Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

2.2. Weiterentwicklung der informations- und kommunikationstechnischen Infrastruktur der Berliner Verwaltung

Bereits in den Vorjahren wurden in der Berliner Verwaltung diverse Projekte angestoßen, die der Weiterentwicklung der Infrastruktur für die automatisierte Datenverarbeitung und für die Daten- und Sprachkommunikation dienen sollten. Diese Projekte haben auch aus datenschutzrechtlicher Sicht und unter Aspekten der informationstechnischen Sicherheit immense Bedeutung, denn sie schaffen Rahmenbedingungen, denen sich die zukünftigen Anwendungsverfahren und -projekte unterzuordnen haben. Um zu verhindern, daß hinsichtlich Datenschutz und Datensicherheit falsche Weichenstellungen geschehen, haben wir uns intensiv an den Beratungen zu den Infrastrukturprojekten beteiligt. Wir konnten dabei auf erfreuliche Kooperationsbereitschaft der beteiligten Verwaltungen bauen.

Infrastrukturprojekte GIBES und BROSiA

Mit dem im letzten Jahr durchgeführten Infrastrukturprojekt GIBES - Grundlagen der Ausstattung mit IT-Infrastruktur für die Bezirke und Senatsverwaltungen - 61 wurde der Anfang gemacht, ein Rahmenkonzept für den Aufbau einer IT-Infrastruktur für die Berliner Verwaltung zu erarbeiten. Innerhalb von GIBES wurden im wesentlichen technische Aspekte berücksichtigt. Ergebnis des Projektes war die Festlegung "vorläufiger Technikgrundsätze und technischer Mindest- und Rahmenbedingungen für den Einsatz von IT-Systemen in der Berliner Verwaltung", die als Rundschreiben der Senatsverwaltung für Inneres der gesamten Berliner Verwaltung bekannt gemacht wurden. Mit diesen Technikgrundsätzen soll vor allem erreicht werden, daß bei Ausschreibungen zur Beschaffung von Informations- und Kommunikationstechnik möglichst einheitliche Anforderungen zu Normen und Standards gestellt werden. Als wesentlich wurde weiterhin erkannt, daß die Erarbeitung eines Sicherheitskonzeptes für die gesamte Berliner Verwaltung notwendig ist.

Der Hauptausschuß des Abgeordnetenhauses von Berlin hat im März 1994 die Ergebnisse von GIBES positiv bewertet und festgestellt, daß vergleichbare Aussagen auch für die bisher noch nicht ausreichend behandelten Bereiche Sicherheit, Organisation und Anwendungsentwicklung dringend erforderlich sind.

Diese sollen durch das Projekt BROSiA - Berliner Rahmenkonzept für Organisation, Sicherheit und Anwendungsentwicklung beim IT-Einsatz - erarbeitet werden. Wesentliches Ziel von BROSiA ist die Schaffung eines Gesamtwerkes grundlegender IT-Vorschriften zur Organisation der Datenverarbeitung in der Berliner Verwaltung und der Durchführung von IuK-Projekten.

Seitenanfang Insbesondere soll dabei ein IT-Sicherheitsrahmenkonzept für die Berliner Verwaltung definiert werden. Dieses Konzept soll eine IT-Sicherheitsstrategie behördenübergreifend festlegen, erübrigt jedoch nicht die Erstellung von behörden- oder verfahrensspezifischen IT-Sicherheits- bzw. Datenschutzkonzepten. Diese soll durch die Erarbeitung eines Vorgehensmodells zum Erstellen von Risikoanalysen und Sicherheitskonzepten unterstützt werden.
Infrastrukturprojekte MAN und SAZ/LAZ

