Management

Von Administratoren wurde dieser Sachverhalt kritisiert, denn es bestehe die Gefahr, dass bei der Beschreibung der getroffenen Maßnahmen sicherheitsrelevante Informationen dargestellt werden, die nicht für eine öffentliche Einsichtnahme geeignet seien. Eine detaillierte Beschreibung der Sicherheitsinfrastruktur ist aber in der Regel erforderlich, um eine datenschutztechnische Bewertung durchführen zu können.

Um diesem Dilemma zu entgehen, habe ich folgende Vorgehensweise empfohlen:

Die Verfahrensbeschreibung soll bezüglich der technischen und organisatorischen Maßnahmen eine Beschreibung auf abstraktem Niveau enthalten, die bei Einsichtnahme durch den Bürger verstanden werden kann. Ergänzt werden soll diese Verfahrensbeschreibung dann um ein nicht öffentliches Fachdatenschutzkonzept, welches die Maßnahmen zur Erreichung der Schutzziele detailliert beschreibt und eine Bewertung der getroffenen Maßnahmen ermöglicht. Sollen mehrere oder integrierte Verfahren beschrieben werden, können solche Maßnahmen, die für alle Verfahren gelten (z. B. Zutrittskontrolle zu Serverräumen, Zugangskontrolle bezüglich Anmeldeverfahren am PC-Arbeitsplatz, zentrale Datensicherungskonzepte) in einem Rahmendatenschutzkonzept zusammengefasst werden.

Das skizzierte Konzept wird derzeit den behördlichen Datenschutzbeauftragten mitgeteilt und bereits in ersten größeren Behörden, z. B. beim Stadtamt Bremen, umgesetzt.

Protokollierung und Revision

Im Berichtsjahr habe ich bei meinen Prüfungen und Beratungen festgestellt, dass eine sachgerechte Protokollierung und Revision in komplexen DV-Systemen mit Anforderungen verbunden ist, die umfangreiche konzeptionelle Überlegungen erfordert. Die Protokollierung und darauf aufsetzend die Revision sind zu eigenen Verfahren geworden. Sie fallen insbesondere bei vielschichtigen Verarbeitungsprozessen nicht mehr nebenbei in Form einer speziellen, bestenfalls noch überschaubaren Logdatei an, sondern sind viel umfangreicher und erfordern eine gezielte Planung. Angesichts des rasanten Aufbaus neuer Systeme wird für eine datenschutzgerechte Konzeption der Protokollierung oft nicht die nötige Zeit eingeplant.

Unter Protokollierung beim Betrieb von IT-Systemen im datenschutzrechtlichen Sinn wird die Erstellung von manuellen, in der Regel automatisierten Aufzeichnungen verstanden, aus denen insbesondere nachvollziehbar sein muss, welche Person zu einem bestimmten Zeitpunkt mit welchen Funktionen auf personenbezogene Daten zugegriffen hat. Hinzu kommt, dass Systemzustände, wie beispielsweise die Dokumentation der Zugriffssystematik über einen definierten Zeitraum, ableitbar sein müssen.

Die rechtlichen Verpflichtungen ergeben sich dabei direkt aus den Datenschutzgesetzen. Das Bundesdatenschutzgesetz (BDSG) schreibt in der Anlage zu § 9 Nr. 4 und 5 und das Bremische Datenschutzgesetz in § 7 Abs. 4 Satz 2 Nr. 4 und 5 entsprechende Dokumentationen in Rahmen der Eingabe- und Weitergabekontrolle vor. Auch im Zusammenhang mit automatisierten Abrufverfahren sind solche Protokolle zu erstellen (§ 14 Abs. 3 Im Security Management muss durch Zugangskontrolle und Rechteverwaltung dafür gesorgt werden, dass nur Berechtigte in der Lage sind, auf Protokolle zuzugreifen. Hierzu gehört beispielsweise als technische Maßnahme die Speicherung der Daten außerhalb der produktiven Systeme, auch um die Anforderung der Revisionsfähigkeit umzusetzen.

Diese Protokolldaten unterliegen selbst wieder eigenen Datenschutzregelungen.

