten die meisten PCs nicht über genügend Anschlüsse, um die von den Benutzern benötigten Geräte an einem PC gleichzeitig betreiben zu können. Ein Gerät im laufenden Betrieb auszustecken und ein anderes Gerät anzuschließen, war in der Vergangenheit nicht möglich, da beim Start des PCs fest vorgegeben war, an welcher Schnittstelle welches Gerät angeschlossen werden musste. Die Aufrüstung mit weiteren Schnittstellen konnte meist deshalb keine Abhilfe schaffen, weil es beispielsweise dadurch zu Konflikten kam, dass zwei unterschiedliche Geräte anwendungsbedingt den gleichen Anschluss hätten belegen müssen. Und angesichts von Prozessortaktraten im Gigahertzbereich ist die Übertragungsgeschwindigkeit der in die Jahre gekommenen seriellen und parallelen Schnittstellen alles andere als hoch.

Um aus dieser Misere herauszukommen, haben sich die Rechnerhersteller in nicht ganz uneigennütziger Art der Angelegenheit angenommen und uns schon vor geraumer Zeit mit einer neuen Schnittstelle namens USB (Universal Serial Bus) bedacht, die schneller arbeitet, mehr Anschlüsse bietet und im laufenden Betrieb auswechselbare Geräte unterstützt, die beim Ein- und Ausstecken automatisch konfiguriert werden. Nunmehr wird die Schnittstelle in der wesentlich schnelleren Version 2.0 in nahezu jeden PC gleich mehrfach eingebaut und von den Herstellern externer Zusatzgeräte, so genannter Peripherie, reichlich mit neuer Hardware in Form von einsteckbaren Halbleiterspeichern, externen Festplatten, CD-RW/DVD-RW-Laufwerken, Netzwerkanschlüssen und diversen anderen Geräten bedacht.

Eine Untersuchung der neuen Schnittstelle unter dem Gesichtspunkt des technischen Datenschutzes zeigt, dass bei Rechnern, die über eine oder mehrere USB-Schnittstellen verfügen, Maßnahmen ergriffen werden müssen, um mit diesen Rechnern weiterhin einen datenschutzrechtlich zulässigen Betrieb zu gewährleisten. Folgenden Gefährdungen muss beim Betrieb von Rechnern mit USB-Schnittstelle begegnet werden:

  • Booten
    Vermehrt werden Rechner angeboten, mit denen es möglich ist, über ein an einem USB-Port angeschlossenes Speichergerät den Rechner statt mit dem auf der Festplatte gespeicherten Betriebssystem mit einem auf dem Speichergerät vorgehaltenen alternativen Betriebssystem zu starten. Nach einem derartigen Startvorgang kann man auf die lokale Festplatte, die das alternative Betriebssystem meist ohne zusätzliche Aktivitäten einbindet, lesend und schreibend zugreifen, da die Zugriffsrechte für die Dateien der lokalen Festplatte, die vom ursprünglichen Betriebssystem vorgegeben werden, nicht für das alternative Betriebssystem gelten. Ein Benutzer, der sich am alternativen Betriebssystem anmeldet, kann so auf personenbezogene Daten zugreifen, für deren Zugriff er nicht berechtigt ist.
  • Speicher
    Es werden mehrere Arten von Geräten angeboten, die an eine USB-Schnittstelle angeschlossen werden können, um Daten auf ihnen zu speichern. Angefangen bei Halbleiterspeichern mit 16 bis 1 000 Megabyte Kapazität über CD/DVD-Brenner mit Kapazitäten von 600 bis 4 300 Megabyte bis hin zu Festplatten mit Kapazitäten im dreistelligen Gigabytebereich. Aber auch Kartenlesegeräte für Halbleiterspeicher, wie sie in digitalen Kameras eingesetzt werden, zählen dazu. Durch den Anschluss von derartigen Speichern ist es möglich, Kopien von Dateien, in denen personenbezogene Daten gespeichert sind, zu erstellen. Es müssen daher Maßnahmen ergriffen werden, die sicherstellen, dass Unbefugte kein Gerät an eine USB-Schnittstelle anschließen und nutzen können, das zur Speicherung von Dateien, die personenbezogene Daten enthalten, verwendet werden kann.
  • Netzwerk
    Des Weiteren sind Geräte problematisch, die es ermöglichen, über die USB-Schnittstelle eine Netzwerkverbindung aufzubauen. Hier werden Geräte angeboten, mit denen ein PC in Funknetze (WLAN, Bluetooth) oder konventionelle Netze (Ethernet) eingebunden werden kann. Ebenfalls werden Modems angeboten, mit denen über das Festnetz eine Verbindung zu anderen Rechnern hergestellt werden kann. Dadurch wird nicht nur eine Speicherung von personenbezogenen Daten auf einem anderen Rechner möglich, sondern es ist über diesen Weg auch möglich, von anderen Rechnern aus auf das Betriebssystem zuzugreifen und den Rechner aus der Ferne zu steuern.