Seit einigen Jahren wird in Berlin die Strategie verfolgt, die bisher stark zentralistischen Strukturen bei informationstechnischen Anwendungen zu verringern und statt dessen durch dezentrale, offene, sich an internationalen Standards orientierenden Systeme zu ersetzen. In den letzten zwei Jahren wurden mehrere dezentrale Großprojekte initiiert (BASIS, AHW, FIS, ALK und IPV), die eine moderne Kommunikationsinfrastruktur notwendig machen. Dazu wurden unter anderem das Infrastrukturvorhaben eines bezirksübergreifenden Hochgeschwindigkeitsnetzes auf der Grundlage eines Metropolitan Area Networks (MAN) und der Aufbau einer zentralen Administrationsunterstützung für dezentrale UNIX-Systeme (Service- und Administrationszentrum - SAZ) und lokaler Administrationszentren (LAZ) begonnen.

Die Einführung eines Berlinweiten Metropolitan Area Networks (MAN) stellt einen Schritt in eine neue Dimension der Nutzung moderner Kommunikationstechnologie in der Berliner Verwaltung dar. Eine derartige Vernetzung ermöglicht einerseits die Einführung effizienterer Arbeitsmethoden, beinhaltet andererseits jedoch auch erhebliche Gefahren. Der Erarbeitung eines Datenschutz- und Datensicherheitskonzeptes auf Basis einer umfassenden Risikoanalyse kommt daher eine besondere Bedeutung zu.

Erfreulicherweise wurde diese Forderung von den Projektmitarbeitern des MAN-Projektes stark unterstützt und eine Studie an eine externe Firma in Auftrag gegeben, die unter Verwendung des IT-Sicherheitshandbuchs des Bundesamtes für Sicherheit in der Informationstechnik (BSI) eine Risikoanalyse und ein darauf aufbauendes Datenschutz- und Datensicherheitskonzept erarbeitet hat. Das uns vorliegende Konzept ist generell als positiv zu bewerten. Die Risikoanalyse stellt die wesentlichen Gefahren und Ansatzpunkte für Angriffe auf die Sicherheit des MAN dar. Die daraus abgeleiteten Maßnahmen beruhen überwiegend auf dem aktuellen Stand der Technik, stellen aber nur eine Kompromißlösung zwischen optimalem Schutz und wirtschaftlichem Aufwand für die Sicherheit dar.

Durch das MAN wird die Möglichkeit gegeben, die bisher isolierten Kommunikationsinseln innerhalb der Berliner Verwaltung zu einem berlinweiten Netz zu verbinden. Die Existenz von physikalischen Verbindungen zwischen bisher unverbundenen Teilnetzen und die Netzphilosophie eines offenen Netzes, wonach theoretisch jeder mit jedem kommunizieren kann, sind aus datenschutzrechtlicher Sicht besonders kritisch zu betrachten. Bisher war eine gewisse Zugangs- und Benutzerkontrolle schon durch die Isoliertheit der Systeme bzw. der räumlichen Begrenzung auf einzelne Gebäude oder Etagen gegeben. Durch den Anschluß der lokalen Netze an das MAN wird die Gefahr eines unberechtigten Zugriffs von außen erheblich verstärkt. Daher ist eine Abschottung der Rechner und Verfahren, die das MAN nicht benötigen, unbedingt zu gewährleisten. Auch in der Zukunft darf der Zugriff von Unberechtigten auf Rechner und Verfahren nicht möglich sein. Für die Verfahren, die die Dienste des MAN benutzen, ist bei der Übertragung von personenbezogenen Daten normalerweise eine Verschlüsselung dieser Daten notwendig. Zur Minimierung des Risikos eines unberechtigten Zugriffs ist es weiterhin erforderlich, daß keinerlei Authentifizierungs-Informationen, wie z.B. Paßwörter, unverschlüsselt über das MAN übertragen werden.

Für die Zukunft ist absehbar, daß das MAN nicht nur ein berlinweites Netz bleibt, sondern auch Schnittstellen zu öffentlichen Netzen (wie z.B. dem Internet oder dem ISDN) haben wird. Die Öffnung nach außen bedarf der Einführung verstärkter Sicherheitsmechanismen. Für diesen Fall erwarten wir eine Risikoanalyse, auf die ein speziell für die Gegebenheiten der Berliner Verwaltung passendes Abschottungskonzept ("Firewall-Konzept") aufgebaut werden muß.

