Datensicherungsmaßnahmen

Bei der Beratungs- und Kontrolltätigkeit des war mehrfach festzustellen, dass Datensicherungsmaßnahmen fehlten und vorhandene Sicherheitsmechanismen nicht ausreichend genutzt wurden.

So fehlten z. B. aus finanziellen Gründen Aktensicherungsschränke, Aktenvernichtungsgeräte und sichere Aufbewahrungsmöglichkeiten für Datensicherungen und Programmquellen. Die dienstlichen Regelungen zur Vernichtung von Schriftgut und Datenträgern sowie Schlüsselordnungen konnten nicht immer vorgelegt werden.

Auf Grund von durchgeführten Kontrollen wird auf folgende Sicherheitsmechanismen hingewiesen, die zu beachten sind:

- Es ist ein BIOS-Paßwort einzurichten, welches beim Booten des PC automatisch abgefragt wird.

- Um den unerlaubten Zugriff auf PC zu verhindern, sind alle Diskettenschächte und Laufwerke verschlossen zu halten.

- Ein Zugriff auf die Betriebssystemebene sollte für den normalen Nutzer ausgeschlossen sein. Hierzu ist eine lückenlose Menütechnik anzustreben.

- Programme und Daten sind in unterschiedlichen Verzeichnissen zu speichern.

- Regelmäßig muss eine Kontrolle auf Virenprogramme durchgeführt werden.

- in der Regel nur mit zusätzlicher Sicherheitssoftware durchgeführt werden, die entsprechend dem Grad der Schutzwürdigkeit der Daten eine Benutzeridentifikation und -authentisierung, Verwaltung und Prüfung der Die Anzahl der fehlerhaften Login-Versuche ist zu begrenzen (z. B. nur fünf fehlerhafte Anmeldeversuche erlauben).

- Bei sehr sensiblen personenbezogenen Daten ist auch eine Protokollierung über den Zugriff auf die Daten (wer, wann, wie auf welche Daten zugegriffen hat) durch das Anwenderprogramm zu gewährleisten (siehe Punkt 15.12). 15.14.2 Einsatz von Netzwerkbetriebssystemen

Schon bei der Planung eines Netzwerkes sind in jedem Fall Vorüberlegungen zum Schutz der zu verarbeitenden Daten zu treffen (siehe Punkt 15. 6).

Aufgrund der durchgeführten Kontrolltätigkeit erscheint es notwendig, auf bestimmte Sicherheitsmaßnahmen bei der Verarbeitung von personenbezogenen Daten in Netzwerken einzugehen:

- Die jeweilige Servertastatur ist zu sperren.

- Ein Zugriff auf bzw. eine unberechtigte Einsichtnahme in schutzwürdige Daten durch den Netzwerkverwalter muß vorzunehmen.

- die Dauer des Logins eines Nutzers und die Anzahl der gelesenen Datenblöcke verfolgen zu können.

- Eine Protokollierung, wer zu welcher Zeit mit welchen Mitteln zu welchem Zweck auf welche Dateien zugegriffen hat, ist bei einigen Netzwerksystemen nur unter Verwendung von Zusatzprodukten, welche die wichtigsten Aktivitäten der Benutzer, wie Öffnen, Lesen, Schreiben, Umbenennen und Löschen von Dateien auf einem Server protokollieren,möglich.

- Logisch gelöschte Dateien mit personenbezogenen Daten sind auch physisch zu löschen, um so die Betätigung der Del-Taste oder Entf-Taste) das sofortige physische Löschen automatisch erzwungen werden.

- müsseninregelmäßigen Abständen kontrolliert werden, um mögliche Sicherheitsverletzungen aufzudecken. Für viele Netzwerke gibt es zusätzliche Sicherheitssoftware, die z. B. komplexe Übersichten erstellen über:

- Verzeichnisstruktur,

- Anzahl der definierten Nutzer,

- für jeden Nutzer aufgeschlüsselt: Einstellungen zur Kontoführung und zur Paßwortregelung, Zugehörigkeit zu Gruppen, Gleichstellung zu anderen Nutzern, Nutzer Login Script, vergebene Zugriffsrechte.