Zur Abwehr der dargestellten Gefährdungen müssen folgende Maßnahmen ergriffen werden:

  • Booten
    Einfache Betriebssysteme können auf den schon jetzt erhältlichen Speichersteckern mit einer Kapazität bis ein Gigabyte installiert werden. Mit der nächsten Generation der Speicherstecker wird es möglich sein, darauf ein Client- oder Serverbetriebssystem, wie es in der Landesverwaltung überwiegend eingesetzt wird, zu installieren und damit einen anderen Rechner zu starten. Daher muss zur Gewährleistung einer effektiven Speicherkontrolle ausgeschlossen werden, dass alternative Betriebssysteme von USB-Geräten gestartet werden können. Ob ein Betriebssystem von einem USB-Gerät gebootet werden kann, entscheidet sich durch die Einstellungen im so genannten BIOS. Zu berücksichtigen ist ferner, dass Speicherstecker jedes beliebige Speichermedium wie Diskette, Festplatte, CD-ROM etc. nachbilden können. Es muss daher bei der Konfiguration des Systems darauf geachtet werden, dass im BIOS die Einstellungen so vorgenommen werden, dass Geräte des BIOS mit Namen usb-hdd, usb-cdrom, usb-fdd, usb-zip und möglicherweise weitere Geräte nicht als bootfähig gekennzeichnet sind. Wenn durch Konfiguration nicht verhindert werden kann, dass von einem externen USB-Gerät gebootet werden kann, dann sollten die Inhalte der lokalen Festplatte verschlüsselt werden. Dadurch wird der ungehinderte Zugriff durch ein alternatives Betriebssystem auf die lokale Festplatte unterbunden, da nur nach Eingabe eines Schlüssels ein unchiffrierter Zugriff möglich wird.
  • Speicherung
    Ob ein Benutzer auf ein an einer USB-Schnittstelle angeschlossenes Speichermedium zugreifen darf, wird auf der Ebene des Betriebssystems festgelegt. Das Betriebssystem muss zur effektiven Speicherkontrolle über Mechanismen verfügen, die es ermöglichen, den Zugriff lesend und schreibend für einzelne Benutzer festlegen zu können.
    Externe Speichergeräte, die an einen USB-Anschluss angeschlossen werden können, sind den mobilen Speichermedien zuzurechnen. Werden auf mobilen Datenträgern personenbezogene Daten gespeichert, dann müssen im Rahmen der Datenträgerkontrolle die gleichen Schutzmaßnahmen wie bei sonstigen mobilen Datenträgern (Bänder, Disketten, etc.) ergriffen werden, etwa Verschlüsselung und gesicherte Aufbewahrung.
  • Netzwerk
    Eine effektive Übermittlungskontrolle erfordert, dass Netzwerkverbindungen nur mit Kommunikationspartnern aufgebaut werden können, mit denen eine Verbindung eingegangen werden soll. Das bedeutet, dass das Betriebssystem so konfiguriert werden muss, dass bei Anschluss eines Vermittlungsgeräts an eine USB-Schnittstelle dieses nur dann in das Betriebssystem eingebunden werden darf, wenn der jeweilige Benutzer eine Verbindung über dieses Gerät aufbauen darf. Ist das Gerät als Betriebsmittel eingebunden, dann müssen zur Gewährleistung der Übermittlungskontrolle die gleichen Maßnahmen wie beispielsweise bei einem herkömmlichen Ethernet- oder Modemanschluss ergriffen werden.
    Wenn zulässige Verbindungen aufgebaut werden dürfen, ist es im Sinne einer effektiven Transportkontrolle notwendig, dass personenbezogene Daten bei der Übertragung nicht von Dritten gelesen oder verändert werden können.

Die zur technischen Realisierung der Maßnahmen notwendigen Vorkehrungen sind bei dem in der Landesverwaltung überwiegend eingesetzten Betriebssystem auf der Ebene der administrativen Berechtigungsverwaltung nicht vorhanden. Zwar gibt es eine Reihe von Behelfslösungen, wie durch entsprechende Einträge in der Systemkonfiguration oder durch Löschen bestimmter Treiberdateien der Zugriff ganz unterbunden werden kann. Wenn auf einem PC mehrere Benutzer arbeiten, von denen einer auf ein USB-Gerät zugreifen muss, während den anderen Benutzern ein Zugriff nicht gewährt werden soll, sind diese Lösungen nicht praktikabel, da sie auf alle Benutzer wirken. Eine Beschränkung des Zugriffs mit so genannten access control lists (ACL) kann benutzerspezifisch durch Verwendung zusätzlicher kommerziell erhältlicher Produkte erreicht werden.

