Drucksache 14/5555
– 70 –
kann sich ein Angreifer oft mit wenig Aufwand unter Ausnutzung der Sicherheitslücken unberechtigten Zugang zu
fremden Rechnern verschaffen und dort Daten ausspähen,
manipulieren oder zerstören. Ich habe bereits im 16. TB
darüber berichtet (Nr. 8.2.3) und dort auf eine „Orientierungshilfe zu Datenschutzfragen des Anschlusses von
Netzen der öffentlichen Verwaltung an das Internet“ verwiesen, die im Arbeitskreis „Technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzbeauftragten des Bundes und der Länder erstellt
wurde. Aufgrund der Zunahme der Internetanschlüsse
habe ich im Berichtszeitraum drei Stellen in meinem Zuständigkeitsbereich unter dem Aspekt der Datensicherheit
des Internetanschlusses kontrolliert. Als Ergebnis dieser
Kontrollen ist folgendes hervorzuheben:
Erfreulich bewerte ich die Tatsache, dass alle kontrollierten Stellen nicht ohne den Schutz einer Firewall den
Schritt ins Internet gewagt haben. Allerdings habe ich
doch einige Mängel beim Betrieb der Firewall feststellen
müssen. In einem Fall wurde eine Firewall eingesetzt, die
völlig veraltet war. Die Herstellerfirma existierte bereits
nicht mehr, das Produkt selbst wurde auch nicht mehr
durch eine andere Firma gewartet. Aktuelle „Updates“
standen nicht mehr zur Verfügung. Der Schutz, den diese
Firewall leistet, ist aus der Sicht der Datensicherheit mit
einem Verfallsstempel versehen, d. h. in absehbarer Zeit
wird der Schutz nicht mehr ausreichen, neueren Angriffsmethoden aus dem Internet nachhaltig standhalten zu
können. Firewallsysteme bedürfen einer ständigen Aktualisierung, um den Angriffen aus dem Internet auf Dauer
widerstehen zu können. Mit der bloßen Inbetriebnahme
eines Firewallsystems ist es daher nicht getan. Der Aufwand sowohl in finanzieller als auch in personeller Hinsicht, die Firewall in einem sicheren aktuellen Zustand zu
betreiben, sollte nicht unterschätzt werden. Im aktuellen
Fall hat die Behörde zugesagt, das „alte Modell“ umgehend durch ein neueres zu ersetzen. Ich habe außerdem
empfohlen, die Expertenmeinung des Bundesamtes für
Sicherheit in der Informationstechnik vor der Auftragsvergabe beizuziehen.
Als weiteren Mangel wurden bei allen Kontrollen die fehlenden Regelungen für die Auswertungen der umfangreichen Protokolldaten in der Firewall festgestellt. Firewalls
speichern zum Teil sehr detailliert das Surf-Verhalten der
angeschlossenen Benutzer. Diese Daten werden in Form
von Protokolldaten zur Auswertung von Angriffsversuchen und zur Sicherstellung eines ordnungsgemäßen Betriebs der Firewall benötigt. Die datenschutzrechtliche
Speicherbefugnis ergibt sich aus § 9 BDSG, insbesondere
Nrn. 3, 4 und 6 der Anlage hierzu. Allerdings reicht diese
Speicherbefugnis nicht aus, diese Protokolldaten über
einen übermäßig langen Zeitraum zu speichern. Im Informationsverbund Berlin-Bonn (IVBB) wurde in Absprache mit mir eine 6-monatige Speicherungsdauer vereinbart. Darüber hinausgehende Speicherfristen sind nicht
erforderlich. In allen Stellen, die ich im Kontrollzeitraum
kontrolliert habe, wurde diese Frist bei weitem überschritten. Auch wurde nicht festgelegt, wer auf diese
Protokolldaten zu welchem Zweck zugreifen darf. Die
Deutscher Bundestag – 14. Wahlperiode
Beteiligung des Personalrats nach dem Personalvertretungsgesetz war ebenfalls nicht erfolgt.
In diesem Zusammenhang wurde auch wiederholt an
mich die Frage der Benutzung des Internetanschlusses
zu privaten Zwecken und der damit verbundenen datenschutzrechtlichen Problematik der Speicherung der
Protokolldaten gerichtet. Aus technisch-organisatorischer
Sicht ist es für eine Firewall unmöglich, zwischen privater und dienstlicher Nutzung des Internetanschlusses bzw.
des Datenabrufes zu unterscheiden (s. auch Nr. 18.10).
Aus Sicht der Datensicherheit könnte zwar ein Dienstherr
auf die Protokollierung verzichten; er setzt sich dann allerdings der Gefahr aus, dass ein Benutzer die Firewall als
Schutzschild für strafbare Handlungen im Internet missbraucht. Alle Ermittlungsversuche würden letztendlich an
der Firewall enden und den Dienstherrn somit in den Ruf
der Deckung von Straftätern bringen. Ich halte aus diesem
Grund an meiner Auffassung zur Protokollierung der
Surf-Daten in der Firewall fest. Das Argument, dass das
Persönlichkeitsrecht der Mitarbeiter höher zu bewerten ist
als die Sicherheit, ist auch nicht überzeugend, da es Methoden – beispielsweise die Pseudonymisierung der Protokolldaten für eine datenschutzgerechte Verarbeitung –
gibt, die diesem Anliegen entgegenkommen.
Das Internet bildet heute das Hauptverteilmedium für
Schadensprogramme, wie beispielsweise „Trojanische
Pferde“, indem entweder ausführbare Programme direkt
über sogenannte aktive Inhalte (Java-Applets, ActiveXProgramme) verteilt oder ausführbare Programme per EMail mit Anlage passiv an den Benutzer gesendet werden.
Gerade das Unterbinden von aktiven Inhalten in einer Firewall stößt in vielen Fällen bei den Benutzern auf Unmut,
da ein Großteil der verfügbaren Seiten im Internet auf aktive Inhalte nicht verzichten möchte. Das automatisierte
Unterbinden von aktiven Inhalten führt daher häufig zu
einer sehr starken Einschränkung der Nutzung des Internets. Deshalb werden in den meisten Fällen die aktiven Inhalte nicht in der Firewall unterbunden. Das Problem ist
derzeit nicht befriedigend abschließend lösbar, so dass ich
bislang meine grundsätzlichen Bedenken gegen die Zulassung von aktiven Inhalten zurückgestellt habe. Allerdings empfehle ich allen Verantwortlichen für Internetangebote, aktive Inhalte auf ein Minimum zu beschränken.
Weiter müssen die Internet-Nutzer über die mit aktiven
Inhalten und E-Mail-Anlagen verbundenen Gefahren regelmäßig informiert werden, denn schließlich können Firewalls nicht alle Risiken (z. B. „Trojanische Pferde“) erkennen und abwehren. Als ergänzende Maßnahme zur
Abwehr von Trojanischen Pferden sollte der Einsatz eines
Intrusion Detection Systems vorgesehen werden (siehe
hierzu Nr. 8.10).
8.6.4
SAP – Einsatz im Personalwesen
In jüngster Vergangenheit werden bei größeren Bundesbehörden verstärkt Anstrengungen unternommen, die bisher genutzten automatisierten Personalinformations- und
verwaltungssysteme durch Programme auf Basis der integrierten, branchenunabhängigen Standardsoftware R/3 des