Bei dem im unmittelbaren Zusammenhang mit dem MAN und der Initiierung der Großprojekte stehenden Projekt zur Installation eines Service- und Administrationszentrums - SAZ - wurde bisher Datenschutz- und Datensicherheitsaspekten noch nicht die notwendige Aufmerksamkeit geschenkt. So wird auf diese Aspekte im uns vorliegenden Feinkonzept nur sehr vereinzelt eingegangen.

Das SAZ des LIT soll eine zentrale Systembetreuung für alle Berliner Verwaltungsstellen aufbauen. Dabei sollen die dezentral installierten Rechnersysteme und -netze der einzelnen Standorte durch zentrale Administrations-, Support- und Managementfunktionen unterstützt werden.

Die Einführung einer zentralen Administration ist aus datenschutzrechtlichen- Gesichtspunkten durchaus positiv zu bewerten, bietet es doch die Möglichkeit, ausschließlich Fachleute, die über das notwendige Spezialwissen verfügen und gleichzeitig die riskanten Interessenkollisionen entgegenwirkende Anwendungsferne haben 62, für die Administration der Systeme einzusetzen. Gerade in den letzten Jahren mußten wir feststellen, daß bei der Einführung dezentraler Systeme die absolut notwendige fachliche Kompetenz der Systemverwalter nur unzureichend ausgeprägt ist und somit erhebliche Sicherheitsprobleme entstehen.

Eine zentrale Administration birgt jedoch auch erhebliche Gefahren, die bis zur Gefährdung der informationellen Gewaltenteilung reichen. Zur Administration ist ein Zugriff auf die zu verwaltenden Systeme natürlich notwendig. Dieses bedeutet aber auch, daß der Abschottung gegen unberechtigte Zugriffe auf diese Systeme aus dem Netz heraus besondere Bedeutung zukommt. Daher haben wir gefordert, nach dem Vorbild des MAN-Projektes für das SAZ-Projekt eine Risikoanalyse durchzuführen, auf deren Grundlage ein Datenschutz- und Datensicherheitskonzept erarbeitet werden kann, das auch bei den Konzepten der Systeme und Verfahren, die von der zentralen Administration erfaßt werden, Berücksichtigung finden kann.

ISDN-Vernetzungskonzept der Berliner Verwaltung

Das Abgeordnetenhaus fordert seit Jahren vom Senat, alle personellen, organisatorischen und technischen Maßnahmen zu ergreifen, die für den Aufbau einer zukunftsorientierten und leistungsfähigen Infrastruktur für die Kommunikations- und Informationstechnik der Berliner Verwaltung erforderlich sind.

Zur Umsetzung dieser Forderung im Bereich der Sprachkommunikation hat das LIT eine Studie an eine externe Firma in Auftrag gegeben, in der ein ISDN-Vernetzungskonzept für die Berliner Verwaltung erarbeitet werden sollte. Die Erstellung und Umsetzung eines zukunftsweisenden Konzeptes für die Telekommunikationsinfrastruktur der Berliner Verwaltung ist gerade aus datenschutzrechtlicher Sicht von besonderer Bedeutung, da einerseits auch hier das Grundrecht auf unbeobachtbare Kommunikation gewährleistet sein muß und andererseits die bereits in früheren Jahresberichten 63 dargestellten Gefahren beim Einsatz von ISDN beachtet werden müssen. Leider mußten wir feststellen, daß die mit der Konzeption und dem Betrieb eines ISDN-Netzes verbundenen Datenschutz- und Datensicherheitsprobleme in der Studie nur unzureichend dargestellt sind. Für eine Infrastrukturentscheidung mit einer Tragweite, wie sie das ISDN-Vernetzungskonzept darstellt, halten wir die Erstellung eines Datenschutz- und Datensicherheitskonzeptes auf Basis einer umfassenden Risikoanalyse für unbedingt erforderlich.