Bei Betriebssystemen, die Geräte auf das Dateisystem abbilden, können Systemmanager über Dateiberechtigungen und ACL lesenden oder schreibenden Zugriff benutzerspezifisch regeln.

 

6. Datenspuren bei der Bürokommunikation – Was Word und andere Standardprogramme erkennen lassen

Programme zur Textverarbeitung sind aus vielen Computern nicht mehr wegzudenken. Die Ministerien des Landes haben für sich und die ihnen nachgeordneten Dienststellen festgelegt, dass dort in der Regel die Office-Produkte der Firma Microsoft eingesetzt werden. Bereits in unserem 20. Tätigkeitsbericht (LT-Drs. 12/4600, S. 27 f.) informierten wir darüber, dass das Textverarbeitungsprogramm Word 97 einige Funktionen enthält, deren unbedachte Nutzung mitunter auch Datenschutzverstöße nach sich ziehen kann. Als besonders problematisch hat sich dabei die Eigenschaft erwiesen, in jedem Dokument automatisch eine Reihe von Informationen zu speichern, die auf den ersten und manchmal auch auf den zweiten Blick nicht zu erkennen sind. Wird ein solches Dokument per E-Mail versandt oder im Internet veröffentlicht, kann jeder, der das Dokument elektronisch erhält, diese Informationen lesen und so möglicherweise auch personenbezogene Angelegenheiten erfahren, die nicht für ihn bestimmt sind. Obwohl die Problematik als solche nicht neu ist, stellen wir doch immer wieder fest, dass sie auch heute noch vielen Nutzern unbekannt ist, die tagtäglich mit diesen Produkten arbeiten.

  • Automatische Erfassung einiger Dateieigenschaften:

    Die von uns verwendeten Versionen von Word 97, Word 2000, Word 2002 sowie Word 2003 speichern für jedes damit bearbeitete Dokument eine Reihe so genannter Dateieigenschaften, die im Programm durch Auswahl von "Eigenschaften" im Menü "Datei" sichtbar gemacht werden können. Folgende darin enthaltene Angaben können datenschutzrechtlich problematisch sein:

    • Titel
      Im Feld "Titel" der Maske "Eigenschaften" erfasst Word automatisch den ersten Satz des Dokuments, der sich darin beim ersten Speichern nach der Neuanlage des Dokuments befindet. Sofern es sich dabei um einen längeren Satz handelt, werden davon mehr als zwei Zeilen (max. 254 Zeichen) erfasst. Entsprechendes gilt auch, wenn man nach Neuanlage eines Dokuments gleich einen längeren Text dort hineinkopiert. Sofern dieser Eintrag nicht durch den Benutzer geändert wird, bleibt er so lang unverändert stehen wie das Dokument besteht. Datenschutzrechtlich problematisch ist daran, dass dieser Satz auch dann noch als "Titel" gespeichert bleibt, wenn er längst aus dem Text des Dokuments wieder entfernt wurde.
    • Autor und letzter Bearbeiter
      Im Feld "Autor" registriert Word automatisch den Benutzernamen des Anwenders, der das Dokument angelegt hat. Dafür greift Word auf die Bezeichnung zurück, die es vom Benutzer beim erstmaligen Starten des Programms erfragt hat. In der Registerkarte "Statistik" weist Word außerdem stets noch nach, wer das Dokument zuletzt gespeichert hat.
    • Version und Bearbeitungsdauer
      Unter Version gibt Word auf der Registerkarte Statistik an, wie oft das Dokument seit seiner Neuanlage nach Veränderungen erneut gespeichert wurde. Dieser Wert gibt Auskunft darüber, wie oft ein Dokument verändert wurde. Ergänzt werden diese Informationen durch Angabe der Zeiten für die Neuanlage des Dokuments und dessen letztmalige Speicherung.

  • Verborgene Erfassung weiterer Zusatzinformationen zum Dokument

    Im Gegensatz zu den unter "Eigenschaften" angesprochenen Meta-Informationen erfasst Word daneben auch eine Reihe weiterer Informationen über ein Dokument, die nur dann sichtbar werden, wenn man das Dokument mit einem einfachen Texteditor wie Notepad öffnet.

