Deutscher Bundestag – 16. Wahlperiode
– 103 –
K a s t e n zu Nr. 8.3
Keine persönlichen Daten auf ausrangierten PC vergessen!
Tipps zur Vermeidung einer bösen Überraschung
Der Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder empfiehlt in seiner Orientierungshilfe Sicheres Löschen magnetischer Datenträger (http://www.informationsfreiheitmv.de/dschutz/informat/magloe/magloe.pdf) das kostenlose Windowsprogramm Eraser (http://www.heidi.ie/
node/6). Ein anderes kostenloses Löschtool ist Darik's
Boot and Nuke (DBAN), welches unter http://
www.dban.org/ im Internet verfügbar ist.
Aber Vorsicht, denn wenn ein System mit der CD gebootet wird, wird jede vorhandene Festplatte gelöscht!
Unter Linux/Unix sind wipe oder das universelle und im
Betriebssystem integrierte Tool „dd“ zum Überschreiben mittels Zufallszahlen nutzbar.
Zu beachten ist, dass auch Memory-Sticks und Speicherkarten z. B. aus Mobiltelefonen und Digitalkameras
oftmals vertrauliche Daten enthalten und sicher entsorgt
oder vor der Weitergabe sicher gelöscht werden müssen.
Bei diesen Speichermedien kann ggf. schon das mehrfache Überschreiben zum gewünschten Erfolg führen.
Zum sicheren Löschen auf derartigen Datenträgern gibt
es auch kommerzielle Lösungen, die auf den einschlägigen Internet-Seiten gelistet sind.
Beim Neukauf von Festplatten empfiehlt sich auch der
Abschluss einer Option, die oft mit Keep Your Drive bezeichnet ist und es im Garantiefall ermöglicht, die defekte Festplatte zu behalten.
Also nicht vergessen: Persönliche Daten vor der
Weitergabe von Festplatten und anderer Hardware
unbedingt sicher und unumkehrbar löschen!
Drucksache 16/12600
den und damit zur Flut der unerwünschten E-Mail
beitragen.
Die Angriffe auf die IT-Sicherheit beeinträchtigen nicht
nur die ordnungsgemäße Abwicklung von Verwaltungsaufgaben, sondern bringen Gefahren für die Persönlichkeitsrechte der Bürgerinnen und Bürger mit sich. Daher
sind Konzepte gefragt, die sowohl den Schutz der Privatsphäre gewährleisten und zugleich die IT-Sicherheit
verbessern. Sie sollten bereits beim Systementwurf greifen und nicht erst nachträglich hinzugefügt werden müssen.
Leider wurden in weiten Bereichen von Wirtschaft und
Verwaltung auch solche Maßnahmen zur Stärkung der
IT-Sicherheit getroffen, die dazu führen, das Nutzerverhalten und sogar die Inhalte der Kommunikation zu registrieren und auszuwerten. Entsprechende Ansätze gibt
es auch in der Bundesverwaltung. Im IVBB werden bereits wirksame Mechanismen gegen Spam-E-Mail und
Schadprogramme eingesetzt. Gleichwohl sieht der vom
BMI vorgelegte „Entwurf eines Gesetzes zur Stärkung
der Sicherheit in der Informationstechnik des Bundes“
vor, dem BSI sehr weitgehende Befugnisse einzuräumen
(s. Kasten zu Nr. 8.4). Als zentrale Meldestelle für ITSicherheit soll das BSI Informationen über Sicherheitslücken und neue Angriffsmuster sammeln und auswerten sowie Informationen und Warnungen an die betroffenen Stellen oder die Öffentlichkeit weitergeben.
Kritisch sehe ich es, dass das BSI die Befugnisse erhalten soll, erheblich stärker als bisher E-Mail nach Schadprogrammen zu durchsuchen, den Zugriff auf Server mit
Schadsoftware zu blockieren und die Protokolldateien
des IVBB auszuwerten. Damit nehmen auch die Möglichkeiten des BSI zu, auf die Daten der Nutzer des
IVBB zuzugreifen.
Im Regierungsnetz des Bundes, dem Informationsverbund
Berlin-Bonn (IVBB), sollen weitere Filter und Schutzmechanismen installiert und das BSI mit neuen Befugnissen ausgestattet werden, um Schadprogramme zu
erkennen und zu bekämpfen. Aber nicht alles, was mehr
Sicherheit bringen soll, ist auch datenschutzrechtlich hinnehmbar.
Bei allem Verständnis für das Anliegen in den gewachsenen, vernetzten IT-Strukturen einheitliche Sicherheitsstandards einzuführen, lege ich großen Wert darauf, dass
die zur Risikobegrenzung eingeführten Maßnahmen
nicht den Datenschutz der Nutzerinnen und Nutzer beeinträchtigen. Deshalb ist bei der Konzeption von IT-Sicherheitsmaßnahmen zu prüfen, ob datenschutzfreundlichere Ansätze das erforderliche Sicherheitsniveau
ermöglichen. Z. B. können einheitlichere und strengere
Sicherheitsstandards durch das BSI festgelegt werden.
Außerdem können Protokolldateien und E-Mail-Daten
vor der Auswertung pseudonymisiert werden. So wäre
sichergestellt, dass nicht unnötig Nutzerdaten registriert
und damit weitere Überwachungsmechanismen installiert werden.
Nach wie vor verursacht Schadsoftware, insbesondere
Viren, Würmer und Trojaner, erhebliche Schäden. Besonders kritisch ist, dass die Angriffe immer ausgefeilter
werden. Weltweit werden dadurch „normale“ PC so manipuliert, dass sie z. B. ohne Zutun des rechtmäßigen Benutzers Spam-E-Mail mit Schadensprogrammen versen-
Die Betreiber der „Netze des Bundes“, aber auch die Verantwortlichen für die übergreifenden Netze der Verwaltung in Europa sind aufgefordert, bei allen Maßnahmen
zur Stärkung der IT-Sicherheit auch die Privatsphäre und
den Datenschutz der Nutzerinnen und Nutzer zu berücksichtigen.
8.4
Verbesserte IT-Sicherheit – aber nicht zu
Lasten des Datenschutzes!
BfDI 22. Tätigkeitsbericht 2007-2008