Die Landesverwaltung betreibt bislang verschiedene Weitverkehrsnetze (WAN), wie das Landesverwaltungsnetzwerk (LAVINE) und das Ressortverbundnetzwerk der Ministerien oder Sondernetze der Polizei und der Steuerverwaltung. Daneben nutzt die Verwaltung auch öffentliche Fernsprechnetze. Sie hat sich zum Ziel gesetzt, alle diese Netze zu einem einzigen zusammenzufassen - dem Corporate Network (siehe Vierter Tätigkeitsbericht, Punkt 3.16.1). Davon verspricht man sich nicht nur Kostenvorteile, sondern unter anderem auch eine erhöhte Verfügbarkeit der Netzdienste, indem beispielsweise einige bisher sternförmige Netze dann eine maschenartige Struktur erhalten.
Für die Planung und Konzeption des Corporate Network ist - wie für alle ressortübergreifenden Projekte - die Koordinierungs- und Beratungsstelle der Landesregierung für Informations- und Telekommunikationstechnik in der Landesverwaltung (LKSt) im Innenministerium zuständig. Sie hat gemeinsam mit dem künftigen Betreiber, der DVZ M-V GmbH, ein Feinkonzept und ein IT-Sicherheitsrahmenkonzept erarbeitet; ich war in die Beratungen einbezogen worden. Diese Konzepte sind mittlerweile gereift und enthalten unter anderem folgende Aussagen:
- Die sicherheitstechnischen Merkmale sind anhand des IT-Grundschutzhandbuches des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausgewählt worden und decken somit die Mindestanforderungen ab. Anwender können jedoch auch höhere Sicherheitsanforderungen an die DVZ M-V GmbH richten. Umgekehrt kann auch der Betreiber die Einhaltung von Mindestsicherheitsstandards bei den Anwendern fordern, zum Beispiel den Verzicht auf dezentrale Internetzugänge.
- Die anwendungsspezifischen Netze werden zu Virtuellen Privaten Netzen (VPN) umgestaltet. Übergänge zu externen Netzen wie dem Internet und zwischen den anwendungsspezifischen VPN erhalten zentrale und bei Bedarf auch dezentrale Zugriffsschutzsysteme. Deren Kern wird die bisherige zentrale Firewall für LAVINE bilden.
- Einige Teilnetze, die später im Corporate Network aufgehen sollen, werden bereits mit kryptographischen Mitteln auf der Netzebene geschützt. Für andere VPN ist dies prinzipiell vorgesehen.
Damit ist ein solider Grundstein für den technischen Datenschutz im neuen Corporate Network gelegt; die kryptographischen Sicherheitsmaßnahmen bedürfen jedoch nach wie vor einer Untersetzung, entweder auf der Ebene des VPN oder durch eine ununterbrochene Verschlüsselung zwischen den jeweiligen Personalcomputern (Ende-zu-Ende-Verschlüsselung). Hierzu hat das Justizministerium bereits konkrete Vorarbeiten geleistet (siehe Punkt 3.17.3).
Ein wichtiger Baustein in LAVINE und künftig im Corporate Network ist die zentrale Firewall, die den Übergang zum Internet und zwischen den Ressorts sichert. Diese ist ursprünglich im Auftrage des Justizministeriums aufgestellt worden (siehe Vierter Tätigkeitsbericht, Punkt 3.16.1). Nachdem weitere Ressorts begannen, diese zentrale Sicherheitseinrichtung zu nutzen, wurde das BSI mit deren Prüfung beauftragt.
Das BSI entdeckte einige technische Schwachstellen an der Firewall, die jedoch verhältnismäßig schnell geschlossen werden konnten. Die gewählte Architektur erwies sich als leistungsfähig und sicher. Die Fragen zur Organisation und zur Sicherheit der angeschlossenen Netze und Arbeitsplatzrechner in den Ressorts sind weitaus schwieriger zu lösen.
So hat der Interministerielle Ausschuss Informations- und Kommunikationstechnik (IMA-IT) eine Revisionsgruppe gegründet. Aufgabe dieses Gremiums soll es sein, die notwendige IT-Revision der zentralen Sicherheitseinrichtung zu koordinieren. Auch der Schutz der Arbeitsplatzrechner vor schädlichen aktiven Inhalten aus dem Web ist noch nicht befriedigend gelöst. In vielen Ressorts können nach wie vor alle Bediensteten Java-, JavaScript- oder sogar ActiveX-Elemente mit ihren Browsern laden. Auch der Sicherheitsleitfaden für die Nutzer der zentralen Firewall fehlt bislang.
Diese vor allem organisatorischen Mängel müssen jetzt zügig beseitigt werden. Ich werde die Entwicklung beobachten und die Beteiligten des Projektes weiterhin beraten.