    • Speicherort
      Wird eine Datei gespeichert, registrierten die von uns genutzten Versionen von Word 97 sowie Word 2000 in den im .doc-Format bearbeiteten Dokumenten nicht allein die Anzahl der Speicherungen, sondern sie erfassen dazu jeweils den vollständigen Dateipfad, unter dem das Dokument abgespeichert wird. Wird eine Datei mehrmals unter verschiedenen Dateipfaden gespeichert, so werden alle Dateipfade registriert. Auch auf diese Weise können unbeabsichtigt vielfältige Informationen, die nicht im Dokument als solchem enthalten sind, elektronisch an Dritte weitergegeben werden:
      Im Dateipfad können, etwa als Teil der Bezeichnungen persönlicher Ablagen, die Namen der Mitarbeiter erkennbar sein, die das Dokument bearbeitet haben.
      Enthält der Dateiname beispielsweise den Namen des Empfängers, so wird dies spätestens dann problematisch, wenn ein solches Dokument als Vorlage für ein Schreiben an einen anderen Empfänger verwendet wird. Dieser kann dann erkennen, an wen ein ähnliches oder sogar gleichlautendes Schreiben zuvor bereits versandt wurde.
    • Drucker
      Word 97 sowie Word 2000 registrieren in den im .doc-Format bearbeiteten Dokumenten zudem die Typenbezeichnung der Drucker, auf denen das Dokument ausgedruckt wurde. Da für jeden Ausdruck ein erneuter Eintrag erfolgt, lässt sich anhand dessen auch nachvollziehen, wie oft das Dokument überhaupt ausgedruckt wurde. Dies kann dem Empfänger einen weiteren Anhaltspunkt dafür liefern, wie intensiv an dem Schreiben vor dessen Versand gearbeitet wurde.
    • Mittlerweile gelöschte Textpassagen
      Ist bei den Einstellungen unter "Extras" – "Optionen" auf der Registerkarte "Speichern" die Option "Schnellspeicherung zulassen" ausgewählt, so bleiben in den von uns mit Word 97, Word 2000, Word 2002 sowie Word 2003 im .doc-Format bearbeiteten Dokumenten auch solche Textabschnitte enthalten, die früher einmal im Text der Dokumente enthalten waren, aber mittlerweile aus dem Dokument entfernt wurden und folglich von Word beim Öffnen des Dokuments auch nicht mehr angezeigt werden. Es liegt auf der Hand, dass es sich dabei um eine höchst problematische Eigenschaft handelt. Umso mehr überrascht es, dass diese Eigenschaft auch in den folgenden Versionen wieder aufgetreten ist.

Welche Konsequenzen sind aus diesen Feststellungen zu ziehen?

Jede Dienststelle und auch jeder einzelne Nutzer, der tagtäglich mit diesen Produkten arbeitet, sollte die erwähnten Eigenschaften kennen und entsprechende Vorsichts- und Schutzmaßnahmen ergreifen. Die oben angesprochenen Datenspuren lassen sich zwar nicht vollständig unterbinden, deren datenschutzrechtliche Brisanz lässt sich jedoch entschärfen:

  • Um zu verhindern, dass Word den Namen oder ein charakteristisches Kürzel eines Bearbeiters im Dokument speichert, kann man für alle Benutzer einer Einrichtung einheitlich als Benutzernamen eine neutrale Bezeichnung wie z. B. "user" verwenden.
  • Um zu verhindern, dass jemand die Speicherorte, die Druckernamen sowie eventuell vorhandene versteckte Informationen erkennen kann, kommt die Speicherung des Dokuments im RTF- oder dem von Word 2003 unterstützten XML-Format in Frage, in denen die versteckten Informationen nicht enthalten sind. Zu bedenken ist aber, dass auch in RTF- oder XML-Dokumenten die o. g. Dateieigenschaften wie Titel und Bearbeiter weitergegeben werden. Zudem sollte sichergestellt sein, dass die Option "Schnellspeicherung zulassen" nicht aktiviert wurde.
  • Dass jemand durch Auswertung der "Dateieigenschaften" aus der Titelangabe frühere Formulierungen des Schreibens oder die tatsächliche Zahl der Speicherungen eines Dokuments entnehmen kann, lässt sich verhindern, indem der Inhalt des Dokuments vor dem elektronischen Versand in ein neu angelegtes Dokument kopiert wird. Dann erscheint der erste Satz dieses kopierten Dokuments als Titel und auch der Versionszähler, der die Zahl der Speicherungen registriert, wird zurückgesetzt.

Ähnliche Probleme können grundsätzlich auch in anderen Produkten auftreten. Daher empfiehlt es sich, die individuell verwendeten Dokumentenformate darauf zu überprüfen, ob darin Dateieigenschaften transportiert werden und, wenn ja, wie diese (automatisch) mit Inhalten gefüllt werden. Zum anderen kann man die Dokumente, nachdem die Datei-Namensendung auf .txt abgeändert wurde, mit Hilfe eines einfachen Texteditors darauf überprüfen, ob darin Daten enthalten sind, die dort nicht hingehören.

Kontakt
Impressum