Tätigkeitsbericht 1991
Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Jahresbericht 1991
des Berliner Datenschutzbeauftragten

Zur Einleitung Einleitung


Zur Inhaltsübersicht

1.  

RAHMENBEDINGUNGEN FÜR BERLIN

(...)

Zur Inhaltsübersicht

1.2

Entwicklung der Informationstechnik

Datensicherheit für die informationelle Selbstbestimmung

Das Begriffspaar "Datenschutz" und "Datensicherheit" wird regelmäßig in der Weise gebraucht, daß die Datensicherheit der Beitrag der Techniker und Organisatoren zum Gesamtziel Datenschutz ist. Daß dies zu einfach ist, zeigt zum Beispiel, daß sich der Datenschutz nur auf personenbezogene Daten bezieht, die Datensicherheit jedoch auch für andere schützenswerte Daten verlangt wird.

Gleichwohl erfolgt die Sicherstellung der informationellen Selbstbestimmung auch durch technische und organisatorische Maßnahmen für den Schutz der Vertraulichkeit und Integrität der Daten, wie sie zum Beispiel im § 5 Berliner Datenschutzgesetz verlangt werden. Man kann hier vom technischen und organisatorischen Datenschutz sprechen, um damit deutlich zu machen, welchen Zielen die Schutzmaßnahmen vor allem zu dienen haben, nämlich sicherzustellen, daß nicht durch den Zugriff Unbefugter auf persönliche Daten die informationelle Selbstbestimmung verletzt wird.

Ein Teilaspekt des technischen Datenschutzes ist die Sicherheit der Informationstechnik (IT-Sicherheit). Sie ist der Beitrag der Systemhersteller zur Sicherstellung der Verfügbarkeit und Integrität von Systemen, Programmen und Daten sowie der Vertraulichkeit der Daten und Programme. Sie ist dort von besonderer Bedeutung, wo Angriffe auf die Sicherheit mit ausgefeilten technischen Mitteln und hohem Sachverstand auf Anwendungen der automatisierten Datenverarbeitung zu befurchten sind, obwohl bereits hinreichende Schutzmaßnahmen getroffen wurden. Wenn die Organisation der Datenverarbeitung, die Entwicklung der Anwendungsprogramme und die tägliche Arbeit mit den Systemen und mit Datenträgern nicht ebenfalls vom Sicherheitsverständnis geprägt sind, spielt die IT-Sicherheit bei der Gesamtbewertung des technischen und organisatorischen Datenschutzes nur eine untergeordnete Rolle.

Andererseits hat die datenverarbeitende Stelle außer bei der Auswahl der Systeme keine Einflußmöglichkeiten auf die IT- Sicherheit. Vielmehr hat sie darauf zu achten, daß in Pflichtenheften sowohl für die Hardware wie für die System- und Anwendungssoftware die für die Sicherheit des ADV-Einsatzes notwendigen Anforderungen berücksichtigt werden, daß Sicherheitsregeln für die Organisation vorgegeben werden und in der täglichen Anwendung akzeptiert und vollzogen werden. Zu den Aufgaben der Datenschutzbeauftragten gehört es, die Organisationen dabei zu unterstützen.

Sie wären aber hoffnungslos überfordert, würde man von ihnen erwarten, sie könnten alleine die in ihrem Zuständigkeitsbereich eingesetzten informations-technischcn Systeme hinsichtlich der IT-Sicherheit untersuchen und bewerten. Es ist deswegen zu begrüßen, daß sich seit dem 1. Januar 1991 das Bundesamt für Sicherheit der fnformatlonstechnik (BSI) auf der Grundlage eines Errichtungsgesetzes (BSI-Gesetz)19 mit diesen Aufgaben befaßt, indem es Betriebssysteme, Datenbanksysteme und spezielle Sicherheitssysteme auf ihre Funktionalitäten und die dabei erreichten Qualitätsstufen untersucht und in einer nachvollziehbaren Skala einstuft.

Die IT-Sicherheitskriterien - eine Meßlatte für sicherheitsbewußte Systemgestaltung

Grundlage dafür sind die "IT-Sicherheitskriterien", die das BSI veröffentlicht hat. Sie sind aus ähnlichen Kriterien im sog. "Orange Book" hervorgegangen, die schon vor längerer Zeit vom amerikanischen Verteidigungsministerium entwickelt worden sind. Die deutsche - und in Folge auch eine europäische - Meßskala nimmt für sich in Anspruch, differenzierter und im zivilen Sektor brauchbarer zu sein. Die deutschen IT-Sicherheitskriterien kennen sechs hierarchisch aufeinanderfolgende Funktionalitätsklassen FO - F5, die die Funktionen aufzählen, die ein System leisten muß, um in die jeweilige Klasse aufgenommen zu werden. Sie kennen ferner sieben Qualitätsklassen QO - Q6, die die Qualität, mit denen die Funktionen mindestens erfüllt werden müssen, beschreiben.

