Deutscher Bundestag – 14. Wahlperiode
– 69 –
nummer diente neben einer frei wählbaren Kennung und
einem Passwort der Identifizierung des Kunden. Der
Kunde wurde über die Weiterleitung seiner Rufnummer
nicht informiert. Die Rechner der Tochterfirma übernahmen die Verwaltung und Speicherung aller E-Mails, die
der Kunde sendete und empfing. Die Rechner waren in einem Gebäude untergebracht, in dem auch noch eine Firma
für Badezubehör sowie eine Krawatten- und Seidentücherhandlung residierten. Eine räumliche Trennung
der Firmen war nicht vorhanden, d. h. die Firmenmitarbeiter aller Firmen waren über einen gemeinsamen Flur
erreichbar; zum Teil gehörten nebeneinanderliegende
Büroräume unterschiedlichen Firmen. Ein wahrlich krasser Sicherheitsmangel war der Hinweis „Bitte Tür nicht
schließen!“ an und neben der Tür zu dem Büroraum, in
dem die Server untergebracht waren, auf denen die
E-Mails der Kunden verarbeitet und gespeichert wurden.
Der Grund für diesen Hinweis war bald gefunden: Die
Stromversorgung reichte im vermeintlichen „ServerRaum“ für die Vielzahl der Server nicht mehr aus, so dass
– über Verlängerungskabel – die Steckdosen der Nachbarräume herhalten mussten. Das Schließen der Tür hätte
unweigerlich dazu geführt, dass die Stromversorgung von
mehreren Rechnern unterbrochen worden und der EMaildienst für einige Minuten ins Stocken geraten wäre.
Aus Datensicherheitssicht ein nicht tragbarer Zustand,
den ich sofort monierte. Immerhin unterliegen auch EMails dem Schutz des Fernmeldegeheimnisses und verlangen deshalb nach besonderen Sicherungsmaßnahmen,
die in solch einem „Rechenzentrum der offenen Tür“
natürlich gar nicht zu realisieren waren.
Auch in anderen Bereichen musste ich feststellen, dass es
mit den notwendigen Maßnahmen der Datensicherung
nicht gut bestellt war. So lagen in einem Bereich mit Publikumsverkehr Datenträger (Festplatten, Disketten und
Bänder) mit personenbezogenen Daten offen herum, die
jederzeit unbemerkt hätten entwendet werden können.
Die Büros waren zum Teil oft unbesetzt oder standen wegen der vorstehend genannten Stromversorgungsprobleme ständig offen. Auch die Entsorgung von Papier,
beispielsweise von Listen mit Kundendaten, war nicht
geregelt. Papier wurde nämlich über den normalen Hausmüll entsorgt. Die Aufbewahrung der Sicherungsbänder
war ebenfalls äußerst mangelhaft. Insgesamt gesehen
konnte man den Eindruck erhalten, dass Sicherheitsmaßnahmen nur dann ergriffen wurden, wenn Sicherheitslücken in der Öffentlichkeit offenbart wurden. Die
Bedeutung des Fernmeldegeheimnisses war den Mitarbeitern nicht bekannt. Vor dem Hintergrund, dass auch
die geringsten Maßnahmen zum sicheren Umgang mit
den Daten fehlten, wäre es angemessen gewesen, den Betrieb des E-Maildienstes gemäß § 25 BDSG aufgrund der
fehlenden technisch-organisatorischen Maßnahmen nach
§ 87 Abs. 1 TKG und § 9 BDSG zu beanstanden. Da die
Mitarbeiter der Firma jedoch ankündigten, umgehend
Maßnahmen zur Sicherung des Fernmeldegeheimnisses
zu ergreifen und dies von der Muttergesellschaft auch angeordnet wurde, habe ich auf eine formelle Beanstandung verzichtet. Nach meiner Kontrolle wurden die
Rechner in ein anderes sicheres Gebäude verlegt und die
Drucksache 14/5555
Organisation und Technik meinen Empfehlungen angepasst.
8.6.2
Immer noch mangelhafte Benutzerverwaltung
Die Aufgaben der Mitarbeiter bestimmen grundsätzlich,
auf welche Daten sie in welcher Form – etwa lesend
und/oder schreibend – Zugriff haben. Bei der Einstellung
neuer Mitarbeiter oder der Zuweisung neuer Aufgaben
werden die dazu erforderlichen Nutzerrechte i. d. R. festgelegt. Jede personelle oder organisatorische Veränderung hat anschließend zur Folge, dass die Zugriffsberechtigungen nochmals überprüft und ggf. neu festgelegt
werden müssen. Ohnehin empfiehlt sich, Zugriffsberechtigungen regelmäßig zu überprüfen. Eine sachgerechte
Benutzerverwaltung – insbesondere bei großen Netzwerken –, hängt also auch vom organisatorischen Zusammenspiel zwischen Personalverwaltung und Systemverwaltung ab.
Bei meinen Kontrollen habe ich wiederholt festgestellt,
dass bei Behörden mit großen Netzwerken die Systemverwaltung, die u. a. die Zugriffsrechte auf Dateien und
Daten vergibt, häufig nicht über Personalveränderungen
informiert wurde. So konnten Mitarbeiter, die bereits in
andere Abteilungen versetzt waren, weiterhin auf Daten
zugreifen, für die sie nicht mehr hätten berechtigt sein
dürften. In einigen Fällen waren Mitarbeiter bereits mehrere Monate ausgeschieden, die Nutzerkennungen und
Zugriffsberechtigungen waren aber immer noch aktiv.
Hier liegt ein klarer Verstoß nach § 9 BDSG – Nrn. 5 und
10 der Anlage zu § 9 Satz 1 – vor.
Insbesondere Personalveränderungen müssen der Systemverwaltung zeitnah mitgeteilt und dort dann umgesetzt
werden. Ausgeschiedene – unter Umständen auch unzufriedene – Mitarbeiter, so Erfahrungswerte vor allem der
Privatwirtschaft, können einen erheblichen Schaden verursachen. Hier sehe ich bei den Bundesbehörden noch Bedarf für zügig greifende Organisationsvorgaben, um Datenschutz- oder Sicherheitsprobleme von vornherein zu
vermeiden. Darüber hinaus empfehle ich dringend den
Einsatz von Unterstützungssoftware für die Benutzerverwaltung. Diese spezielle Software ist für fast alle Netzwerkprodukte auf dem Markt verfügbar. Ohne eine solche
Software ist eine ordnungsgemäße Benutzerverwaltung
bei großen Netzwerken kaum durchführbar.
8.6.3
Firewalls schützen nicht immer!
Das Internet hat sich zum weltgrößten und mächtigsten
globalen Informations- und Kommunikationsmedium
entwickelt. Dieser Boom hat auch vor der Bundesverwaltung nicht halt gemacht. Seit geraumer Zeit nimmt die
Zahl der Bundesbehörden ständig zu, die das Internet sowohl zur Informationsgewinnung als auch zur Bereitstellung eigener Informationen benutzen wollen. Der Anschluss an das Internet ist allerdings mit erheblichen
Gefährdungen und Risiken verbunden. Die Rechner und
Übertragungswege des weltweiten Computernetzes sind
nicht kontrollierbar. Ohne besondere Schutzmaßnahmen