Die Telekommunikationsanlage der Landesregierung (TK-Anlage) wird ein zentraler Knotenpunkt im geplanten Corporate Network sein (siehe Vierter Tätigkeitsbericht, Punkt 3.16.1). Deshalb spielt sie bei der Vernetzung der Landesverwaltung eine entscheidende Rolle. Ein Kontroll- und Informationsbesuch im Innenministerium im April 2000 sollte dazu beitragen, mögliche Sicherheitsmängel bereits vor Einbindung der Anlage in die landesweite Vernetzung festzustellen und gegebenenfalls Vorschläge zur Behebung zu unterbreiten, um Sicherheitsrisiken für das gesamte Netz von vornherein auf ein Minimum zu beschränken.
Zur Vorbereitung der Kontrolle hatte ich deshalb darum gebeten, mir das Sicherheitskonzept für die Anlage zuzusenden. Ein solches Konzept existierte jedoch nicht. Stattdessen erhielt ich einen Katalog von Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aus dem Jahr 1996, der im Ergebnis einer gemeinsam mit dem Innenministerium durchgeführten Schutzbedarfsfeststellung erarbeitet worden war. Darin hatte das BSI die TK-Anlage als hoch schutzbedürftig eingestuft und Sicherheitsmaßnahmen vorgesehen, die das Grundschutzniveau deutlich übersteigen.
Meine Kontrolle zeigte, dass bereits einige Maßnahmen für einen sicheren Betrieb der Anlage erfolgreich umgesetzt waren. Zu nennen sind hier vor allem die Schaffung einer angemessen sicheren Infrastruktur und der Einsatz von Filtern, die Steuerungsdaten von ISDN-Verbindungen auf ihre Zulässigkeit prüfen (so genannten D-Kanal-Filtern). Diese Filter sind bei ordnungsgemäßer Administration in der Lage, unerwünschte Steuerinformationen herauszufiltern, um den Missbrauch der zur Steuerung der Anlage vorgesehenen D-Kanäle zu verhindern.
Erhebliche Mängel zeigten sich jedoch insbesondere im organisatorischen Bereich. So fehlten wichtige vom BSI geforderte organisatorische Hilfsmittel zum sicheren Betreiben der TK-Anlage. Dazu gehörte beispielsweise neben einem aussagekräftigen Sicherheitskonzept auch das zur regelmäßigen Überprüfung der TK-Anlage erforderliche Revisionskonzept. Die ebenfalls für Zwecke der Revision notwendige Dokumentation der gesamten Anlage war nicht auf dem aktuellen Stand. Die Stelle für einen Revisionsbeauftragten war zwar eingerichtet worden, zum Zeitpunkt der Kontrolle aber noch nicht besetzt. Handlungsanweisungen zum Umgang mit der TK-Anlage im Havariefall lagen nur in Ansätzen vor.
Aber auch im technischen Bereich zeigten sich Schwachstellen. Der Administrationsarbeitsplatz als sicherheitstechnisch bedeutsame Schnittstelle zur TK-Anlage muss vor Missbrauch besonders geschützt werden. Dieser Computer war jedoch nicht im sehr gut geschützten Bereich der Anlage untergebracht und darüber hinaus lediglich über das Hausnetz des Innenministeriums an die TK-Anlage angebunden. Dies genügte nicht den Anforderungen des BSI. Auch die Verbindung zwischen der TK-Anlage des Innenministeriums als zentralem Knotenpunkt und den Anlagen in den anderen Ministerien war nicht befriedigend. Durch technische Vorkehrungen wird zwar die unberechtigte Einwahl in den Anlagenverbund verhindert. Die Vertraulichkeit der Kommunikation zwischen den einzelnen Teilanlagen ist aber nur bedingt gewährleistet. Die Daten werden während der Übertragung zwischen den Anlagen auf den hierfür verwendeten öffentlichen Standleitungen der Deutschen Telekom AG nicht verschlüsselt, obwohl das BSI dies ausdrücklich für diese Art von Verbindungen empfohlen hat.
In seiner Stellungnahme zum Kontrollbericht sagte der Innenminister zu, meine Empfehlungen umzusetzen. Er hat allerdings darauf hingewiesen, dass nicht alle Maßnahmen sofort umsetzbar wären, da zunächst die personellen und finanziellen Voraussetzungen geschaffen werden müssten. Deshalb wurde ein Zeitplan zur Umsetzung der erforderlichen Maßnahmen erarbeitet, der in enger Abstimmung mit dem BSI sukzessive abgearbeitet wird.
Im März 2001 teilte der Innenminister folgenden Umsetzungsstand der im Zeitplan festgeschriebenen Maßnahmen mit:
- Im Juli 2000 wurde die Stelle des Revisors besetzt.
- Der Administrationsarbeitsplatz wurde im Januar 2001 in den Bereich der TK-Anlage verlegt.
- Anfang Mai 2001 lag die erste Version des Sicherheitskonzeptes vor.
- Erweiterte Anweisungen zur Störungsbeseitigung und ein überarbeiteter Notfallplan wurden in das Sicherheitskonzept integriert.