So wird z.B. die besondere Problematik der Rufnummernanzeige bei telefonischen Beratungsstellen der Berliner Verwaltung im Konzept nicht erörtert. Nach den Regelungen der geltenden Telekommunikations-Datenschutzverordnung (TDSV) muß die Telekom auf Antrag für Personen, Behörden und Organisationen, die selbst oder deren Mitarbeiter besonderen Verschwiegenheitsverpflichtungen unterliegen und die Beratungsaufgaben in sozialen oder kirchlichen Bereichen ganz oder überwiegend über Telefon abwickeln sicherstellen, daß die Übermittlung der Rufnummer des anrufenden Anschlusses ausgeschlossen ist. Die Berliner Verwaltung verfügt über eine Vielzahl derartiger Beratungsstellen.

Grundsätzlich muß es dem Bürger auch in Zukunft möglich sein, sich ohne zwangsweise Übermittlung seiner Rufnummer an die Verwaltung zu wenden.

Eine Speicherung von Verbindungsdaten ist nach derzeitiger Rechtslage für aus dem Verwaltungsnetz herausgehende Rufe nicht zulässig. Die Rahmendienstvereinbarung über den Einsatz und den Betrieb von digitalen Telefonnebenstellenanlagen vom 15. August 1991 schließt die dauerhafte Speicherung von Verbindungsdaten ausdrücklich aus. Danach sind die Daten nach Beendigung der Verbindung zu löschen. Dies betrifft insbesondere auch die Rufnummer des angerufenen Teilnehmers.

Darüber hinaus ist die Speicherung von Daten über Telefongespräche für einzelne Stellen in der Verwaltung (z.B. die örtlich zuständigen Personalräte, Frauenbeauftragte etc.) generell unzulässig.

Bei der Beschaffung von ISDN-Nebenstellenanlagen ist daher darauf zu achten, daß die Anlage die Möglichkeit bietet, die Speicherung der Daten Angerufener je Endgerät ganz zu unterbinden oder wahlweise eine Speicherung der um die letzten drei Ziffern verkürzten Zielnummer vorzusehen. Die Funktion muß so realisiert sein, daß vollständige Zielnummern in diesen Fällen gar nicht erst gespeichert werden. Einige Hersteller bieten lediglich die Möglichkeit, die Anzeige beziehungsweise den Ausdruck gespeicherter Zielnummern durch die Auswertungssoftware zu verhindern. Dies reicht nicht aus.

Für die Speicherung von Verbindungsdaten für im Verwaltungsnetz ankommende Verbindungen besteht ebenfalls keine Rechtsgrundlage.

2.3. IT-Sicherheitsuntersuchung im Landesamt für Informationstechnik

Aus dem Landesamt für Elektronische Datenverarbeitung (LED) entstand nach der Wiedervereinigung Berlins durch die Zusammenführung mit dem in Ost-Berlin beheimateten Magistratsrechenzentrum das Landesamt für Informationstechnik (LIT). Mit diesem Namenswechsel war auch eine Gewichtsverschiebung hinsichtlich der zu bewältigenden Aufgaben für diese nun für ganz Berlin zuständige Dienstleistungsbehörde verbunden.

Hatte man bereits vor dem einschneidenden gesellschaftlichen Umbruch damit begonnen, die Zuständigkeit für Entwicklung und Pflege von DV-Verfahren der Senats- und Bezirksverwaltungen auf die eigentlichen Anwender zu übertragen, war nun auch dem durch die rasante Entwicklung der Informations- und Kommunikationstechnik bedingten Trend zur dezentralen Datenverarbeitung Rechnung zu tragen. So mußten neben dem klassischen Dienstleistungsangebot, das auf der zentralen Nutzung von Großrechnern für die Massendatenverarbeitung beruht, neue Leistungsinhalte definiert und der Berliner Verwaltung angeboten werden.