So dürfen die in diesem Rahmen erhobenen personenbezogenen Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, nur für diese Zwecke verwendet werden (besondere Zweckbindung). Es ist also das Verfahren der Protokollierung selbst und damit verbunden der Schutz der in diesem Rahmen erhobenen personenbezogenen Daten technisch und organisatorisch zu klären. Da im Rahmen der Protokollierung Daten von Arbeitnehmern und Arbeitnehmerinnen verarbeitet werden, ist das Verbot der Leistungs- und Verhaltenskontrolle (vgl. § 20 zu garantieren. Eine weitere datenschutzrechtliche Anforderung gilt natürlich grundsätzlich auch hier: Das Prinzip der Datensparsamkeit und Datenvermeidung (§ 7 § 3 a BDSG).

Vor diesem Hintergrund muss die Protokollierung hinsichtlich ihrer Art, ihrer Ziele, ihrer Inhalte und Auswertbarkeit beschrieben werden. Es gibt Protokolle auf verschiedenen Systemebenen, die sich auf benutzer-, prozess- oder/und sicherheitstechnische Ereignisse beziehen. Diese Protokolle dienen grundsätzlich zwei Zielen: Es soll möglich sein, Sicherheitsverletzungen durch Aufzeichnung sicherheitsrelevanter Ereignisse zu erkennen. Außerdem müssen für Zwecke der Beweissicherung Handlungen von Benutzern im System nachvollziehbar sein. Mit einer revisionssicheren Protokollierung der Systemadministration kann beispielsweise die

Frage beantwortet werden, welcher Administrator zu welchem Zeitpunkt welche das Security Management betreffenden Aktionen (wie etwa Änderung einer Sicherheitsregel, Ändern von Benutzerrechten, Löschen von Logdateien) durchgeführt hat. Auch die Durchführung von Servicearbeiten muss entsprechend nachvollziehbar sein. Die Protokollierung von Administratortätigkeiten dient der Kontrolle der gesamten Systemsicherheit. Sie kann auch Schutz vor eventuellen Verdächtigungen bieten.

In der Praxis habe ich häufig die Erfahrung gemacht, dass die Administratoren die Revisionsmöglichkeit ihrer Tätigkeit ablehnen. Sie argumentieren, dass eine Vertrauensposition, die uneingeschränkte Aktivitäten in den Systemen ermöglicht, nicht umfassend kontrolliert werden kann und dies auch nicht erforderlich sei. Es gibt jedoch in komplexen DV-Systemen eine Vielzahl administrativer Tätigkeiten, die von verschiedenen Personen und auch externen Firmen wahrgenommen werden.

In diesem Umfeld existiert die klassische, an eine Person gebundene Vertrauensposition nicht mehr. Hinzu kommt, dass der Verarbeitungsumfang bezogen auf Datenmengen und Möglichkeiten (insbesondere Verknüpfungen von Informationen und Datenabgleiche) stark zugenommen hat. Es ist daher wichtig, die Aufzeichnungen nach bestimmten Fragestellungen auswertbar zu machen. Hierfür sind entsprechende Tools einzusetzen, um ein Ereignismanagement zu ermöglichen.

Aufgrund der im Rahmen einer sinnvollen Protokollierung und Revision zu behandelnden Fragestellungen wird deutlich, dass eine Grundlage für die konzeptionelle Gestaltung dieses Verfahrens bereits im Rahmen einer Sicherheitspolicy, die u. a. Basisdefinitionen für die Sicherheit allgemein vornimmt, geschaffen werden muss.

In diesem Rahmen müssen grundlegende Überprüfungsmodalitäten festgelegt werden.

Ich halte zur Erfüllung der datenschutzrechtlichen Normen eine sachgerechte, nicht ausufernde Protokollierung für unbedingt notwendig. Der Aufwand für die Gestaltung der Verfahren zur Protokollierung und zur Revision, verbunden mit der Konzeption des Sicherheitsmanagements bei der Einführung und Administration von Verfahren, darf im Hinblick auf die hierfür erforderlichen Ressourcen weder aus den Augen verloren noch unterschätzt werden.

Funktionstrennung: Berechtigungen entsprechend der Aufgaben vergeben

Die Zahl der Informationssysteme wächst stetig und schnell. Und mit ihnen die Zahl der darin gespeicherten und verarbeiteten Daten. Mit der Anzahl der Informationssysteme wächst aber auch die Aufgabenflut für die Administratoren, die (oft) mehrere davon gleichzeitig betreuen müssen. Auch in der öffentlichen Verwaltung in Bremen ist diese Entwicklung deutlich bemerkbar.