- Die Arbeiten zur Erstellung des Revisionskonzeptes sollten im dritten Quartal 2001 abgeschlossen werden.
Dieser Arbeitsstand zeigt, dass dem datenschutzgerechten und sicheren Betrieb der TK-Anlage ein hoher Stellenwert beigemessen wird. Die vollständige Abarbeitung des Maßnahmeplans wird jedoch noch einige Zeit in Anspruch nehmen. Insbesondere vor dem Hintergrund der geplanten Einbindung der TK-Anlage in das Corporate Network der Landesverwaltung werde ich auch weiterhin zum datenschutzgerechten Betrieb der Anlage beraten und die vollständige Umsetzung der Maßnahmeempfehlungen begleiten.
Im Zeitalter der modernen Informations- und Kommunikationstechnik gewinnt die Telearbeit auch in Behörden an Bedeutung. Sie kann dazu beitragen, die Arbeitsorganisation flexibler zu gestalten, Kosten einzusparen sowie Beschäftigten wohnortnahe Arbeitsplätze und flexiblere Arbeitszeiten anzubieten. Unsere Landesregierung hat in der Verordnung über die Arbeitszeit von Beamten in Mecklenburg-Vorpommern (Arbeitszeitverordnung - AZVO) die Möglichkeit der Telearbeit eingeräumt.
An den Umgang mit personenbezogenen Daten im Rahmen der Telearbeit sind aus datenschutzrechtlicher Sicht hohe Anforderungen zu stellen, weil das Gefährdungspotential bei der Datenverarbeitung außerhalb der Dienststelle größer ist. Insbesondere müssen die Rechtmäßigkeit, Sicherheit und Ordnungsmäßigkeit der Datenverarbeitung nicht nur ständig gewährleistet, sondern auch regelmäßig überwacht werden können (Organisationskontrolle). Die Daten verarbeitende Stelle stößt bei der Durchsetzung dieser Pflichten auf grundsätzliche Schwierigkeiten, da sie bei einem Telearbeitsplatz nicht mehr wie in der Dienststelle die uneingeschränkte Organisationsgewalt über Hard- und Software, Datenbestände und handelnde Personen hat.
Für Telearbeitsplätze ist kennzeichnend, dass personenbezogene Daten die Daten verarbeitende Stelle verlassen und die Verarbeitung zunächst faktisch nur noch eingeschränkt beaufsichtigt werden kann. Von besonderer Bedeutung ist dabei, dass bei Telearbeitsplätzen in der Regel die infrastrukturellen Sicherungsmaßnahmen fehlen, die bei dienststelleninternen Arbeitsplätzen Standard sind. Am Heimarbeitsplatz sind darüber hinaus weder Datenschutz- noch IT-Fachleute präsent, so dass die regelmäßige Überprüfung der richtigen Funktionsweise der Telearbeitsplätze nur schwer realisierbar ist. Hinzu kommt, dass Kontrollen des Dienstherrn oder der zuständigen Datenschutzkontrollinstanzen (Landesdatenschutzbeauftragter oder behördlicher Datenschutzbeauftragter) im häuslichen Umfeld ohne Einwilligung des Telearbeiters nicht möglich sind und somit die Organisationsgewalt der Daten verarbeitenden Stelle weiter eingeschränkt wird.
All das führt bei Telearbeit zu einem ungleich größeren Risiko der möglichen Beeinträchtigung des Rechtes auf informationelle Selbstbestimmung der von einer derartigen Datenverarbeitung Betroffenen. Datenschutzrechtliche Überlegungen zum Thema Telearbeit müssen deshalb die Minimierung dieses zusätzlichen Risikos zum Ziel haben.
Aus datenschutzrechtlicher Sicht sind bei der Telearbeit vor allem drei Aspekte von Bedeutung:
- Je nach Art der zu verarbeitenden Daten sind unterschiedlich starke Einschränkungen zu beachten. Wegen der oben genannten Besonderheiten eines Telearbeitsplatzes dürfen sensible personenbezogene Daten nur unter bestimmten Voraussetzungen außerhalb der Dienststelle verarbeitet werden. Das betrifft insbesondere die Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen.
- Telearbeit kann die Privatsphäre der Bediensteten nachhaltig beeinflussen. So könnten Telearbeitsplätze beispielsweise als umfassende Informationsquellen über die Arbeitsweise von Bediensteten "missbraucht" werden, da ein außerordentliches Potential für die Sammlung, Messung und Auswertung von Daten sowohl über die Leistungsfähigkeit als auch über andere persönliche Eigenschaften bereitsteht.
- Telearbeitsplätze werden außerhalb üblicher Büroumgebungen eingerichtet. Der Datenaustausch mit der Dienststelle erfolgt in der Regel über öffentliche Leitungen. Es sind deshalb angemessene technische und organisatorische Maßnahmen zum Schutz der Vertraulichkeit und der Integrität sowohl der zu übertragenden als auch der am Telearbeitsplatz und der in der Zentrale zu speichernden personenbezogenen Daten zu treffen.
