Wesentlich einfacher verläuft die Risikoanalyse mit dem Grundschutzhandbuch

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats hensweise nach dem IT-Sicherheitshandbuch das diskurshafte Zusammenwirken von Vertretern verschiedener Interessen und fachlicher Kompetenzen. Es wird dringend empfohlen, die Diskurse unter neutraler Moderation zu führen, um die Durchsetzung einseitiger Interessen zu verhindern. Zum Beispiel darf ein vernünftiges Sicherheitskonzept nicht am entschlossenen Widerstand des Finanzverantwortlichen scheitern.

Andererseits soll die Umsetzung eines Sicherheitskonzeptes ein Unternehmen oder eine Behörde nicht selbst existenziell oder in seiner Aufgabenerfüllung bedrohen.

Wesentlich einfacher verläuft die Risikoanalyse mit dem Grundschutzhandbuch. Das Grundschutzhandbuch benennt derzeit insgesamt 54 Komponenten unterschiedlicher Art, die als Bausteine für die Modellierung des zu analysierenden IT-Systems oder der zu analysierenden IT-Anwendung verwendet werden können. Die Weiterentwicklung des IT-Grundschutzhandbuchs besteht unter anderem darin, dass die Zahl der Komponenten kontinuierlich erhöht wird, um immer mehr reale IT-Systeme mit diesen Bausteinen modellieren zu können. Jedem dieser Bausteine sind konkrete Gefährdungen zugeordnet, die auf ihnen lasten, und konkrete Maßnahmen, mit denen sie reduziert werden können.

Alle Gefährdungen und Maßnahmen werden genau beschrieben. Sind alle Bausteine des Modells erfasst, können alle Gefährdungen aufgelistet werden. Dann muss entschieden werden, welche Gefährdungen im realen Fall relevant sind, d. h., ob sie aufgrund besonderer Verhältnisse nicht bestehen, ob genannte Maßnahmen bereits ergriffen und somit die Gefährdungen reduziert wurden oder ob die angebotenen Maßnahmen ergriffen werden müssen, um die Sicherheit zu gewährleisten.

IT-Sicherheitskonzepte

Die Ausführungen zu den Methoden der Risikoanalysen machen bereits deutlich, dass sich bei der Anwendung der beschriebenen Methoden das Sicherheitskonzept beinahe von selbst ergibt. Beim Sicherheitshandbuch ist am Ende klar, gegen welche Risiken Maßnahmen ergriffen werden müssen. Es bietet Hilfestellungen, die aber nicht mehr aktuell sind und somit nur Anregungen geben können. Da das Sicherheitshandbuch aber nur mit Expertenwissen durchgeführt werden kann, dürfte es unproblematisch sein, aktuelle Maßnahmen gegen untragbare Risiken zu finden.

Das ständig aktualisierte IT-Grundschutzhandbuch bietet nach der Analyse einen Katalog von Maßnahmen an. Er ist zunächst darauf zu prüfen, ob er Maßnahmen enthält, die bereits getroffen wurden. Dann ist zu prüfen, ob auf Maßnahmen verzichtet werden kann, weil sie sich gegen Gefährdungen richten, die nicht vorliegen. Bei dem Rest handelt es sich um Maßnahmen, die für die Umsetzung des Sicherheitskonzepts von Bedeutung sind.

Die Dokumentation des Sicherheitskonzepts muss in allen Fällen die vollständige Risikoanalyse nachvollziehbar und deutlich machen, weshalb bezüglich der

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats angebotenen Maßnahmen welche Entscheidungen getroffen wurden.

Die IT-Sicherheitsrichtlinie vom 5. Januar 1999 schreibt vor, wie ein Sicherheitskonzept in der Berliner Verwaltung aufgebaut werden muss:

Neben der Benennung des Anwendungsbereichs (Behörde, Verfahren), also der Beschreibung der behandelten Sicherheitsdomäne, muss es die Risikoanalyse, die Beschreibung der Maßnahmen und eine Restrisikoanalyse, die die Beseitigung aller untragbaren Risiken nachweist, enthalten sein. Ferner gehört zum Sicherheitskonzept die Benennung der Verantwortlichkeiten sowie ein Umsetzungsplan, der einen Zeitplan, Prioritätsfestlegungen, Fortschreibungsregeln und die Kosten spezifiziert.

