Zertifizierung

Modellbezirksamt

Im vergangenen Jahr haben wir ausführlich die datenschutzrechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten im Bürgerbüro dargestellt.36 In den wesentlichen Punkten bestand Einvernehmen darüber mit der Senatsverwaltung für Inneres.

Im Berichtsjahr wurde uns ein mit den Bezirken erarbeiteter Entwurf einer Dienstanweisung vorgelegt, der allerdings diesen Anforderungen nicht entsprach. Der Zweck einer Geschäftsanweisung besteht darin, den Beschäftigten unter Berücksichtigung der Rechtslage einen schriftlichen Leitfaden als Entscheidungshilfe für ihr Verhalten in bestimmten Situationen an die Hand zu geben. Dieses Ziel erreicht der vorgelegte Entwurf nur unzureichend. Wir haben die Defizite ausführlich dargelegt und erwartet, daß die Senatsverwaltung die Einwände mit uns erörtert. Statt dessen wurde uns mitgeteilt, dass unsere Schreiben an die Bezirksämter weitergeleitet worden seien und wir weiteren Schriftwechsel direkt führen mögen, weil das Projekt „Modellbezirksamt" mit dem Abschlußbericht an das Abgeordnetenhaus beendet sei.

Bis dahin bestand mit der Senatsverwaltung für Inneres Einvernehmen darüber, dass die Projektgruppe eine Mustergeschäftsanweisung entwirft, die von den Bezirken wegen möglicher Besonderheiten oder Abweichungen modifiziert oder angepaßt wird.

Dabei sollte es nicht nur wegen der besonderen Bedeutung der Einrichtung von Bürgerbüros und der damit einhergehenden Lösungen datenschutzrechtlicher Fragen bleiben. Das Umsetzen des Unternehmens Berlin ­ wozu auch die Bürgerbüros zählen ­ und der Verwaltungsreform sind Ziele des Senates. Hierzu gehört auch die Schaffung einer Mustergeschäftsanweisung zum Datenschutz für Bürgerbüros.

Modellbezirksamt

Der Entwurf einer Dienstanweisung in Bürgerämtern wurde gemeinsam mit den Bezirksverwaltungen Weißensee und Köpenick erarbeitet und Anfang August 1995 dem Berliner Datenschutzbeauftragten zugeschickt. Die Zuständigkeit war damit für die zuständige Senatsverwaltung aus drei Gründen beendet:

1. Die Dienstanweisungen in Bürgerämtern können nur mit Beschluß der zuständigen Bezirksämter in Kraft treten.

2. Das Projekt „Modellbezirksamt", das die Bezirksämter beim Erstellen einer solchen Dienstanweisung unterstützt hat, hat mit dem Abschlußbericht an das Abgeordnetenhaus Ende August 1995 seine Arbeiten abgeschlossen.

3. Im Rahmen des Verwaltungsreformprojektes werden die Bezirksämter zwar bei der Umsetzung der Maßnahmen unterstützt. Allerdings entscheiden im Sinne dezentraler Strukturen die Bezirksämter eigenverantwortlich über organisatorische Regelungen.

Informationstechnische Sicherheit und Datenschutz3.7 Informationstechnische Sicherheit und Datenschutz Informationstechnische Sicherheit zielt darauf ab, informationstechnische Systeme so zu entwerfen, herzustellen und einzusetzen, dass gegen alle Formen unerwünschter Beeinflussung der Datenverarbeitungsprozesse ein optimaler Schutz besteht.

Auch alle technischen und organisatorischen Maßnahmen des Datenschutzes fallen darunter, denn diese sollen einen optimalen Schutz vor unbefugter Kenntnisnahme, Veränderung, Verarbeitung und Löschung personenbezogener Daten bei der Anwendung informationstechnischer Prozesse sicherstellen. Die Verarbeitung personenbezogener Daten ist in der öffentlichen Verwaltung die Regel. Wenn es also darum geht, informationstechnische Sicherheit in der öffentlichen Verwaltung zu erreichen, so dient dies der Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten, von Programmen, die personenbezogene Daten verarbeiten, und von Systemen, auf denen diese Programme laufen, und damit dem Datenschutz.

Zur Erreichung informationstechnischer Sicherheit sind weltweit Instrumentarien entwickelt worden, die in verschiedener Weise wirken. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Aufgabe, solche Instrumentarien zu entwickeln oder zu erschließen und Studien zur IT-Sicherheit in verschiedenen sensitiven Anwendungsbereichen zu erstellen. Die Ergebnisse der Arbeit des BSI werden regelmäßig veröffentlicht und für die öffentliche Verwaltung nutzbar gemacht.

Zu den wichtigsten Instrumenten gehören gestufte IT-Sicherheitskriterien, an denen die Sicherheit informationstechnischer Produkte evaluiert werden kann, so dass eine Zertifizierung von Produkten anhand der erreichten Sicherheitsstufen möglich ist.