Um öffentliche Stellen zu Datenschutzfragen bei Telearbeitsplätzen zu informieren, habe ich die Orientierungshilfe "Datenschutz bei Telearbeit" erstellt. Sie erläutert, unter welchen Voraussetzungen Telearbeitsplätze datenschutzgerecht eingerichtet und betrieben werden können und welche rechtlichen und technischen Anforderungen dabei zu beachten sind. Darüber hinaus gibt sie Hinweise zur Ausgestaltung einer entsprechenden Dienstvereinbarung und zur Formulierung der erforderlichen Einzelverträge zwischen Telearbeiter und Dienststelle.
Die Orientierungshilfe ist in meiner Dienststelle kostenlos erhältlich und kann aus meinem Internetangebot (siehe Punkt 6) heruntergeladen werden.
In immer mehr Behörden erhalten die Bediensteten Zugang zum Internet oder benötigen zur Erfüllung ihrer Aufgaben den Zugriff auf mehrere Dienste und Anwendungen, beispielsweise Internet, elektronische Post, Dokumentenverwaltung und Fachanwendungen. Häufig sind die damit verarbeiteten Daten unterschiedlich schutzbedürftig; bei gemeinsamer Nutzung auf einem Arbeitsplatz können aber von einer Anwendung Gefahren für andere ausgehen.
Gelangt zum Beispiel über den Internetzugang unerwünschte Software, etwa ein Trojanisches Pferd, auf einen Arbeitsplatzrechner, auf dem auch ein Personalverwaltungssystem läuft, dann ist die Vertraulichkeit der Personaldaten gefährdet. Eine vergleichbare Situation ist beim Einsatz des HKR-Verfahrens PROfiskal gegeben (siehe Punkt 3.10.4).
Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten im Verwaltungsnetz oder in einem Teilnetz müssen auch unter diesen Umständen hinreichend gewährleistet sein. Angriffe dürfen weder über offene Verbindungen noch mit Trojanischen Pferden, die über E-Mail oder aktive Inhalte eingeschleust werden, erfolgreich sein.
Dass diese Fragen gelöst werden können, zeigt das Beispiel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD). Hier wird eine Musterlösung vorgestellt, die dort selbst betrieben wird, um Internetdienste auch im eigenen Verwaltungsnetz nutzen zu können. Dabei wird vorrangig Open Source-Software eingesetzt (siehe Punkt 3.18.6).
Zunächst wurde dort eine klassische Firewall aus Paketfiltern und Application Level Gateway aufgebaut, wie in der Orientierungshilfe Internet beschrieben (siehe Vierter Tätigkeitsbericht, Punkte 3.16.4 und 4). Zentrale Ressourcen wie Web- und Mail-Server sind in der Demilitarisierten Zone (DMZ) dieses Systems platziert. Mögliche Sicherheitsverletzungen werden mit Hilfe eines speziellen Protokollierungscomputers (Log-Server) registriert und ausgewertet. Internetzugriffe vermittelt ein so genannter VNC-Server. VNC (Virtual Network Computing) trennt den Arbeitsplatzrechner von den Anwendungen. Auf dem Server laufen alle Programme, die für die Internetnutzung erforderlich sind, wie E-Mail-Programm, Web-Browser oder auch eine Textverarbeitung; der Arbeitsplatzrechner hingegen führt nur ein einfaches Clientprogramm aus. Client und Server tauschen ausschließlich Daten über Tastenanschläge, Mausbewegungen und Bildschirminhalte aus. Ferner kann man vom VNC-Server aus noch auf einen Computer zugreifen, der beispielsweise E-Mails verschlüsselt speichert (PGP-Server).
Die Lösung zeichnet sich durch folgende Eigenschaften aus:
- Aktive Inhalte aus dem Internet wie Java oder JavaScript brauchen nicht auf dem Arbeitsplatzrechner ausgeführt zu werden. Auch die teilweise komplexen Programme zur Nutzung des Internet laufen nur auf dem Server. Sicherheitsrelevante Fehler in diesen Programmen wirken sich nicht auf den Arbeitsplatzrechner und das Verwaltungsnetz aus.
- Anwendungen aus verschiedenen Netzen, wie dem Verwaltungsnetz und dem Internet oder auch dem Netz einer Fachanwendung, können voneinander isoliert werden.
- Wird der VNC-Server trotz der Firewall manipuliert, so ist die Sicherheit des Verwaltungsnetzes noch nicht verletzt. Auf die im Verwaltungsnetz verarbeiteten Daten kann man vom VNC-Server aus nicht zugreifen.
- Die einfache Client-Software ist wenig anfällig gegenüber Fehlern und Manipulationsversuchen.
- Die Protokolldaten auf dem Log-Server werden nach dem Vier-Augen-Prinzip verwaltet.
- Der Datenaustausch zwischen den Netzen wird über die Zwischenablage ermöglicht. Vom VNC-Server aus kann man Dokumente auf einem Netzwerkdrucker ausgeben.