Die Struktur des LIT wurde derart verändert, daß mittlerweile die Service- und Beratungsfunktion für IuK-Techniken und -Verfahren insbesondere für die dezentrale Datenverarbeitung eine wesentliche Säule des Dienstleistungsangebots dieser Behörde darstellt. Diese Funktion umfaßt die Unterstützung und Beratung hinsichtlich des Einsatzes verschiedenster DV-Komponenten und erstreckt sich von der Hardware über die Software bis hin zur landesweiten Kopplung von Rechnern und Rechnernetzen unterschiedlichster Größe und Konfiguration.

Damit einher geht die Umgestaltung der Großrechenzentren, die auch weiterhin eine wichtige Funktion für die Datenverarbeitung in Berlin haben werden. Eine externe Untersuchung der Sabotage- und Feuerrisiken hatte den Bedarf eines höheren Sicherheitsniveaus deutlich gemacht. Das neue Sicherheits-Rechenzentrum soll im "dunklen" Betrieb betrieben werden, d.h. ohne unmittelbare persönliche Anwesenheit von LIT-Mitarbeitern. Die Steuerung der beiden im LIT eingesetzten Großrechnersysteme wird dann von einem zentralen Leitstand aus erfolgen, der an einem vom Rechenzentrum entfernten Ort zu finden sein wird. Dazu sind umfangreiche Sicherungs- und Überwachungseinrichtungen hinsichtlich denkbarer Bedrohungsszenarien konzipiert worden.

Die Planungen zur Umgestaltung des LIT-Dienstgebäudes sehen einen offenen Bereich (Schulung, Beratung, etc.) und einen abgeschotteten Bereich (Rechenzentrumsbetrieb, Systemverwaltung, Ein-/Ausgabestelle, etc.) vor. Es ist zu hoffen, daß dieser Planungsvorschlag trotz der angespannten Haushaltslage realisiert werden kann.

Um beiderseits Erfahrungen zu gewinnen, die bei der Neugestaltung des Rechenbetriebes zu beachtenden Risiken zu erkennen und Schwachstellen festzustellen und in Zukunft zu umgehen, haben wir in Zusammenarbeit mit dem Landesamt für Informationstechnik eine Untersuchung der technischen und organisatorischen Maßnahmen zur Gewährleistung einer datenschutzgerechten Datenverarbeitung im LIT durchgeführt.

Die Sicherheitsuntersuchung hat gezeigt, daß dem Datenschutz im LIT große Aufmerksamkeit gewidmet wird und die Mitarbeiter in hohem Maße für die Belange des Datenschutzes sensibilisiert und offen für mögliche bzw. notwendige Verbesserungen sind. Neben den guten technisch-organisatorischen Maßnahmen beim Großrechnereinsatz waren bei anderen Funktionsbereichen Empfehlungen zur Durchsetzung umfassender Datenschutzkonzepte zu geben:

- Die Zugangskontrolle im LIT bedarf im Zusammenhang mit der Umgestaltung des Rechenzentrumsbetriebes einer kritischen Prüfung. Für den Fall, daß das LIT an dem bisher eingesetzten Zugangskontrollsystem festhalten möchte, haben wir eine Überarbeitung des Systems insbesondere hinsichtlich der Identifikations- und Authentifikationsmöglichkeiten für die Administration des Zugangskontrollsystems, einer geeigneten Alarmierung bei Manipulationsversuchen sowie der Bedienungs- und Systemunterlagen empfohlen. Zudem sollte die zum Einsatz des Systems abgeschlossene Dienstvereinbarung neben den Rechten des zuständigen Personalrats auch die Rolle des behördlichen Datenschutzbeauftragten berücksichtigen.

