2. Technische Rahmenbedingungen2.1. Entwicklung der Informationstechnik und deren Auswirkung auf die Berliner VerwaltungNeben den alljährlich zu beobachtenden Trends wie - die weitere Verbesserung des Preis-/Leistungsverhältnisses für Informations- und Kommunikationstechnik, - die weitergehende Miniaturisierung der Hardware, - die insbesondere in Hinblick auf die Benutzeroberflächengestaltung immer komplexer werden Standardsoftware, - die zunehmende Vernetzung, - die weitergehende Integration von Sprach- und Datenkommunikation, - die Einbeziehung von stehenden und bewegten Bildern (Multimedia), - der Rückgang proprietärer Systeme zugunsten des Anwachsens mehr oder weniger offener Systeme (Downsizing), - das Vordringen chipkarten-orientierter Anwendungen, - die zunehmende Auslagerung von IuK-Dienstleistungen an Dritte (Outsourcing) sind einige Tendenzen, die sich ebenfalls seit längerem entwickelten, in das Augenmerk der für Informations- und Kommunikationstechnik Verantwortlichen geraten. Dies nicht zuletzt deshalb, weil die Fachpresse, aber auch die allgemeine Berichterstattung der Medien ihnen besondere Aufmerksamkeit verliehen: - die weltweite Datenkommunikation über das Internet, - die Client-Server-Architekturen der lokalen Netze, - die Nutzung optischer Speichermedien, - von den Laptops über die Notebooks zu den Palmtops. Die Welt am Netz: Das Internet |
||
Das Internet ist ein weltumspannender Verbund von Computern unterschiedlichster Art. Es entstand in den 70-er Jahren aus dem Arpanet (Advanced Research Project Agency) des US-Verteidigungsministeriums. Das Netz hat eine sprunghafte Entwicklung erfahren: Waren 1984 1000 Computer angeschlossen, so waren es 1989 bereits 100.000 und drei Jahre später bereits 1 Million angeschlossene Systeme (hosts). Derzeit nehmen 35 Millionen Benutzer an der Internet-Kommunikation teil, bei gleichmäßiger Weiterentwicklung wird davon ausgegangen, daß 1995 etwa 200 Millionen Personen mit dem Internet arbeiten werden. Die im Internet angebotenen Dienste haben ebenfalls eine erhebliche qualitative Entwicklung genommen. Zunächst wurde das Netz vorwiegend für elektronische Post (electronic mail), Datenübertragung (file transfer) und die Benutzung entfernter Systeme (remote login) verwendet. Mittlerweile werden zusätzlich komplexere Mehrwertdienste angeboten: - Mit dem Dokument-Informationssystem "Gopher" werden weltweit Dokumente zu bestimmten Fachthemen zum Abruf bereitgehalten. Gesetzestexte, Kommentare, Fachbeiträge zu allen Wissensgebieten können über Internet verbreitet und gelesen werden. - Das "World Wide Web - WWW" bietet unter einer sehr komfortablen Benutzeroberfläche aktuelle Informationen zu allen möglichen Themen (z.B. über das Internet selbst, Wetterkarten aus Kalifornien, Kinoprogramm aus Berlin) an. Diese Informationen werden auf speziellen WWW-Servern katalogisiert und bereitgehalten. Mit dem Internet kommt man also dem Traum vom schnellen, weltweit agierenden, fachübergreifenden und billigen Informationsnetz für "jedermann" ein erhebliches Stück weiter. Für Beträge in der Größenordnung der monatlichen Telefonrechnung eines durchschnittlichen Haushaltes kann jeder Benutzer des Internet werden, der einen leistungsfähigen Personalcomputer und ein passendes Modem sein eigen nennt. Auch diverse öffentliche Stellen des Landes Berlin insbesondere im Hochschulbereich nehmen am Internet teil. Über das im Aufbau begriffene Metropolitan Area Network (MAN) Berlins 57 wollen auch die anderen öffentlichen Stellen Anschluß an die globale Informationsquelle Internet erlangen. Dies bedeutet, daß entsprechende Übergänge (gateways) vom neuen Berliner Verwaltungsnetz in das Internet geschaffen werden müssen. Ein zur beliebigen Nutzung durch jeden bereitgehaltenes offenes Datennetz wie das Internet erzeugt jedoch erhebliche Sicherheitsrisiken für die angeschlossenen Systeme und Netze sowie die Daten, die verarbeitet bzw. transportiert werden. Nutzungsbeschränkungen stehen der Philosophie des Internets