Login-Ebene: erfolgt. Sollte ein Nutzer mehrere streng getrennte Aufgabengebiete bearbeiten, so sind für ihn mehrere Benutzerken nungen zu vergeben (z. B. bei EDV-Verantwortlichen, die noch andere Fachgebiete bearbeiten). Paßwortes anbieten, dieses auch aktiviert werden.

Bei den Kontrollen mußte oft die fehlende bzw. nicht konsequent geführte Paßwortregelung bemängelt werden. sei und nur zuverlässige Mitarbeiter eingestellt würden. auf die Paßwortsicherheit des Netzwerksystemes verzichtet werden kann. Aus datenschutzrechtlicher Sicht ist eine Vergabe von Paßwörtern auf der Netzwerkebene unbedingt zu aktivieren, um so einen unerlaubten Zugriff auf personenbezogene Daten z. B. über die Betriebssystemebene zu verhindern.

Bei der Bildung von Nutzer-Paßwörtern sind die allgemeinen Regeln zu beachten:

- das Paßwort muss für jede Benutzerkennung eingerichtet werden,

- es muss aus mindestens fünf alphanumerischen Zeichen (einschließlich Sonderzeichen) bestehen,

- der Paßwortwechsel muss mindestens alle drei Monate automatisch erzwungen werden,

- zu erzwingen, sollte den Benutzern die Möglichkeit eingeräumt werden, jederzeit einen Paßwortwechsel durchzuführen,

- das Paßwort selbst darf nicht zu trivial sein. nur an bestimmten Tagen und/oder zu bestimmten Stunden einloggen dürfen.

Nutzern oder bei bestimmten Anwendungen genutzt werden dürfen.

Rechte-Ebene:

Bei Kontrollen wurde weiterhin festgestellt, dass eine gewisse Unsicherheit in der Vergabe von Zugriffsrechten auf Dateien und Verzeichnisse besteht. Empfehlenswert ist eine getrennte Ablage von Programm- und Datendateien in

Wenn mehrere Benutzer in einem Verzeichnis Dateien je nach Aufgabenstellung unterschiedlich nutzen, so sind nicht nur für das Verzeichnis die jeweiligen Benutzer-Zugriffsrechte, sondern auch für die darin enthaltenen Dateien entsprechende Zugriffsrechte für die einzelnen Benutzer einzurichten.

In einigen Behörden wurden den Sachbereichen von dem Netzwerkverwalter zu weitreichende Zugriffsrechte eingeräumt. Den Sachbereichen war es dadurch technisch möglich, eigenständig die Rechtevergabe zu ändern und Rechte an andere User zu erteilen, ohne selbst darüber zu verfügen. und somit nach dem Vier-Augen-Prinzip zu verfahren.

Attribut-Ebene: von den Zugriffsrechten vergeben werden können, und darüber zu entscheiden, ob ein Verzeichnis oder eine Datei gelöscht,aufgelistetoderbeschriebenwerdendarf. wenn die Anwendungen einen solchen Schutz hierfür erfordern.

15.14.3 Kontrolle eines Rechenzentrums des Sachbereichs Rechentechnik hinsichtlich der Realisierung und Einhaltung der nach § 9 erforderlichen technischen und organisatorischen Maßnahmen zum Datenschutz ein.

Das komplexe integrierte Bezügeverfahren (Besoldung, Versorgung, Bezüge, Lohn) wird auf der Grundlage eines spezifischen Softwareeinsatzes abgearbeitet. Die Neben- und Außenstellen sind über Standleitungen bzw. Vorrechner mittels Terminal oder PC (Emulation) im Dialog mit dem Host-Rechner verbunden.

Objekt- und Raumschutz.

Bei der Prüfung wurden, obwohl insgesamt umfangreiche Sicherungsmaßnahmen nach § 9 realisiert waren, u. a. folgende Schwachstellen bzw. Mängel festgestellt:

- Die Identifikation auf der Betriebssystemebene erfolgte nur durch die Eingabe einer Gruppenkennung. Ein revisionsicherer Nachweis der Aktivitäten der jeweiligen Benutzer einschließlich der Systemverwalter auf der nach Ablauf einer vorgegeben Zeitdauer, nicht vorgesehen. Auch eine Limitierung der Anzahl abgewiesener Anmeldevorgänge erfolgte nicht.