Das bekannteste Kriterienwerk ist das Orange Book des amerikanischen Verteidigungsministeriums.38 Nach einer kurzen Phase der Anwendung eigener deutscher IT-Sicherheitskriterien erfolgt nunmehr die Evaluierung in Deutschland nach den in der Europäischen Union harmonisierten Information Technology Security Evaluation Criteria (ITSEC) (Version 1.2, 1991). 36 Jahresbericht 1994, 3.4

Stellungnahme des Senats, Drs 12/5784

US-Department of Defense: Trusted Computer Systems Evaluation Criteria, DOD 5200.28-STD 39 Zentralstelle für die Sicherheit in der Informationstechnik: IT-Sicherheitskriterien i. d. F. v. 11. Januar 1989, Bonn 1989

Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats

Das auf dieser Basis erarbeitete IT-Sicherheitshandbuch des BSI40 dient der Erarbeitung von IT-Sicherheitskonzepten auf der Grundlage differenzierter Bedrohungs- und Risikoanalysen.

Nicht nur unsere kritischen Äußerungen zum häufig unangemessenen methodischen Aufwand bei der Verwendung des IT-Sicherheitshandbuchs haben das BSI bewogen, mit dem IT-Grundschutzhandbuch42 eine einfachere Methode zu entwickeln. Es zeigt sich, dass gerade im Zusammenwirken beider Handbücher eine in Aufwand und Ertrag optimale Methode zur Erarbeitung von IT-Sicherheitskonzepten gesehen werden kann.

IT-Sicherheits-Zertifizierung

Weil es bei der Beratung zu technischen Datenschutzfragen, insbesondere im Zusammenhang mit der Projektierung von IT-Anwendungen, häufig darum geht, Standardprodukte, die in größeren Stückzahlen regional, national oder sogar weltweit verbreitet werden, nach einheitlichen Kriterien zu bewerten und zu vergleichen, besteht ein Bedarf nach amtlichen und damit interessenungebundenen und allgemein anerkannten Zertifikaten für die IT-Sicherheit.

Ihre Bedeutung für den Datenschutz relativiert sich allerdings, wenn man überlegt, welche Einflußsphären auf die Sicherheit von konkreten IT-Anwendungen tatsächlich einwirken:

- die informationstechnische Sicherheit der eingesetzten Hard- und Softwareprodukte, d. h. die Eigenschaften der Systeme, sich verläßlich zu verhalten, gegen unabsichtliche und absichtliche Angriffe auf die IT-Sicherheit resistent zu sein, sie erkennen, abwehren und nachvollziehbar machen zu können (technische Sicherheit);

- die sorgfältige und an der IT-Sicherheit orientierte Nutzung der zur der Sicherheit dienenden Leistungsmerkmale und Systemkomponenten (Anwendungssicherheit);

- die an Sicherheit und Datenschutz orientierte Gestaltung der Informations- und Datenflüsse in einer Organisation (organisatorische Sicherheit);

- die Fähigkeit und Bereitschaft der beteiligten Personen, im Sinne der informationstechnischen Sicherheit zu handeln (personelle Sicherheit).

Nach unseren Prüferfahrungen steigt die Bedeutung dieser Einflußsphären für die erzielte Sicherheit in der Reihenfolge der hier gewählten Darstellung. Nicht umsonst weisen alle uns bisher in der Berliner Verwaltung bekanntgewordenen IT-Sicherheitsuntersuchungen unter Verwendung des IT-Sicherheitshandbuches nicht hinnehmbare Restrisiken im personellen Bereich auf. Daß dies ein Spezifikum der öffentlichen Verwaltung ist, kann bezweifelt werden.

Obwohl der Bereich, der einer Zertifizierung unterliegen kann, begrenzt ist, werden die Zertifikate aber nicht unbedeutend, denn gerade die Sicherheit der eingesetzten Hard- und Softwareprodukte ist am allerwenigsten von den Anwendern beeinflußbar und beurteilbar. Anhaltspunkte für die Auswahl sicherer Systeme sind daher für Anwender und Berater von großer Bedeutung.

Wenn man auf amtliche Zertifikate unbesehen zurückgreifen kann, kann man aufgrund der jeweiligen Bedrohungssituationen zu klaren Aussagen kommen und sich auf Empfehlungen konzentrieren, die die Anwendungssicherheit sowie die organisatorische und personelle Sicherheit betreffen.

Anzustreben wäre, auf der Grundlage einer fundierten Bedrohungs- und Risikoanalyse mit der zu beratenden Stelle einen Konsens über die notwendigen Sicherheitsstufen nach dem OrangeBook oder ITSEC zu erzielen, so dass entsprechende Forderungen im Pflichtenheft formuliert werden können, um sich anschließend auf das zu konzentrieren, was in der Organisation von innen heraus für die informationstechnischen Sicherheit getan werden muß. 40 Bundesamt für Sicherheit in der Informationstechnik: IT-Sicherheitshandbuch.

Handbuch für die sichere Anwendung der Informationstechnik. Bonn 1992

Jahresbericht 1991, 1.2, Jahresbericht 1992, 2.2

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutzhandbuch.