prinzipiell entgegen. So bleibt es Aufgabe der Betreiber angeschlossener Systeme und Netze, ihre eigenen Systeme und Daten vor dem unbefugten Zugriff (z.B. über remote login) aus dem Internet zu schützen. Solche "Firewalls" müssen dafür sorgen, daß einerseits die erwünschte Kommunikation und Informationsgewinnung über das Internet auch den Benutzern der eigenen Systeme möglichst uneingeschränkt zur Verfügung stehen, andererseits jedoch Angriffe auf diese Systeme aus dem Internet verläßlich abgewehrt werden. Die Nutzung des Internet ist derzeit noch im wesentlichen auf den Forschungssektor beschränkt, der von der freien Kommunikation und dem ungehinderten Informationszugang abhängig ist. Die zunehmende Kommerzialisierung des Internet dürfte jedoch dazu führen, daß z.B. auch Produkte über das Internet angeboten, gekauft und bezahlt werden können. Daraus werden sich nicht nur Probleme der technischen Sicherheit und der Verläßlichkeit der Kommunikation ergeben. Auch rechtliche Probleme vielfältiger Art werden sich aus den verschiedenen Nutzungsmöglichkeiten ergeben, die dadurch zusätzlich kompliziert werden, daß: zwischenstaatliche Grenzen, selbst Grenzen von Staatengemeinschaften wie der EU und zwischen Blöcken unterschiedlicher Weltanschauung und kultureller und religiöser Hintergründe im Internet nicht existieren. Client-Server-SystemeDie bereits im Jahresbericht 1993 58 beschriebene Tendenz zur lokalen Zentralisierung der automatisierten Datenverarbeitung findet in dem Konzept der Client-Server-Systeme eine konsequente Realisierungsform. Lokale Netze bestehen dabei aus einem oder mehreren aus Sicht des Anwenders zentralen Servern, die in die Netztopologie so eingebunden sind, daß sie von den Arbeitsplatzsystemen (Clients) direkt zur Erbringung ihrer Leistung aufgefordert werden können. Beispiele für solche Client-Server-Systeme sind PC-Netze unter NOVELL, heterogene Netze mit UNIX-Servern und MS-DOS-Personalcomputern, homogene Netze mit UNIX-Servern und UNIX-Workstations oder X-Terminals. Aber auch andere Konfigurationen sind denkbar, insbesondere solche mit mehreren Servern für unterschiedliche Spezialaufgaben (Datenbank-Server, Kommunikations-Server, usw.). Auf die Sicherheitsprobleme von Client-Server-Systemen sind wir in früheren Jahresberichten bei der Behandlung der Herausforderungen des Downsizing des öfteren eingegangen 59. Nach wie vor erreichen die meisten in lokalen Netzen eingesetzten Systeme nur ein schwaches IT-Sicherheitsniveau; so ist die Entprofessionalisierung der Systemverwaltung, verbunden mit ihrer mangelhaften Kontrollierbarkeit, eine Schwachstelle, die den Einsatz solcher Systeme für sicherheitsbedürftige Anwendungen bedenklich macht. Zugleich verstärkt sich die Abhängigkeit von organisationsfremder Sachkompetenz und Leistungsbereitschaft. Es kommt daher um so mehr darauf an, die mit den speziellen Anwendungen, den eingesetzten Systemkonfigurationen und den besonderen Bedingungen der räumlichen, personellen und technischen Systemumgebung verbundenen Risiken sorgfältig und realistisch auf konkrete Bedrohungen bezogen zu untersuchen (und nicht mit dem primären Ziel, Argumente für den Verzicht auf kostenträchtige Sicherheitsmaßnahmen zu finden). Daraus ist dann zu beurteilen, ob mit den vorgesehenen und gar bestehenden Systemen die notwendige Sicherheit erreichbar ist, wenn ja, welche personellen, organisatorischen und technischen Maßnahmen dafür zu ergreifen sind, und wenn nein, wie durch sinnvolle organisatorische Eingriffe in die Anwendungsumgebung die Sicherheit verbessert werden kann. So ist der Umgang mit beweglichen Datenträgern, insbesondere mit Disketten, in starkem Maße zu reduzieren, da sonst vorsätzliche oder fahrlässige Angriffe auf die Systemsicherheit kaum ausgeschlossen werden können. Daten können auf Disketten kopiert werden, nicht freigegebene Programme oder solche mit bekannten oder unbekannten Schadenswirkungen (Viren) können mit Disketten eingespielt werden. Daher sollte bei Arbeitsplatzsystemen (Clients) grundsätzlich auf die Ausstattung mit Laufwerken für bewegliche Datenträger verzichtet werden. Außerdem sollten sensible Daten bei der Überspielung auf Festplatten, auf Datenträger für den Datenträgeraustausch und bei der Übertragung auf Datenleitungen kryptographisch verschlüsselt werden, damit Angriffe auf diese Datenträger und Übertragungswege sinnlos bleiben und nicht zur Beeinträchtigung der informationellen Selbstbestimmung führen. Diese Forderungen stehen beispielhaft für viele, die in Sicherheitskonzepten für Client-Server-Systeme einzugehen haben. Muster- oder Standardkonzepte führen dabei meistens nicht viel weiter, da diese spezielle Risikolagen der jeweiligen Anwendungen unberücksichtigt lassen müssen. Zur Unterstützung der Berliner Verwaltung bei der Erstellung solcher Sicherheitskonzepte nach aktuellem Stand der Technik bereiten wir eine neue Broschüre zur Datensicherheit bei Personalcomputern, ob unvernetzt, als Clients in homogenen oder heterogenen lokalen Netzen oder zu Laptops, Notebooks oder Palmtops miniaturisiert, vor. Optische SpeichermedienDer immer stärker wachsende Aktenberg in der Verwaltung, veranlaßte die "Designer" verschiedener neuer Verfahren, sich bei der Verfahrensentwicklung den Problemen der elektronischen Archivierung zu stellen. Die Forderungen an elektronische Archive sind im wesentlichen die folgenden: - Die Speicherung sehr großer Datenmengen muß möglich sein. - Ein ständiger Zugriff für berechtigte Personen muß möglich sein. - Die gespeicherten Daten müssen authentisch sein, d.h. sie dürfen nicht verändert werden können. - Das Lesen der Daten muß über einen langen Zeitraum hinweg gewährleistet sein. - Die Vorlagen müssen originalgetreu reproduziert werden können. Für die Realisierung elektronischer Archive reichen bisherige magnetische Speichermedien nicht mehr aus. Alternativen bilden hier optische Speichermedien, die mittels Laserstrahl beschrieben werden und über stark erhöhte Speicherkapazitäten verfügen. Zu den optischen Speichermedien zählen auch die wahrscheinlich mittlerweile jedem wohl bekannten CD-ROM (Compact Disc - Read Only Memory), die dem Musikliebhaber wesentlich mehr Musik, auf wesentlich kleinerem Platz, in wesentlich besserer Qualität bieten oder dem Computer-Freund das Hantieren mit einer großen Anzahl von Disketten bei der Installation einer neuen Software ersparen. Bisher war die Erzeugung von CDs nur Spezialisten überlassen, da keine, für den Normalbürger erschwinglichen Schreibgeräte verfügbar waren. Dieses hatte zur Folge, daß die Speicherung von Informationen auf einer CD nur bei einer entsprechend hohen Stückzahl rentabel war. Mittlerweile sind Laufwerke erhältlich, die es analog z.B. zu einem Disketten-Laufwerk ermöglichen, CDs bei einer Speicherkapazität von 600-650 MByte einmal zu beschreiben. Das eigentliche Medium zur elektronischen Archivierung ist die sogenannte WORM (Write Once Read Many). Die WORM ist ebenfalls ein optisches Speichermedium, das genau einmal beschrieben und beliebig oft gelesen werden kann. Die Speicherkapazität beträgt zur Zeit für eine 12 Zoll WORM (mit einem Durchmesser von 30 cm) ca. 6 GByte (dieses entspricht ca. 3 Millionen Seiten Schreibmaschinentext oder ca. 100.000 als Faksimile gespeicherten Dokumenten). Es ist jedoch zu erwarten, daß die Kapazität in absehbarer Zeit auf ca. 15 GByte ansteigen wird. Häufig verwendet wird auch noch eine kleinere WORM mit 5 1/4 Zoll Durchmesser und einer Speicherkapazität von ca. 1 1/2 GByte. Die WORM-Technologie steht auch für CDs zur Verfügung. Als ein wiederbeschreibbares optisches Speichermedium ist die magneto-optische Platte (MOD - magneto optical disk) anzusehen. Sie entspricht im wesentlichen einer WORM, ist jedoch durch den Einsatz von Firmware (firmenspezifische Soft- oder Hardware-Programme im Laufwerk zur Sicherstellung der Basis-Funktionen) wiederbeschreibbar. Für eine gesicherte und anerkannte Langzeitarchivierung erscheint diese jedoch nicht einsetzbar und ist eher als Konkurrenz der