Die Datenschutzbeauftragten gingen bei erster Betrachtung der IT- Sicherheitskriterien davon aus, daß ADV-Systeme, die in der öffentlichen Verwaltung zur Verarbeitung personenbezogener Daten eingesetzt werden, mit F2 und Q3 von der BSI evaluiert werden sollten. Mittlerweile müssen diese Anforderungen insoweit relativiert werden, als sie nur als mittelfristig generell anzustreifende Zielsetzung angesehen werden können, weil es kaum Systeme auf dem Markt gibt, die diesen Anforderungen entsprechen.

Die Hersteller sind allerdings der Verantwortung, Systeme zu entwickeln, die vom BSI hochrangig evaluiert werden, bisher nicht ausreichend nachgekommen: Unsichere Standard-Betriebssysteme UNIX und MS-DOS beherrschen die Welt der Anwendungen am Arbeitsplatz, Sicherheitsmängel von Betriebs-und Datenbanksystemen waren u. a. Ursachen spektakulärer Hackerfälle, der Befall von IT-Systemen mit Computerviren machte nachhaltig Schlagzeilen. Kurzum: Die IT-Sicherheit gehörte bis vor kurzem zu den vernachlässigten Gestaltungszielen bei der Entwicklung von Informatiönstechnik.

Das Umdenken hat aber bereits angefangen. Hersteller legen jetzt mehr Wert darauf, Systeme zu entwickeln, die den offiziellen Sicherheitskriterien des BSI oder des "Orange Book" genügen. Es gibt Aussagen von Analytikern, wonach die Sicherheit der IT neuerdings alle anderen Gestaltungsziele hinsichtlich ihrer Priorität übertroffen haben.

Ein Beispiel für die Bemühungen heute einerseits und für Versäumnisse in der Vergangenheit andererseits ist die Entwicklung der neuesten Version (Vers. 10) des Betriebssystems BS 2000 der Firma Siemens-Nixdorf, die die höhere Sicherheit zum vorrangigen Ziel hatte und von der BSI mit hohem Aufwand entwicklungsbegleitend evaluiert wurde. Die erheblichen Verbesserungen dieses auch in früheren Versionen als relativ sicher geltenden Betriebssystems führten zu einer Evaluation nach der Funktionalitätsklasse 2 und der Qualitätsstufe 3 (F2, Q3), eine Bewertung, die - wie oben bereits erwähnt - für personenbezogene Anwendungen als generell anzustreben gilt, den Einsatz bei besonders riskanten Anwendungen ohnezusätzliche Verbesserungen aber eigentlich ausschließt.

Es ergibt sich daraus die Empfehlung für die zahlreichen BS- 2000-Anwender, insbesondere auch für das Landesamt für Informationstechnik, möglichst umgehend auf die sicherheitstechnisch optimierte neue Betriebssystem-Version umzustellen.

"IT-Sicherheitshandbuch" - ein Rückfall

Zur weiteren Verbesserung des Sicherheitsniveaus beim Einsatz der Informationstechnik soll ein "IT-Sicherheitshandbuch" führen, welches von der BSI entwickelt wurde. Da das IT-Sicherheitshandbuch verbindlich nur in der Bundesverwaltung für die Durchführung von Risikoanalysen und zur Entwicklung von Sicherheitskonzepten herangezogen werden soll, gegebenenfalls bei entsprechender Tauglichkeit auch im privaten Bereich Einfluß nehmen soll, nicht jedoch die Landesverwaltungen binden kann, hat man auch seitens des Bundes von einer Unterrichtung der Landesdatenschutzbeauftragten abgesehen. Dieses ist vermutlich eine Fehleinschätzung. Was im Bundesbereich verbindlich einzusetzen ist und im privaten Bereich Erfolg haben soll, wird seine Wirkung auf die Länder und Gemeinden kaum verfehlen. Die Mitwirkung des Bereichsleiters für Technik und Organisation im Präsidiumsarbeitsbereich "Datenschutz und Sicherheit" der Gesellschaft für Informatik gab uns daher eine willkommene Gelegenheit, uns mit dem Papier zu befassen.

Der vorliegende Entwurf beschreibt die Ansprüche des IT- Sicherheitshandbuchs allumfassend:

-- Es will eine Methode sowie Vorgaben und praktische Anleitungen zur Feststellung der Schutzbedürftigkeit, zur Durchführung von Bedrohungs- und Risikoanalysen und zur Erstellung von IT-Sicherheitskonzepten liefern.

