– 50 –
Systems zu erhalten und um ggf. gezielt Gegenmaßnahmen ergreifen zu können. Insoweit unterstütze ich den
Einsatz von Knoppix für Sicherheitsüberprüfungen und
werde auch in Zukunft ggf. darauf zurückgreifen.
Im übrigen stehen Werkzeuge zum Sicherheitscheck von
Systemen bereits seit Längerem zur Verfügung:
– als Bestandteil bekannter Universal-Distributionen
(z. B. SUSE-Edition),
– als Bestandteil von speziellen sicherheitsorientierten
Minimaldistributionen wie Trinux,
– als separate Tools frei verfügbar in verschiedenen Systemumgebungen, auch unter MS-Windows.
Kann der Anwender beliebige Programme ausführen oder
ist das Booten einer CD möglich, ist dies häufig auf Defizite im administrativen Bereich zurückzuführen. Dies
führt dann zu einer Bedrohung durch die entsprechenden
Tools. Das bedeutet auch, dass das Starten des Betriebssystems von einem externen Datenträger aus unterbunden
werden muss.
Meine Mitarbeiter halten sich bei Kontrollen an folgende
Regeln:
●
●
●
●
Die eingesetzten Programme verändern keine Systeme, Systemparameter und/oder Systemkonfigurationen, Programme und/oder Daten.
Die Herkunft der Programme ist zweifelsfrei geklärt,
und die Programme sind frei von Schadensfunktionen
(Viren, Trojaner).
Direkte Angriffswerkzeuge, die über das Ausnutzen
von Sicherheitslücken hinausgehen, werden nicht eingesetzt. Hierzu zählen beispielsweise Passwortcracker, soweit sie nicht auf Trivialpasswörter testen.
Es werden Programme eingesetzt, die versuchen, Dateien zu lesen, zu ändern oder auf Datenbanken zuzugreifen. Nur so können Konfigurationseinstellungen
oder geschützte/ungeschützte Anwendungsdaten überprüft werden.
Grundsätzlich sollte jede IT-Administration mit den hier
genannten Tools vertraut sein. Mit ihnen können
Schwachstellen gefunden, echte Angriffe besser verstanden und hoffentlich verhindert werden.
4.3.2
Ungeschützte Laufwerke in Rechnernetzen – unkalkulierbares Risiko
Nach wie vor muss ich bei Kontrollen feststellen, dass
Laufwerke mit Personaldaten ohne besondere Sicherheitsmechanismen in Rechnernetzen allen Benutzern zur
Verfügung gestellt wurden. Mit dieser Praxis sind große
Sicherheitsrisiken verbunden.
Die Verarbeitung von Personaldaten erfolgt inzwischen
weitgehend elektronisch. Vor diesem Hintergrund habe
ich im Berichtszeitraum vermehrt die Sicherheit der Datenverarbeitung im Personalbereich kontrolliert. Hierbei
habe ich festgestellt, dass in Behörden des Bundes – insbesondere im Bereich der Personalverwaltung – Mängel
BfD
20. Tätigkeitsbericht
2003–2004
im Umgang mit Mitarbeiterdaten bestehen, deren Beseitigung ich zum Teil schon vor Jahren angemahnt hatte.
Allerdings habe ich auch feststellen können, dass sich die
Sensibilität der Mitarbeiterinnen und Mitarbeiter in den
Behörden hinsichtlich der Datensicherheit zumindest im
konventionellen Verfahren deutlich erhöht hat. Die sichere
Verwaltung von Personaldaten auf Papier oder das Wegschließen von Akten nach Dienstschluss wird in den überwiegenden Fällen als Selbstverständlichkeit angesehen.
In den meisten Fällen gibt es zwar Dienstanweisungen
über den sicheren und datenschutzgerechten Umgang mit
Personaldaten, die technisch-organisatorische Umsetzung
entspricht diesen aber leider nicht immer.
So genügte die Passwortvergabe nicht in allen Fällen den
datenschutzrechtlichen Anforderungen. Unter diesen Umständen wäre es den Mitarbeiterinnen und Mitarbeitern
oder sogar dritten Personen ohne viel Aufwand möglich
gewesen, unbefugt Personaldaten zu lesen und zu ändern.
Im Zugriff waren dabei auch sensible Daten aus dem Disziplinarbereich, Beurteilungen von Mitarbeitern, Protokolle von Personalführungsgesprächen und medizinische
Daten. In einem schwerwiegenden Fall habe ich dies beanstandet.
Weitere gravierende Feststellungen bei Kontrollen waren:
– Benutzerrechte waren mangelhaft festgelegt. Nach
den datenschutzrechtlichen Vorgaben dürfen Mitarbeiterdaten nur auf einem Server abgelegt werden, der
dem Personalwesen zugeordnet ist. Eine Datenspeicherung auf der lokalen Festplatte ist datenschutzrechtlich nicht vertretbar. In dem geprüften Fall hatten
die Benutzer jedoch die Vorgabe, Mitarbeiterdateien,
z. B. Word- und Exceldateien, immer auf der lokalen
Festplatte zu speichern. Die lokale Festplatte war aber
auch für den Zugriff anderer Benutzer im Netzwerk
freigegeben, mit der Folge, dass auch Benutzer, die
nicht im Personalbereich tätig waren, diese Dateien lesen konnten. Um eine saubere Trennung von Benutzer-, Mitarbeiter- und projektspezifischen Daten untereinander sowie von Programmen und Daten des
Betriebssystems durchzusetzen, sollte dafür auf dem
Personalserver eine geeignete Verzeichnis- und
Dateistruktur festgelegt werden, mit der eine datenschutzgerechte Dateiablage unterstützt wird. Dies
wird in vielen Fällen nicht beachtet, was dazu führt,
dass jeder Mitarbeiter eine eigene Verzeichnisstruktur
und Dateiablage anlegt, wofür in der Mehrzahl der
Fälle die lokale Festplatte verwendet wird.
Bei der Verarbeitung von Personaldaten müssen die
Vorgaben des Bundesbeamtengesetzes (§ 90 ff.) berücksichtigt werden. Dies erfordert besondere technisch-organisatorische Maßnahmen, beispielsweise die
Abschottung des Personalbereiches von den restlichen
Organisationsbereichen im Netzwerk und die Abschottung besonders sensibler Daten wie Disziplinarangelegenheiten, Beihilfedaten und Leistungsbeurteilungen
von den restlichen Daten im Personalwesen. Zu einer
sachgerechten Umsetzung müssen entsprechende Anweisungen an alle Mitarbeiter im Personalwesen gegeben und in Abstimmung mit der Administration eine
geeignete Dateiablage eingerichtet werden.