Maßnahmeempfehlungen für den mittleren Schutzbedarf. Schriftenreihe zur IT-Sicherheit. Band 3. Ingelheim 1995

Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats

Leider ist dies kaum möglich, denn es gibt zu wenige zertifizierte Produkte. Häufig entsprechen diese nicht mehr dem neuesten Stand der Technik, weil spätere Versionen auf dem Markt sind, die nicht oder noch nicht zertifiziert worden sind. Es sollten daher Wege gefunden werden, die Zertifizierungsverfahren zu beschleunigen, billiger zu machen und damit abzuspecken. Zivile Anwendungen haben andere Anforderungen als solche, die geheimdienstlichen Ansprüchen genügen müssen, stellen aber sicher mehr als 95 % aller sicherheitsbedürftigen Anwendungen.

Die heute verwendeten IT-Sicherheitskriterien umfassen jedoch ein Spektrum, das für zivile Anwendungen nur im unteren Drittel erschlossen ist. Soweit die Sicherheitsstufen hierfür relevant sind, besteht daher auch das Bedürfnis, eine stärkere Differenzierung zu finden. Dazu wäre eine neue Erfassung ziviler Anforderungen geboten, die nach unserer Auffassung auf der Grundlage anderer Bedrohungs- und Risikolagen definiert werden sollten. In der Regel brauchen wir dort keinen Schutz vor ausgeklügelten, von langer Hand vorbereiteten kriminellen oder geheimdienstlichen Angriffen, sondern Schutz vor den Folgen menschlicher Fehler oder organisatorischer Pannen.

Nur dann, wenn das Sicherheitszertifikat die aktuell zu beschaffende Hard- oder Software betrifft, wenn es den Herstellern zumutbar ist, solche Zertifikate beizubringen, und für die anwendenden Organisationen nachvollziehbar ist, dass das Zertifikat etwas zusichert, für das sie selbst einen Bedarf sehen, dann kann es in diesem Bereich, in dem die eigentliche Masse der Systeme abgesetzt wird, zum Verkaufsargument werden. Erst dann kann die Empfehlung ausgesprochen werden, bei den Ausschreibungen Zertifikate bestimmter Sicherheitsstufen als Ausschlußkriterium zu fordern.

IT-Sicherheitshandbuch und IT-Grundschutzhandbuch

Das IT-Sicherheitshandbuch beschreibt ein Verfahren zur Gewährleistung der IT-Sicherheit. Dabei kann es sich um Rechenzentren, spezielle Anwendungen mit ihren Anwendungsumgebungen, um Netze beliebiger Ausdehnung, um IT-Anwender insgesamt oder auch nur um Teile davon handeln.

IT-Sicherheitshandbuch und IT-Grundschutzhandbuch

Eine Kommentierung der Ausführungen des Berliner Datenschutzbeauftragten ist aus der Sicht der Senatsverwaltung für Inneres nicht angezeigt.

Die Erstellung eines IT-Sicherheitskonzepts durchläuft vier Phasen, wobei Rückkopplungen zwischen Phasen durchaus beabsichtigt, ja sogar zu empfehlen sind:

- Zunächst ist die Schutzbedürftigkeit zu ermitteln, in dem die IT-Anwendungen und zu verarbeitenden Informationen erfaßt und hinsichtlich ihrer Schutzbedürftigkeit bewertet werden. Jeder erfaßten IT-Anwendung und Information werden Werte für den Schaden zugeordnet, der entsteht, wenn sich Bedrohungen der Vertraulichkeit, Integrität und Verfügbarkeit realisieren.

- Danach werden in einer Bedrohungsanalyse bedrohte Objekte differenziert erfaßt. Schwachstellen und Schutzmaßnahmen werden beschrieben und die relevanten Bedrohungen aufgelistet und den Grundbedrohungen zugeordnet.

- Es erfolgt eine Risikoanalyse, bei der eine Bewertung der bedrohten Objekte, von denen die Durchführung der IT-Anwendungen und die Verarbeitung der Informationen abhängt, vorgenommen wird. Den Bedrohungen der Objekte werden Schadenswerte zugeordnet. Die Häufigkeit, mit der ein Schaden eintritt, wird in einer Skala abgeschätzt, so daß schließlich eine Übersicht von Bedrohungen und Objekten einerseits sowie Schadens- und Häufigkeitswerten andererseits entsteht. Festzulegen ist, welche Schadenshöhe bei welchem Häufigkeitswert als tragbar oder untragbar anzusehen sind. Dann kann mit einer Entscheidungstabelle festgestellt werden, wo durch zusätzliche Maßnahmen die Risiken einzudämmen sind.

- In der letzten Phase ist das IT-Sicherheitskonzept zu erstellen.

Maßnahmen zur Reduzierung der Risiken werden ausgewählt und hinsichtlich ihrer Wirkung auf Schadenshöhe und Häufigkeitswert bewertet. Es werden Kosten-NutzenBetrachtungen angestellt und die Angemessenheit von Maßnahmen auch aus dieser Sicht geprüft. Gegebenenfalls sind alternative Maßnahmen auszuwählen.