- Es richtet sich an das Management von Unternehmen und Verwaltungen, damit sie sich der Risiken des IT-Einsatzes bewußt werden. Kostenbewußtsein für Maßnahmen entwickeln und sich rechtzeitig für Sicherheitsmaßnahmen entscheiden können und an die für die Sicherheit der IT Verantwortlichen als Hilfestellung zur Wahrnehmung ihrer Aufgaben, darüber hinaus an alle Personen, die mit dem IT-Einsatz direkt oder indirekt befaßt sind, unabhängig von der Branche oder Behörde.

- Es soll für fast alle Arten und Größen von IT-Systemen verwendbar sein.

- Es soll sowohl im Planungsprozeß als auch bei vorhandenen und im Einsatz befindlichen IT-Systemen (im Rahmen von Revisionsprozessen) angewendet werden können.

- Darüber hinaus soll es datenschutzrelevante Daten und Verschlußsachen gleichermaßen erfassen, technische und nicht-technische Aspekte der IT-Sicherheit berühren und die Wirtschaftlichkeit und Angemessenheit berücksichtigen.

Diesen Ansprüchen kann der Entwurf des IT-Sicherheitshandbuchs nicht genügen. Viele Abschnitte können weder inhaltlich noch nach der Ausdrucksweise und Darstellung den üblichen fachlichen Ansprüchen standhalten.

DieMethode zur Analyse der Risiken und zur Entwicklung von IT-Sicherheitskon-zepten krankt u. a. an folgenden Mängeln:

- Das Verfahren verzichtet auf eine ganzheitliche Betrachtung der Organisationen, die sich der Informationstechnik bedienen, um ihre Leistungen zu erbringen. Damit werden Ursachen wie Mängel übergeordneter Organisati-onsstrukturen, Interessengegensätze, Führungsmängel und mangelhafte Planung der Informationsnüsse aus der Risikoanalyse ausgeblendet.

- Die Risikobewertung und -ermittlung erfolgt an einer pauschalisierenden numerischen Werteskala, die mit ihrer Pseudomathematik Objektivität und Unangreifbarkeit vortäuscht, jedoch nicht nachvollziehbar ist und bei Risiken, die mehr ideeler Natur sind (z. B. die Wahrung der informationellen Selbstbestimmung), ungeeignet ist.

- Die Wahrung der informationellen Selbstbestimmung, die Beachtung bestimmter besonderer gesetzlicher Rahmenbedingungen, die den Wert einer Anwendung beeinflussen, werden zwar pauschal erwähnt, werden bei dem Verfahren zur Ermilllung der Schutzbedürftigkeit jedoch nicht beachtet.

- Ein Konzept für die Aktualisierung und Fortschreibung der Ergebnisse der Risikoanalyse und des IT-Sicherheitskonzeptes wird nicht mitgeliefert. Die organisatorische Installation eines Sicherheitsmanagements wird nicht explizit unterstützt.

- Der zeitliche und personelle Aufwand für die Anwendung des Sicherheits-handbuches verletzt bei kleineren IT-Anwendungen die Grundsätze der Verhältnismäßigkeit und Wirtschaftlichkeit. Gerade angesichts der Änderungshäufigkeit bei Hard- und Softwarekomponenten ist zu erwarten, daß die Analysen von sicherheitsrelevanten Änderungen der Konfigurationen überholt werden.

Eine Befassung mit den Details des Entwurfs des IT-Sicherheitshandbuchs, z. B. bei den Anforderungen an sichere IT-Anwendungen im PC-Bereich oder bei Mehrplatzsystemen, zeigt bald, daß die längst veröffentlichten und größtenteils auch akzeptierten Anforderungen der Datenschutzbeauftragten und auch anderer Fachleute bei weitem nicht erreicht werden.

Angesichts der uns bekannt gewordenen Absicht, trotz der warnenden Stellungnahmen das IT-Sicherheitshandbuch zumindest erprobungshalber für eine bestimmte Frist für die Bundesverwaltung verbindlich zu machen, warnen wir davor, daß sich die Berliner Landesverwaltung einer solchen Vorgehensweise bei der Erstellung von Sicherheitskonzepten anschließt solange das Handbuch nicht wesentlich verbessert wird.

Trends der informationstechnischen Entwicklung

Um rechtzeitig mit Empfehlungen und Hinweisen den Beratungsbedarf der Verwaltung und der Gesetzgeber befriedigen zu können, ist es für Datenschutzbeauftragte unerläßlich, sich frühzeitig mit informationstechnischen Entwicklungstendenzen auseinanderzusetzen. Was heute in den Labors entwickelt wird, kann morgen Gegenstand einer öffentlichen Beschaffungsmaßnahme sein und übermorgen Risiken für die informationelle Selbstbestimmung hervorrufen, diedurch gesetzliche Regelungen und technische und organisatorische Maßnahmen gebändigt werden müssen.