- Ferner sind die Anforderungen an die Client-Hardware gering, denn die Client-Software braucht nur geringe Ressourcen.
- Es ist möglich, mehrere VNC-Server parallel zu betreiben, um mehr Arbeitsplätze bedienen zu können. Jedoch sollten die Server über ausreichend Hauptspeicherkapazität verfügen, und die Netzlast sollte in geeigneter Weise verteilt werden.
Dieses Verfahren gewährleistet insgesamt ein hohes Schutzniveau. Dabei bleiben die Anforderungen an die Hardware relativ gering, und die Software ist sogar kostenlos, jedoch ist ein gewisser personeller Aufwand für Einrichtung und Betrieb einzuplanen. Es ist aber denkbar, Teile des Firewallsystems durch einen Auftragnehmer betreuen zu lassen.
Auch in Mecklenburg-Vorpommern sind bereits einige öffentliche Stellen an der Nachnutzung interessiert. In meiner Dienststelle ist der Einsatz ebenfalls vorgesehen.
In meinem Vierten Tätigkeitsbericht habe ich unter Punkt 3.16.6 über den internationalen Kriterienkatalog "Common Criteria 2.0" berichtet, mit dem unter anderem nun auch datenschutzspezifische Anforderungen an Hard- und Softwareprodukte beschrieben werden können. In den Common Criteria ist detailliert festgelegt, wie diese Anforderungen zu formulieren sind. Ein wichtiges Hilfsmittel sind so genannte Schutzprofile (Protection Profiles). Sie ermöglichen beispielsweise künftigen Anwendern von Hard- und Softwareprodukten eine konkrete, formalisierte Beschreibung der eigenen Anforderungen.
Auch die Datenschutzbeauftragten des Bundes und der Länder wollen diese Hilfsmittel nutzen, um allgemeingültige, datenschutztechnische Anforderungen an Hard- und Softwareprodukte zu beschreiben. Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" (siehe Punkt 5) hat deshalb eine Arbeitsgruppe mit der Ausarbeitung eines Schutzprofils beauftragt, das ein Datenschutz- und Datensicherheitsmodul beschreibt, mit dem sensible Daten - beispielsweise aus dem medizinischen Bereich - verschlüsselt, digital signiert oder pseudonymisiert werden können.
Die Arbeitsgruppe tagte unter der Federführung meines bayerischen Kollegen mehrmals beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Das BSI hatte einen Mitarbeiter als ständiges Mitglied in die Arbeitsgruppe entsandt und für effektive organisatorische Rahmenbedingungen gesorgt. Beispielsweise wurden die Mitglieder der Arbeitsgruppe, unter ihnen auch ein Mitarbeiter meiner Dienststelle, in einem zweitägigen Seminar kostenlos in die Common Criteria eingewiesen und in deren Anwendung und Handhabung ausgebildet.
Ursprünglich sollte das Schutzprofil lediglich beschreiben, wie die aus der Gesundheitsreform 2000 resultierenden Anforderungen an den Datenaustausch zwischen Ärzten und Leistungserbringern sichergestellt werden können (siehe dazu Vierter Tätigkeitsbericht, Punkt 3.10.1). Im Laufe der Entwicklung zeigte sich jedoch, dass das beschriebene Modul nicht nur im medizinischen Bereich, sondern beispielsweise auch bei Tele- und Mediendiensten, bei E-Commerce-Anwendungen und in Data-Warehouse-Konzepten (siehe Punkt 4.5) einsetzbar sein wird.
Der Entwurf wurde daraufhin verallgemeinert, vervollständigt und weitgehend ausformuliert. Mitte des Jahres 2000 legte die Arbeitsgruppe mit dem Entwurf des Schutzprofils "Datenschutz- und Datensicherheitsmodul" ein erstes Zwischenergebnis vor. In diesem Entwurf wird in der formalisierten Sprache der Common Criteria beschrieben, wie der Informationsfluss beim elektronischen Datenaustausch zwischen mehreren Kommunikationsteilnehmern mit kryptographischen Methoden so gesichert werden kann, dass Authentizität, Vertraulichkeit und Integrität der übertragenen Daten gewährleistet sind.
Mit der Vorlage des Entwurfes beendete die Arbeitsgruppe zunächst ihre Tätigkeit, da die fachlichen und zeitlichen Möglichkeiten nahezu ausgeschöpft waren. Für die weiterführenden Arbeiten - insbesondere die detaillierte Beschreibung der so genannten Funktionalen Sicherheitsanforderungen - war unter anderem sehr detailliertes Fachwissen im Bereich der Standardisierung erforderlich. Ich habe deshalb das BSI um weitere Unterstützung gebeten. Das BSI erklärte sich bereit, den Entwurf des Schutzprofils zu vervollständigen. Es initiierte hierfür ein eigenes Projekt und beauftragte mit dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) einen kompetenten Partner mit der Fortführung der Arbeiten. Das gesamte Projekt wird weiterhin vom BSI sachkundig begleitet. Mein bayerischer Kollege wird in die Arbeiten einbezogen, so dass die datenschutztechnische Ausrichtung des Schutzprofils auch weiterhin sichergestellt ist.