herkömmlichen magnetischen Platten zu sehen. Das wichtigste datenschutzrechtliche Problem bei Einsatz der WORM-Technologie besteht in der Sicherstellung der gesetzlichen Löschungspflichten. § 4 Abs. 2 Ziffer 6 BlnDSG definiert das Löschen als "das Beseitigen gespeicherter Daten". Unter "Beseitigen" ist dabei das physikalische Löschen zu verstehen. Dieses ist jedoch, wie oben dargestellt, bei der WORM-Technologie nicht möglich. Ein Löschen von Daten kann nur auf dem logischen Wege erfolgen, indem ein Sperrvermerk in der Plattenverwaltungsdatei, in der Zeiger auf die eigentlichen Daten definiert sind, eingetragen wird, bzw. die entsprechenden Verweise aus der Plattenverwaltungsdatei gelöscht werden. Die Daten bleiben jedoch physikalisch unverändert auf der Platte stehen und könnten, z.B. durch Einspielen einer zu einem früheren Zeitpunkt gesicherten Plattenverwaltungsdatei, wieder identifizierbar gemacht werden. Das dargestellte Problem könnte man dadurch lösen, indem in bestimmten Zeitabständen eine neue WORM erzeugt wird, die dann nur noch die Daten der ursprünglichen WORM enthält, die nicht als gelöscht gekennzeichnet sind. Die ursprüngliche WORM kann dann physikalisch vernichtet werden. Dieses Verfahren erscheint für Verwaltungszwecke mit unterschiedlichen Aufbewahrungs- bzw. Löschungsfristen als nicht tragbar, da damit ein erheblicher Kostenaufwand verbunden ist. Der Preis für eine 12 Zoll WORM beträgt zur Zeit ca. 3000 DM, der für eine 5 1/4 Zoll WORM 300 DM. Als sinnvolle Alternative erscheint die oben erwähnte CD-WORM mit einem Preis von ca. 30 DM. Hier kann, insbesondere bei einer Speicherung von Informationen auf einer CD-WORM, die ungefähr gleichen Löschungspflichten unterliegen, ein Umkopieren der Daten mit anschließender Vernichtung der ursprünglichen CD-WORM, als akzeptabel erachtet werden. Deshalb empfehlen wir, den Einsatz von optischen Speichermedien dem Einsatzzweck anzupassen und den Einsatz von WORMs auf Verfahren zu beschränken, deren Daten keiner oder einer sehr langen Löschungsfrist unterliegen. Für andere Verfahren empfehlen wir den Einsatz von CD-WORMs. Eine solche Empfehlung haben wir auch gegenüber dem Polizeipräsidenten in Berlin ausgesprochen, der derzeit das ADV-Verfahren BOWI (Verkehrsordnungswidrigkeiten) neu konzipiert. Das Konzept sieht vor, alle Vorgänge optisch zu erfassen. Da es sich um ein Verfahren handelt, bei denen Vorgänge gespeichert werden, mit denen Bürger, die gegen Verkehrsregeln verstoßen haben, verfolgt werden, ist auf eine zeitnahe Umsetzung vorhandener Löschungsfristen zu achten. Miniaturisierung der HardwareBereits im Jahresbericht 1990 60 haben wir uns ausführlich mit den technischen und organisatorischen Datenschutzproblemen befaßt, die beim Einsatz von Laptops entstehen. Seither wurden immer kleinere, aber immer leistungsfähige tragbare Rechner auf den Markt gebracht. Sog. Palmtops sind Rechner, die etwa die Größe von Brieftaschen besitzen, jedoch hinreichend Kapazitäten an Prozessorleistung und Speicherplatz aufweisen, um mit den gängigen PC-Betriebssystemen und Benutzeroberflächen arbeiten zu können. Tragbare Computer sind vor allem dort sinnvoll, wo Mitarbeiter im Außendienst an wechselnden Plätzen Computer nutzen wollen, insbesondere Texte verarbeiten, sonstige Bürofunktionen nutzen oder Daten erfassen. So gibt es vor allem im Bereich der Polizei aktuelle Projekte zum Einsatz von Notebooks in Funkstreifenwagen und zur Erfassung von Ordnungswidrigkeiten im Straßenverkehr durch Kontaktbereichsbeamte und Angestellte im Verkehrsüberwachungsdienst. Das besondere Risiko beim Einsatz von tragbaren Rechner liegt darin, daß sie verlegt oder aus Fahrzeugen oder Wohnungen entwendet oder geraubt werden können. Damit geraten auch gespeicherte personenbezogene Daten in die Hand Unbefugter. Aus diesem Grunde ist z.B. die kryptographische Verschlüsselung dieser Daten in Speichern tragbarer Rechner eine Mindestanforderung bei der Verwendung solcher Systeme im Außendienst.
|
Zuletzt geändert:
am 08.02.97