Die bekannten Entwicklungstrends in der Informationstechnik sind nach wie vor aktuell. Die Entwicklungsgeschwindigkeit hat an Rasanz nichts eingebüßt:

Der Trend zur Miniaturisierung der Hardware hält an. Tragbare Computer (Laptops) erreichen atemberaubende Leistungsdaten, die noch vor wenigen Jahren Großrechnern vorbehalten waren. Notebook-Computer ermöglichen die Mitnahme automatisierter Datenbanken in der Hand- oder Jackentasche. Individuelle automatisierte Datenverarbeitung ist damit längst nicht mehr ortsgebunden. Dieser Komfort ist aber auch mit neuen Gefahren für den Datenschutz und die Sicherheit der Datenverarbeitung verbunden20.

Das Preis-/Leistungsverhältnis wird weiterhin immer günstiger. Beinahe jeder ist heute finanziell in der Lage, sich erstaunlich leistungsfähige Computer zu kaufen.

Deshalb sind Computer bereits heute in vielen Privathaushalten anzutreffen. Aber wie zu beobachten ist, bleibt es nicht dabei, die Computer dort für die private Lebensführung oder zum Spielen zu verwenden. Auch öffentlich Bedienstete verlagern Teile ihrer dienstlichen Arbeit an ihren häuslichen PC und entziehen sich damit einer effektiven Kontrolle durch Dienstbehörde oder Datenschutzbeauftragte21.

Die Systeme folgen zunehmend internationalen Industriestandards. Die meisten Personalcomputer arbeiten mit dem Betriebssystem MS-DOS, so daß weltweit kompatible Software nach einheitlichen Bedingungen eingesetzt werden kann. Damit wird auch Standard-Software relativ billig, weil sie einen hohen Verbreitungsgrad erreichen kann. Aber auch hier gibt es Wermutstropfen:

MS-DOS enthält keine Sicherheitsfunktionalitäten. Sicherheit muß teuer hinzugekauft werden. Dies geschieht aber nur dann, wenn auch das nötige Sicherheitsbewußtsein die Notwendigkeit solcher präventiver Maßnahmen einsichtig macht. Die weltweite Verbreitung kompatibler Systeme fordert auch die weltweite Verbreitung kompatibler Schadprogramme wie Viren, Würmer und Trojanische Pferde.

Rechner werden zunehmend vernetzt. Sie werden zu lokalen Netzen (LAN) zusammengeschaltet, um gemeinsame Ressourcen zu nutzen, um Ausfälle aus-zugleichen oder Kommunikation zu ermöglichen. Lokale Netze werden über große Entfernungen hinweg zu Weitbereichsnetzen (WAN) verknüpft. Die Verwaltungen großer Metropolen vernetzen sich über "Metropolitan Area Net-works" (MAN) - wie es auch in Berlin geplant ist. Die Zusammenführung aller Netze zu einem weltumspannenden "Global Area Network" (GAN) ist kaum noch Utopie, wenn man bedenkt, daß für die Verbindungen im Netz ISDN als weltweiter Standard zur Verfügung steht.

Mit der Ausbreitung solcher Netze und der zunehmenden Abhängigkeit von ihrer Verfügbarkeit und Integrität entstehen existenzielle Risiken für Menschen und ihre Organisationen. Die Sicherheit der Systeme gewinnt angesichts der Risiken der Verletzlichkeit der Gesellschaft an Bedeutung.

Software wird heute mit leistungsfähigen Generierungs-Werkzeugen und neuartigen Programmiersprachen (objektorientierte Programmierung) erstellt, die es ermöglichen, immer komplexere Programme zu erstellen, die die schnelleren Rechengeschwindigkeiten und fast unbegrenzten Speicherkapazitäten für neue Anwendungen erschließen können. Wissensbasierte Expertensysteme, komplexe Simulationen, hochauflösende, schnell bewegte Graphikpräsentationen werden möglich.

Die Verknüpfung technischer Präsentations- und Simulationstechniken mit menschlichem Empfindungsvermögen eröffnet eine neue Gefahrendimension für die informationelle Selbstbestimmung, die unter dem Stichwort "Cyberspace" im Berichtsjahr ins öffentliche Bewußtsein trat22.

 

19.) BGBl. 1 1990, S.2834

20.) Ausführliches dazu und zu den Empfehlungen im Jahresbericht 1990, 2.4. ff

21.) siehe dazu 3.8

22.) siehe dazu 1.2

Seitenanfang
Zum 2.Teil des Jahresberichtes 2. Datenschutz in Berlin
 Letzte Änderung:
 am 15.03.1999
E-Mail an den Berliner Datenschutzbeauftragten