Die Datenschutzbeauftragten des Bundes und der Länder setzen sich seit geraumer Zeit für die Nutzung datenschutzfreundlicher Technologien ein. Unter anderem fordern sie Softwareanbieter auf, Programme so zu entwickeln, herzustellen und zu publizieren, dass Anwender und unabhängige Dritte sich jederzeit von der Wirksamkeit der Sicherheitsvorkehrungen überzeugen können. Unabhängige Fachleute müssen die Funktionsweise lückenlos nachvollziehen und fehlerhaft arbeitende Teilkomponenten finden können.
Derartige Transparenz von Software kann dann gewährleistet werden, wenn Quelltexte von Programmen nicht geheim gehalten, sondern für Prüf- und Revisionszwecke zugänglich gemacht werden. Solche Kontrollmechanismen sind unerlässlich, weil komplexe Software praktisch kaum fehlerfrei ist und - wie die Erfahrung zeigt - die Qualitätskontrollen der Hersteller häufig nicht ausreichen.
Ein vielversprechender Ansatz für Transparenz als eine Form datenschutzfreundlicher Technologien stellt das Entwicklungsmodell "Open Source" dar. Unter Open-Source-Software (OSS) versteht man Software, deren Quelltext (source code) offengelegt und frei verfügbar ist. Jeder könnte somit prinzipiell den Quelltext lesen, mit ihm arbeiten, ihn verbessern und solche Änderungen uneingeschränkt publizieren.
In der Regel werden jedoch sowohl Benutzer als auch die meisten Programmierer fachlich nicht in der Lage sein festzustellen, ob ein bestimmtes Programm sicher ist. Nur ein kleiner Kreis von speziellen Fachleuten wird prüfen können, ob Software tatsächlich die angegebenen Funktionen realisiert und darüber hinaus keine Programmteile enthält, die unerwartete und meist unerwünschte Funktionen ausführen (etwa so genannte Trojanische Pferde) oder die spätere Eindringmöglichkeiten in das System ("Hintertüren") eröffnen. Um die Funktionsweise von Programmen vollständig zu überblicken, sind neben dem Quelltext auch verständliche Kommentare und Programmdokumentationen zu veröffentlichen.
Damit Anwender dem Urteil dieser Fachleute vertrauen können, ist die Software nach vorgegebenen Kriterien zu prüfen. Evaluation und Zertifizierung nach international gültigen Kriterienkatalogen (beispielsweise nach den Common Criteria - siehe Vierter Tätigkeitsbericht, Punkt 3.16.6) sind deshalb notwendige Hilfsmittel, um der Open-Source-Software berechtigtes Vertrauen entgegenbringen zu können. Für den "normalen" Anwender bringt die Offenlegung von Software und Dokumentationen erst dann zusätzliche Sicherheit, wenn er sich davon überzeugen kann, dass eine Prüfung bereits erfolgt ist. Ihm selbst nützt vor allem eine verständliche Programmbeschreibung, die beispielsweise zeigt, wie Sicherheitsfunktionen aktiviert werden.
Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" (siehe Punkt 5) hat im Auftrag der Konferenz der Datenschutzbeauftragten des Bundes und der Länder ein Arbeitspapier zum Thema "Transparente Software" erstellt, in dem das Open-Source-Modell aus datenschutztechnischer Sicht bewertet wird und Hinweise zum Einsatz in der öffentlichen Verwaltung gegeben werden.
Auch die Verwaltung unseres Landes strebt an, in zunehmendem Maße Open-Source-Software einzusetzen. Die Koordinierungs- und Beratungsstelle der Landesregierung (LKSt) hat einen Fragenkatalog entworfen, auf dessen Basis Nutzungsmöglichkeiten für Open-Source-Software aufgezeigt, der Aufwand abgeschätzt und Anpassungsstrategien entwickelt werden sollen. Diese Entwicklung ist zu begrüßen.
Im Jahr 2001 hat mich die Datenschutzbeauftragte einer öffentlichen Stelle gebeten, sie zum Einsatz von Funknetzen (WLAN) nach dem Standard IEEE 802.11b zu beraten. Diese mittlerweile von verschiedenen Herstellern angebotene Technik kann drahtgebundene lokale Netze ersetzen. Die Vernetzung von Notebooks oder Geräten, deren Standort mit konventioneller Verkabelung schwer erreichbar ist, kann mitunter wesentlich erleichtert werden. Darüber hinaus ist die Installation eines drahtlosen Netzes oft preiswerter als eine herkömmliche Verkabelung.
