Deutscher Bundestag – 14. Wahlperiode

– 71 –

deutschen Softwarehauses SAP zu ersetzen. Dieses in der
Privatwirtschaft weit verbreitete Produkt kann alle betriebswirtschaftlichen Anwendungsgebiete (z. B. Rechnungswesen, Logistik oder Personalwirtschaft) abdecken
und ist bereits in anderen Bereichen der öffentlichen Verwaltung – so z. B. auf Länderebene – in vielfacher Weise
im Einsatz. Als Version R/3 ISH wird es in vielen großen
Krankenhäusern und Universitätskliniken für die Personal- und Patientenverwaltung und -abrechnung eingesetzt.
Es ist inzwischen in der Wirtschaft so weit verbreitet, dass
man ohne Übertreibung von einem de-facto-Standard
sprechen kann. Trotzdem gleicht kaum ein im praktischen
Einsatz befindliches R/3-System dem anderen. Den eigentlichen Erfolg macht die Flexibilität aus, mit der R/3Systeme an Betriebs- bzw. Verwaltungsstrukturen angepasst werden können.
Diese hohe Flexibilität und Skalierbarkeit birgt aber auch
die Gefahr der Unübersichtlichkeit in sich, wenn bestimmte
Größenordnungen überschritten werden. Das R/3-Berechtigungskonzept erscheint an sich geeignet, die datenschutzrechtliche Zielvorstellung zu realisieren, dass jeder Benutzer exakt die Berechtigungen bekommt, die er für seine
Aufgaben benötigt. Die vorhandenen und aus Sicht des Datenschutzes grundsätzlich zu begrüßenden sehr feinen
Rechtestrukturen können aber auch bewirken, dass die
Transparenz der Rechtevergabe schnell verloren geht und
damit eine Revision der Zugriffs- und Benutzerkontrollen
im Sinne des § 9 BDSG faktisch unmöglich wird. Dies betrifft dann nicht nur außenstehende Prüfer, wie z. B. den lokalen Datenschutzbeauftragten oder die Datenschutzbehörden; selbst mit dem System vertraute Personen – wie etwa
die Administratoren – können Sicherheitslücken leicht
übersehen oder gar unbewusst verursachen.
Aus datenschutzrechtlicher Sicht steht deshalb insbesondere die Ausgestaltung des Berechtigungskonzepts im
Vordergrund des Interesses. Die Standardversion
von SAP R/3 beinhaltet etwa 700 Berechtigungsobjekte, daneben können je Benutzerstammsatz nochmals
ca. 1 300 Berechtigungseinträge vorgenommen werden.
Da verwundert es nicht, dass es Fälle gegeben hat, in denen überforderte Administratoren zur Gewährleistung eines reibungslosen Betriebs den Benutzern mehr Rechte
zugewiesen haben, als tatsächlich erforderlich gewesen
wären. Hierin, nämlich den Nutzern mehr als die notwendigen Rechte zuzuweisen, besteht eine grundsätzliche Gefahr. Die Ausarbeitung eines guten Berechtigungskonzepts muss daher bereits in der Projektierungsphase
vorbereitet werden, denn wenn seine Erstellung erst mit
der Installation des Systems beginnt, sind Fehler fast unvermeidlich. Dies setzt natürlich umfassende Kenntnisse
über die Funktionalität von R/3 und die Unternehmensbzw. Verwaltungsgegebenheiten sowie sehr viel Erfahrung bezüglich der Implementierung voraus. Der sichere
Umgang mit R/3-Systemen setzt eine hochwertige Qualifikation und Spezialisierung voraus, die nur durch praktische Erfahrung, Fortbildung und einen stetigen Fluss von
Informationen zu Sicherheitshinweisen, Fehlermeldungen usw. aufrecht erhalten werden kann. Es sind also in
der öffentlichen Verwaltung – ebenso wie in den privaten

Drucksache 14/5555

Unternehmen – alle Qualifikationsanstrengungen zu erbringen, die die sichere Beherrschung solcher Systeme
überhaupt erst ermöglichen. Ähnlich wie bei Unix-Systemen (s. u. Nr. 8.12.2) halte ich den Einsatz von Tools zur
Prüfung und Revision des Berechtigungskonzeptes für
dringend erforderlich. Solche ergänzenden Tools sind am
Markt erhältlich und sollten beim Einsatz von SAP R/3
unbedingt berücksichtigt werden.
Die mir bekannten Vorhaben auf Ebene der Bundesbehörden befinden sich allesamt noch in der Planungs- bzw. Konzeptionsphase; erste Realisierungen sind aber möglicherweise bereits im laufenden Jahr 2001 zu erwarten. Bei den
Beratungsgesprächen für eine automatisierte Personaldatenverarbeitung – denen ich aus meiner Sicht eine besondere Bedeutung beimesse – habe ich darauf hingewiesen,
dass in diesem Bereich für die Bundesverwaltung im Vergleich zur Privatwirtschaft besondere Rechtsvorschriften
gelten. So sind etwa die gesetzlichen Vorgaben des Bundesbeamtengesetzes (§§ 90 ff, insbesondere § 90g BBG) zu
beachten und auch bei einem Einsatz von SAP-R/3-Produkten sicherzustellen bzw. umzusetzen. Dies wurde mir
von den betroffenen Bundesbehörden zugesichert.

8.7

Computerviren – auch eine Gefahr
für den Datenschutz

8.7.1

Gefahr durch einen „Liebesbrief“

Im Mai 2000 wurden durch eine „nichtssagende, aber
vielversprechende“ E-Mail Millionen von Frauen und
Männern ihrer Illusionen beraubt und damit nicht genug,
auch noch durch Ausfälle der Informationstechnik ein
Millionenschaden angerichtet. Verursacht wurden diese
Probleme durch einen Computer-Virus, der unter dem Namen ILOVEYOU-Virus weltweit für Aufsehen und Aufregung sorgte. Computer-Viren sind nicht neu, schon vor
einigen Jahren machte ein anderer Virus – MELISSA –
Schlagzeilen. „ILOVEYOU“ hatte jedoch einige neue besondere Aspekte:
1. Die rasante Geschwindigkeit, mit der sich der Virus
verbreitet hat.
2 Die Methodik der Verbreitung, die auf der Kenntnis der
vereinheitlichten Softwarestrukturen beruhte.
3 Die fehlenden Notfallpläne in vielen IT-Bereichen.
4. Die zum Teil kläglichen Versuche von verschiedenen
Stellen, dem Virus Herr zu werden.
5 Die „unvernünftige“ Reaktion von vielen Anwendern.
Der Schaden, den der Virus anrichtete, äußerte sich in vielen Fällen darin, dass die elektronische Post der betroffenen Stellen tagelang nicht erreichbar war, weil das Leitungsnetz total überlastet war.
Bei dem „ILOVEYOU“-Virus handelte es sich um einen
einfachen sogenannten E-Mail-Wurm. Er war in einer
Macrosprache programmiert, die das Handling des Virus
vereinfachte. Die schnelle Verbreitung erfolgte über

Select target paragraph3