- In der Verbindungsstelle für ADV-Verfahren Tarif- und Besoldung wurden Risiken für die Ordnungsmäßigkeit bei der Datenträgerverwaltung erkannt. Wir haben empfohlen, Maßnahmen zu ergreifen, um die Umsetzung der dafür vorhandenen Dienstanweisung zu sichern. Ferner wurde festgestellt, daß die Transportkontrolle beim Datenträgeraustausch aus den östlichen Bezirken verbessert werden muß.

- Im Aufgabengebiet "Datensammlung/-transfer für die Zahlungsverfahren" werden sensible personenbezogene Daten auf zwei miteinander nicht vernetzten Personalcomputern bearbeitet. Während der eine Computer relativ gut gesichert wurde, wies der andere gravierende Sicherheitsmängel auf. Wir haben empfohlen, entweder die technisch-organisatorischen Maßnahmen beim zweiten Rechner dem Niveau des erstens Rechner anzugleichen oder den zweiten Rechner außer Betrieb zu setzen und die dort anfallenden Aufgaben auf dem ersten mitzuerledigen.

- Die hausinterne Bürokommunikation wies Unzulänglichkeiten auf. Wir haben empfohlen, für den Einsatz des Bürokommunikationssystems eine Rahmenrichtlinie zu schaffen, ein durchgängiges Datenschutz- und Sicherheitskonzept zu erarbeiten, das auch die Kontrolle der ordnungsgemäßen Anwendung des Bürokommunikationssystems einbezieht, die Abschottung zu anderen Verfahren im Netzverbund zu verbessern und die Benutzerprofile dem tatsächlichen Bedarf anzupassen.

- Wir haben empfohlen, im Zusammenhang mit der Neugestaltung der internen Verkabelung des Hausnetzes den dafür zuständigen Mitarbeitern ein geeignetes Werkzeug zur Dokumentation der Netzstruktur an die Hand zu geben, um die derzeitigen Defizite der Netzdokumentation zu beseitigen.

- Auch für die Datenfernübertragung mangelt es an revisionsfähigen Unterlagen zur Dokumentation des Verfahrens, seiner Verwaltung und der damit verbundenen Sicherheitsmaßnahmen. Eine Ablösung der bereits wesentlich früher als risikobehaftet eingeschätzten SK-12-Knoten ist noch nicht abschließend erfolgt.

- In einem Rechenzentrum stellten wir fest, daß für die Aufgabenerledigung durch die Mitarbeiter der Arbeitsvorbereitung viel zu viele Paßwörter notwendig waren, die kaum noch zu handhaben waren, ohne sie in irgendeiner Form aufzuzeichnen. Da solche Aufzeichnungen naturgemäß ein erhebliches Risiko hinsichtlich eines möglichen Mißbrauchs darstellen, sollte - auch im Interesse der betroffenen Mitarbeiter - nach Möglichkeiten gesucht werden, wie dieser mißliche Zustand verbessert werden kann. Wir haben außerdem empfohlen, den Mitarbeitern der Arbeitsvorbereitung im Sinne einer ordnungsgemäßen Funktionentrennung im Rechenzentrum die Möglichkeit zu entziehen, sich in den Status eines Operators zu versetzen.

- Für eine ordnungsgemäße und revisionssichere Arbeit der BS2000-Systemverwaltung erscheint es aus unserer Sicht notwendig, den Einsatz der Sicherheitskomponente SECOS so zu gestalten, daß die Nutzung der Systemverwalter-Kennung (TSOS) wegen ihrer funktionalen Mächtigkeit auf ein Minimum eingeschränkt werden kann und letztlich die Ausnahme bei einem aufgabenbezogenen und damit personenbeziehbaren Systemmanagement darstellt. Um die Benutzerverwaltung auf eine gesicherte Grundlage zu stellen, ist eine Arbeitsanweisung zu erarbeiten, die insbesondere auch die Belange des Einsatzes von LIT-Mitarbeitern regelt.

Zuletzt geändert:
am 08.02.97

mail to webmaster