Die Hersteller von Netzkomponenten werben damit, dass solche drahtlosen Netze ebenso sicher sind wie drahtgebundene. Dies soll unter anderem das im Standard enthaltene kryptographische Protokoll mit dem Namen "WEP" (wired equivalent privacy) gewährleisten. Fachleute haben die Sicherheit von Funknetzen in letzter Zeit genauer untersucht und sind unter anderem zu folgenden Ergebnissen gekommen:
- Mit entscheidend für die Sicherheit von Verschlüsselungsverfahren ist die Länge der verwendeten Schlüssel. Sie ist maßgeblich für die größtmögliche Anzahl verschiedener Schlüssel und damit ein Maß für den Aufwand, der für das Brechen des Algorithmus erforderlich ist. Im WEP-Standard ist zum Verschlüsseln der Daten nur ein 40 Bit langer Schlüssel vorgesehen. Damit ist nicht auszuschließen, dass der jeweils verwendete Schlüssel durch Probieren ermittelt wird. Auch wenn die von vielen Herstellern inzwischen angebotenen 104 Bit langen Schlüssel - die Firmen geben 128 Bit an - genutzt werden, bleibt ein weiterer Angriffspunkt. Diese Schwachstelle ist eine im Standard vorgesehene Hilfsgröße, der so genannte Initialisierungsvektor. Dieser Parameter braucht zwar nicht geheim gehalten zu werden wie ein Schlüssel. Für eine sichere Verschlüsselung müsste er sich jedoch mit jedem ausgesandten Datenpaket ändern und darf sich nicht wiederholen. Der Initialisierungsvektor ist jedoch nur 24 Bit lang. Schon nach wenigen Betriebstunden des Funknetzes ist somit die Menge der möglichen Werte aufgebraucht, so dass mit Wiederholungen zu rechnen ist. Einige Produkte lassen diese Größe sogar konstant und fördern damit ein noch schnelleres Brechen. Im Internet sind bereits Programme verfügbar, mit denen man diese Schwachstelle ausnutzen kann.
- Jedes Datenpaket enthält einen Wert, mit dem man die Integrität prüfen kann. Dieser wird jedoch nach einem Verfahren berechnet, welches nur zufälligen Störungen wirksam begegnet. Manipuliert jemand nun einzelne Bits des Pakets, kann er genau bestimmen, welche Bits er in dem Prüfwert ändern muss. Auf diese Weise kann er gefälschte Pakete aussenden, deren Ungültigkeit das System nicht erkennt.
- Unbefugte können die so genannten MAC-Adressen (Geräteadressen) auf einen gültigen, im System verwendeten Wert einstellen. Zwar sollen sich umprogrammierte Adressen von WLAN-Karten an einem speziellen Bit erkennen lassen, jedoch ist dies lediglich eine Funktion des Original-Gerätetreibers. Da auch andere Treiber verfügbar sind, ist diese Schutzvorkehrung wirkungslos und der unbemerkte Betrieb nicht zugelassener Endgeräte im Funknetz möglich.
Wegen dieser Schwachstellen entspricht das Sicherheitsniveau drahtloser lokaler Netze nach IEEE 802.11b lediglich dem des Internet. Obwohl die vom Standard vorgesehenen Sicherheitsmaßnahmen wie WEP-Verschlüsselung oder Festlegung und Prüfung der MAC-Adressen nur ein sehr geringes Schutzniveau bieten, sollten sie genutzt werden. Vertraulichkeit und Integrität können jedoch nur mit zusätzlichen, über den Standard hinausgehenden Maßnahmen sichergestellt werden. Der Anschluss solcher Funknetze sollte deshalb - genau wie der des Internet - nur über eine Firewall erfolgen. Zusätzlich sind die im Funknetz übertragenen Daten auf höheren Netzwerkschichten zu verschlüsseln, zum Beispiel mit IPSec. Wegen der beschriebenen Schwachstellen dürfen die WLAN-Verteiler (so genannte access points) nicht über die drahtlose Schnittstelle konfiguriert und verwaltet werden.
Die Landeskoordinierungsstelle für Informations- und Kommunikationstechnik (LKSt) ist der vorausgehenden Bewertung gefolgt. Sie empfiehlt im IT-Strukturrahmen des Landes Mecklenburg-Vorpommern, WLANs nur einzusetzen, "sofern Vertraulichkeit und Integrität mit zusätzlichen Maßnahmen sichergestellt werden oder nur geringe Sicherheitsanforderungen bestehen".
Die Zahl von Videokameras zur Überwachung nimmt ständig zu. Ob auf Flughäfen, Bahnhöfen, in Ladenpassagen, Schalterhallen von Banken oder anderen der Öffentlichkeit zugänglichen Einrichtungen - überall müssen Bürgerinnen und Bürger damit rechnen, dass sie auf Schritt und Tritt offen oder heimlich von einer Videokamera aufgenommen werden (siehe auch Punkt 3.15.2). Auch wenn der Einsatz von Videotechnik im Einzelfall durchaus gerechtfertigt erscheinen kann, darf nicht außer acht gelassen werden, dass jede einzelne Kamera ein weiterer Schritt zu einer flächendeckenden Überwachungsinfrastruktur ist.