Die große Zahl der verschiedenen Systeme bedingen aber auch eine genaue Planung und Umsetzung von differenzierten Berechtigungskonzepten für die jeweils im Einsatz befindlichen Systeme. Berechtigungen regeln, wer in IT-Systemen welche Funktionen nutzen darf. Grundsätzlich ist bei diesen Berechtigungen von zwei verschiedenen Ebenen auszugehen: Den Berechtigungen, die unbedingt dazu notwendig sind, das System zu betreiben (administrative Berechtigungen) und die Berechtigungen, die zur Aufgabenerfüllung notwendig sind (operative Berechtigungen).

Aus Sicht des Datenschutzes ist eine klare Trennung zwischen diesen Bereichen anzustreben. Darüber hinaus gibt es Funktionen, die in einer Person liegend unvereinbar sind, hier muss es zwingend zu einer klaren personellen Trennung kommen (z. B. Administrator und Revisor).

Während sich die Anforderungen der personellen Trennung von Aufgaben in größeren Organisationseinheiten relativ problemlos umsetzen lassen, bestehen hierfür in kleinen Einheiten weitaus mehr Schwierigkeiten. Solange keine miteinander unvereinbaren Aufgaben betroffen sind, sind bei einer Doppelfunktion der Aufgabenwahrnehmung auf verschiedenen Ebenen besondere Regeln zu beachten. In ITSystemen soll jeder nur mit so viel Rechten ausgestattet sein wie es zur Wahrnehmung der spezifischen Aufgaben notwendig ist. In der Literatur wird oft vom Needto-know-Prinzip gesprochen. So soll ein Administrator sich an den IT-Systemen nur dann mit administrativen Berechtigungen anmelden, wenn er auch administrative Tätigkeiten durchzuführen hat (Wartung ohne inhaltlichen Zugriff). Bei operativer Tätigkeit muss er über den hierfür vorgesehenen Berechtigungspfad gehen. Eine Funktionstrennung wird dabei durch die Nutzung unterschiedlicher Benutzerkennungen und Passwörter erreicht.

Auch innerhalb von DV-Fachverfahren soll eine strikte Funktionstrennung umgesetzt werden. Es ist nicht auszuschließen, dass Anwender des Systems auch Aufgaben mit administrativem Hintergrund zu erledigen haben. Diese Berechtigungen sind im System getrennt voneinander abzubilden und die Funktionstrennung dadurch zu realisieren, dass wiederum je nach Aufgabe eine spezifische Anmeldung an das Fachverfahren erfolgen muss.

Strikte Funktionstrennung ist ein wichtiges Werkzeug, um ein hohes Sicherheitsniveau zu erreichen. Auch Vertretungsregelungen sollten unter Wahrung strikter Funktionstrennungen realisiert werden, womit auch Risiken minimiert und das Wissen bzw. bestimmte Fähigkeiten auf mehrere Personen verteilt werden. Letztendlich lässt sich nur durch saubere Funktionstrennung, eine Trennung zwischen Entscheidung, Ausführung, Kontrolle (und Berichterstattung), eine richtige und aussagekräftige Revision der IT-Systeme realisieren.

Zum Aufbau einer Funktionstrennung gehört, dass ein umfassendes Berechtigungskonzept erarbeitet wird, das alle notwendigen Rollen vollständig mit den zugehörigen Rechten beschreibt. Dies gilt sowohl für die in den Organisationseinheiten im Einsatz befindliche IT-Basisinfrastruktur als auch für die angewendeten Fachverfahren. Das Berechtigungskonzept ist auf aktuellem Stand zu halten, veränderten Rahmenbedingungen anzupassen und die richtigen Abbildungen sind in den Systemen turnusmäßig zu überprüfen.

Active Directory für das bremische Verwaltungsnetz

Im Berichtsjahr habe ich vom Senator für Finanzen verschiedene Unterlagen zum geplanten Echtbetrieb des bremischen Verzeichnisdienstes Active Directory (AD) mit der Bitte um Stellungnahme erhalten. Ein AD ist bereits im Pilotbetrieb und wird für diverse (Test-)Anwendungen genutzt. Dieser Pilot soll in den Echtbetrieb überführt werden.