Deutscher Bundestag – 17. Wahlperiode
4.7
67 ––
–– 67
Schadprogramm-Erkennungssystem
des BSI: Nur bedingt datenschutzgerecht
Auch bei der Bekämpfung von Schadsoftware muss der
Datenschutz gewährleistet sein. Ich habe das hierfür vom
Bundesamt für die Sicherheit in der Informationstechnik
(BSI) eingesetzte Verfahren geprüft und dabei erhebliche
Mängel festgestellt.
Die Umsetzung und Überführung eines Datenerhebungsund Datenverwendungskonzepts des BSI sieht die automatisierte Untersuchung von Angriffen auf das Regierungsnetz vor. Ich habe mich im Rahmen einer Kontrolle
über den Betrieb des Verfahrens informiert.
Nach § 3 Absatz 1 BSIG ist das BSI für die Abwehr von
Gefahren für die Sicherheit in der Informationstechnik
des Bundes zuständig. Es soll Stellen des Bundes vor
möglichen Sicherheitsproblemen warnen und insbesondere Schadprogramme und Gefahren für die Kommunikationstechnik erkennen (§ 5 BSIG). Hierzu hat das BSI das
Verfahren „Schadprogramm-Erkennungssystem (SES)“
eingerichtet, das Angriffe auf die Kommunikationsinfrastruktur des Bundes erkennen und zu geeigneten Abwehrmaßnahmen führen soll. Das SES analysiert den ein- und
ausgehenden Kommunikationsverkehr von Datendiensten
automatisch mittels Sensoren – bei konkretem Verdacht
auch manuell. Anwendung findet es in folgenden (Bundes-)Netzen: Informationsverbund Berlin-Bonn (IVBB),
Netz der Bundeswehr, Übergang zum DOI-Netz (vormals
TESTA, über das die Länder und EU-Einrichtungen angebunden sind) und Informationsverbund der Bundesverwaltung (IVBV).
Weitere Anbindungen sind in Planung: Bundesfinanznetz
und Netz der Wasser- und Schiffsfahrtsverwaltung
(BVBS-WAN). Für den Bundesbereich regelt § 2 Absatz 3 BSIG, welche Behörden nicht durch das SES überwacht werden dürfen. Meine Kontrolle ergab, dass das
BSI die Regelung in allen Punkten umgesetzt hat.
Pro Netz werden Sensoren an definierten Übergabepunkten eingerichtet, die den ein- und ausgehenden Datenverkehr analysieren und verdächtige Datenströme selektieren
und ausleiten. Dadurch können Angriffe auf die Kommunikationsinfrastruktur des Bundes detektiert werden. An
den Sensoren wird auf der Basis voreingestellter Signaturen eine automatische Vorprüfung des Datenstroms vorgenommen. Nur Daten mit Indikation auf Schadprogramme oder Gefahren für die Kommunikationstechnik
des Bundes werden ausgeleitet (erste Stufe). Grundlage
für die Prüfung bilden Signaturlisten, die aus verschiedenen Quellen zusammengestellt und ständig angepasst
werden, beispielsweise Meldungen aus den CERTs
(Computer Emergency Response Teams).
Ausschließlich Daten mit Verdachtsmomenten werden
anschließend über eine gesicherte Verbindung komplett
zum BSI übertragen. Dort werden diese in einer zweiten
Stufe einer intensiven automatisierten Analyse in einer
speziellen Umgebung unterzogen. Stellt sich hierbei heraus, dass es sich nicht um einen Angriffsversuch oder
eine Gefahrenquelle handelt, werden die Daten umge-
Drucksache 17/13000
hend gelöscht. Die danach verbliebenen Fälle werden von
speziell ausgebildeten Mitarbeitern auf Testsystemen manuell untersucht. Liegt ein Schadprogramm oder Angriff
vor, wird der komplette Datensatz in einer (SES-)Datenbank gespeichert, in der nach Abschluss des Falls ausschließlich die nachgewiesenermaßen zu elektronischen
Angriffen gehörigen Daten enthalten sind. Die Vorgaben
des BSI-Gesetzes werden bei Analyse und Auswertung
strikt beachtet.
Auch die Informationspflichten an den Betroffenen werden – wie ich feststellen konnte – umgesetzt.
Leider ging das BSI bei der Übermittlung entsprechender
Informationen an Sicherheitsbehörden zu weit. So wurden regelmäßig Daten an eine Sicherheitsbehörde, die
nicht explizit im Gesetz genannt ist, im Rahmen der Spionageabwehr übermittelt. Ich habe dies beanstandet. Das
BSI hat das entsprechende Verfahren danach unverzüglich eingestellt.
Weitere Probleme gab es bei der Löschung von personenbezogenen Daten nach Ende der Fallbearbeitung in der
SES-Datenbank. Auch in diesem Punkt konnte ich eine
Einigung mit dem BSI erreichen.
Nach § 5 Absatz 7 BSIG dürfen personenbezogene Daten, die den Kernbereich privater Lebensgestaltung betreffen, sowie Daten, die unter § 3 Absatz 9 BDSG fallen,
nicht verwendet werden, sie sind unverzüglich zu löschen. Wie die Kontrolle mit Hilfe der gesetzlich vorgeschriebenen Dokumentation ergeben hat, haben solche
Fälle vorgelegen. Die entsprechenden Daten waren zwar
irreversibel gelöscht, die Dokumentation ergab aber,
Schwierigkeiten den Begriff „Kernbereich privater Lebensführung“ inhaltlich zu bewerten. Das BSI hat nach
eigenen Angaben Schwierigkeiten, diese Vorgabe zu interpretieren und bei der manuellen Analyse eine richtige
Zuordnung zu finden. Ich habe angeregt, die Beurteilungskriterien präziser zu fassen und die mit der manuellen Analyse befassten Mitarbeiter entsprechend zu schulen, was das BSI aufgegriffen hat. Außerdem habe ich
hierzu meine Beratung angeboten.
Wie ich ferner festgestellt habe, fehlt für die Nutzer des
SES ein formales Benutzerverwaltungsverfahren. Auch
dies wurde in zwischen vom BSI behoben.
Die von mir nach § 25 Absatz 1 BDSG beanstandeten erheblichen Mängel hat das BSI umgehend aufgegriffen
und entsprechende Maßnahmen eingeleitet. Den Ausbau
der „Netze des Bundes“ und die damit verknüpften Sicherheitsfragen und Überwachungstechniken werde ich
weiterhin aufmerksam beobachten.
4.8
Aufräumen am Arbeitsplatzrechner
Auch auf Arbeitsplatzrechnern müssen personenbezogenen Daten zeitgerecht gelöscht werden.
In fast allen von mir kontrollierten Behörden entdecken
meine Mitarbeiterinnen und Mitarbeiter „Dateileichen“
an den Arbeitsplätzen. So ist es weit verbreitet, Originaldokumente als Musterschreiben zu nutzen. Diese
Dokumente enthielten – teilweise sehr sensible – perso-
BfDI 24. Tätigkeitsbericht 2011-2012