Mit der Videoüberwachung sind hohe Risiken für das Recht auf informationelle Selbstbestimmung verbunden. Weil eine Videokamera alle Personen erfasst, die in ihren Bereich kommen, werden von der Videoüberwachung unvermeidbar auch völlig unverdächtige Menschen mit ihren individuellen Verhaltensweisen betroffen. Erfassung, Aufzeichnung und Übertragung von Bildern sind für die Einzelnen in aller Regel nicht durchschaubar. Schon gar nicht können sie die durch die fortschreitende Technik geschaffenen Bearbeitungs- und Verwendungsmöglichkeiten abschätzen und überblicken. Die daraus resultierende Ungewissheit, ob und von wem sie beobachtet werden und zu welchen Zwecken dies geschieht, erzeugt einen latenten Anpassungsdruck. Dies beeinträchtigt nicht nur die grundrechtlich garantierten individuellen Entfaltungsmöglichkeiten, sondern auch das gesellschaftliche Klima in unserem freiheitlichen und demokratischen Gemeinwesen insgesamt. Alle Menschen haben das Grundrecht, sich in der Öffentlichkeit frei zu bewegen, ohne dass ihr Verhalten durch Kameras aufgezeichnet wird.
Um die ständig zunehmenden Anfragen zum Thema kompetent beantworten und zu den vielen neuen Projekten angemessen beraten zu können, ist es nötig, die technischen Möglichkeiten dieser modernen Überwachungstechnik zu kennen und ihre Eingriffstiefe in die Privatsphäre beurteilen zu können. Vor diesem Hintergrund habe ich im November 2000 die Fachkonferenz "Grenzen und Risiken der Videoüberwachung" in Schwerin durchgeführt. Anwender, Politiker, Datenschützer, Techniker, Wissenschaftler und Fachjournalisten berieten über Nutzen und Risiken von Videoüberwachungstechnik. Insbesondere konnten Anwender aus der Praxis der Videoüberwachung berichten, Wissenschaftler und Techniker die Leistungsfähigkeit moderner Videotechnik und Verfahren zur Erkennung von Personen durch körpereigene Merkmale (biometrische Verfahren) demonstrieren. Datenschützer zeigten mögliche Schranken der Verwendung derartiger Systeme auf.
Ein Schwerpunkt der Veranstaltung war die Vorstellung verschiedener Produkte und Verfahren, die zur Videoüberwachung, zur Bilderkennung oder zur Identifikation einzelner Personen mit Hilfe biometrischer Verfahren eingesetzt werden können. Die Leistungsfähigkeit dieser modernen Technik konnte während der Fachkonferenz eindrucksvoll demonstriert werden. Die Darstellung verschiedener Pilotversuche zur Videoüberwachung und zur Anwendung biometrischer Verfahren lässt nur erahnen, mit welchen Überwachungsmöglichkeiten künftig zu rechnen ist.
Erfreulicherweise hatten sich einige Hersteller aber auch Gedanken darüber gemacht, wie Videoüberwachung ausgestaltet werden kann, um den Eingriff in die Privatsphäre insbesondere für unbescholtene Bürger so weit wie möglich zu reduzieren. So wurde gezeigt, dass es durchaus technische Maßnahmen gibt, die das Recht auf informationelle Selbstbestimmung in gewissen Grenzen schützen können. Beispielsweise wurden Kamerasysteme vorgestellt, bei denen bestimmte Bildbereiche programmtechnisch ständig ausgeblendet werden. Weiterhin wurde erläutert, wie besonders datenschutzrelevante Leistungsmerkmale von Videokameras wie die Zoomfunktion oder der Aufzeichnungsmodus durch Codesysteme gesperrt und somit nur speziell autorisierten Nutzern zugänglich gemacht werden können. Es wurden Zutrittskontrollsysteme für Videoleitstellen und Zugriffsschutzeinrichtungen für Bildspeicher gezeigt. Auch wurde die Absicherung der Übertragung von Videodaten von den Kameras zu den Leitstellen, beispielsweise durch Verschlüsselung, vorgestellt. Schließlich wurde über automatische Protokollierungskomponenten und die zeitgesteuerte Löschung nicht mehr benötigter Bilder berichtet.
Im Ergebnis der Veranstaltung wurde zwar deutlich, dass es eine "datenschutzfreundliche Videoüberwachung" nicht geben kann. Durch die oben beschriebenen Schutzvorkehrungen ist es jedoch möglich, die Beeinträchtigung der Privatsphäre zu reduzieren. Es bleibt zu hoffen, dass bei der weiteren Entwicklung von Videotechnik nicht nur die Überwachungsmöglichkeiten perfektioniert werden, sondern dem Schutz der Privatsphäre unbescholtener Bürger beim Einsatz dieser Technik ebensoviel Aufmerksamkeit geschenkt wird.