Der forderte deshalb, dass der Paßwortwechsel automatisch vom System nach einer vorgegeben Zeitspanne erzwungen werden muß, die Anzahl der abgewiesenen aufeinanderfolgenden Anmeldungen zu begrenzen ist und die verwendeten Gruppenkennungen durch eine eindeutige Identifikation und Authentifikation jedes einzelnen Benutzers und der Systemverwalter für das Betriebssystem zu ersetzen ist.

Hierfür wurde der Einsatz spezieller Sicherheitssoftware empfohlen.

- Die Funktionsabschottung, dass jeder Benutzer im Bezügeverfahren nur Zugriff auf die ihm aufgabenbezogen zugeordneten Daten haben darf, war nicht durchgängig realisiert.

Die Vergabe der Zugriffsrechte muss konsequent unter Berücksichtigung einer Vertretungsregelung anhand einer vorgegeben Berechtigungsstruktur, welche den geforderten restriktiven Zugriff vorgibt, erfolgen.

- Bezüglich der durchzuführenden Datenübermittlungen ist eine Dienstanweisung zu erarbeiten.

Die aufgezeigten datenschutzrechtlichen Mängel wurden behoben bzw. befinden sich in Realisierung.

15.14.4 Anlaßbezogene Kontrolle einer TK-Anlage

Eine vom durchgeführte Prüfung der TK-Anlage einer öffentlichen Stelle zeigte wesentliche datenschutzrechtliche Mängel auf:

- Eine datenschutzrechtliche Freigabe des Verfahrens nach § 34 Abs. 2 lag nicht vor.

- Eine Dienstvereinbarung zwischen der Leitung und dem Personalrat war nicht abgeschlossen worden.

- Grundsätzliche Regelungen zum Betreiben der TK-Anlage und Festlegungen zu datenschutzrechtlich relevanten Sachverhalten fehlten. So konnten z. B. keine transparenten Unterlagen vorgelegt werden über installierte und aktivierte Leistungsmerkmale, Art und Umfang der gespeicherten personenbezogenen Daten, Zweckbindung und Protokollierung des Systemzustandes und Kontrollmaßnahmen.

- Es erfolgte keine Unterscheidung zwischen Dienst- und Privatgesprächen.

- Alle abgehenden Rufnummern wurden vollständig gespeichert, einschließlich der des Personalrates.

- Die Mitarbeiter wurden unzureichend bezüglich des konkreten Einsatztermines der TK-Anlage, der aktivierten Leistungsmerkmale, der eingerichteten Berechtigungsklassen und der gespeicherten Daten informiert. Weiterhin werden.

- Es erfolgte keine Protokollierung der systemtechnischen Abläufe, so dass vorgenommene Eingriffe (z. B. durch die Fernwartung der Fremdfirma) nicht nachvollziehbar waren.

- Eine regelmäßige Revision der TK-Anlage (Soll-Ist-Abgleich) war nicht vorgesehen. Somit kann auch nicht nirgendwo vergeben und deaktivierte Leistungsmerkmale auch wirklich inaktiv sind.

Die öffentliche Einrichtung hat im konkreten Fall inzwischen die Freigabe des Verfahrens beantragt und mit dem Personalrat eine Dienstvereinbarung abgeschlossen, die alle datenschutzrechtlichen Forderungen berücksichtigt.

15.14.5 Entsorgung von Schriftgut Überall, wo personenbezogene Daten verarbeitet werden, müssen Datenträger aufbewahrt, transportiert und nach und optischen Datenträgern (Mikrofiche, CD-ROM, WORM, MO) ist Papier weiterhin ein wichtiger Datenträger.

Maßnahmen zu schützen. Es ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle). Insbesondere Schriftgut, das von jedermann unmittelbar gelesen werden kann, jedem Fall auch bei der Vernichtung bzw. Entsorgung nicht mehr benötigter Datenträger zu beachten.

Durchgeführte Kontrollen offenbarten, dass die Entsorgung von Schriftgut mit personenbezogenen Daten nicht immer Papierabfallbehälter neben Kopiergeräten aufgestellt waren. Die Kopiergeräte stehen nicht selten an öffentlich zugänglichen Stellen, da sie von vielen Mitarbeitern gemeinsam genutzt werden. Publikumsverkehr ist nicht ausgeschlossen.

Hier liegen Mängel bezüglich o. g. datenschutzrechtlicher Forderungen zur Datenträgerkontrolle vor.