Das Berliner Modellsicherheitskonzept

Ein wichtiges Projekt des IT-KAB66 ist derzeit die Erarbeitung eines Modellsicherheitskonzepts für die Berliner Verwaltung durch eine spezielle Arbeitsgruppe, in der wir mitarbeiten. Grundlage für die Erarbeitung dieses Modellsicherheitskonzepts ist das ITGrundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik. Dabei werden zu den einzelnen dort beschriebenen Komponenten, die für die Berliner Verwaltung relevant sind, die im Handbuch vorgeschlagenen Maßnahmen darauf hin untersucht, ob die damit zu reduzierenden Gefährdungen überhaupt zutreffen, die Maßnahmen bereits getroffen worden sind oder aber doch noch einer Umsetzung bedürfen.

Dieses Vorgehen ist für Verfahren, die höchsten mittleren Sicherheitsbedarf aufweisen, legitim. Abzuwarten bleibt jedoch, ob die Behörden, die das Modellsicherheitskonzept später anwenden, den Modellcharakter tatsächlich anerkennen oder das Modellkonzept mehr oder weniger unangepasst übernehmen. Dies wäre jedoch ein wesentliches Missverständnis über den Zweck des Modellsicherheitskonzepts, denn selbstverständlich muss jede Behörde die meisten im Modell erfolgten Abwägungen anhand der behördenspezifischen Verhältnisse überprüfen.

Um die Erstellung, Fortschreibung und Umsetzung der behördlichen IT-Sicherheitskonzepte zu unterstützen, wird unter Federführung der Senatsverwaltung für Inneres in Abstimmung mit Vertretern des Berliner Beauftragten für Datenschutz und Informationsfreiheit und den Behörden der Berliner Verwaltung ein so genanntes „Modellsicherheitskonzept" erarbeitet. Dazu wird sowohl das erforderliche Vorgehen modellhaft erläutert als auch für typische IT-Szenarien der Berliner Verwaltung das eigentliche IT-Sicherheitskonzept beispielhaft erstellt und mit modellhaften Maßnahmen ausgefüllt. Basis für die Maßnahmen bildet das ITGrundschutzhandbuch des BSI. Mit dem Modellsicherheitskonzept soll der Aufwand zu Erstellung und Umsetzung behördlicher Sicherheitskonzepte wirksam gesenkt werden. Dazu werden auch im Rahmen des „best practice"- Ansatzes bereits vorhandene und erprobte Lösungen bereitgestellt.

Einige Teile des ModellSiKo sind bereits fertig gestellt.

Auf dieser Basis wird das ModellSiKo weiter vervollständigt. Parallel wird der Umsetzungs- und Implementierungsprozess in den Behörden koordiniert.

Bei der Koordination des Umsetzungsprozesses wird auch darauf geachtet, dass das Modellsicherheitskonzept in der beabsichtigten Weise als modellhaft für die behördliche Implementierung betrachtet und eine schematische Übernahme vermieden wird.

4. Aus den Arbeitsgebieten

Öffentliche Sicherheit

Polizei

Der „Fall Mahmoud" ­ junge Intensivtäter vgl. 2.2

Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

Im Frühjahr ging der „Fall Mahmoud" durch die Presse. Es handelte sich um einen jungen Intensivtäter, der seit seinem zehnten Lebensjahr wegen rund 80

Straftaten ­ teilweise während der Bewährungszeit ­ bei der Polizei aktenkundig wurde. Diesen Fall hatte ein leitender Kriminalpolizist in einem Aufsatz in einer Fachzeitschrift aufbereitet.

Der Polizeibeamte hatte ­ leicht anonymisiert ­ detailliert über die Stationen der kriminellen Karriere sowie über die persönliche Entwicklung, das soziale Umfeld und die familiäre Situation des Betroffenen berichtet.

Der Aufsatz67 listet ausführlich sämtliche gegen den Betroffenen geführten Ermittlungsverfahren auf. Den Namen hatten Journalisten durch Recherchen in der Szene schnell herausgefunden und veröffentlicht. Datenschutzrechtliche Probleme ergeben sich daraus, ob

- und gegebenenfalls in welcher Funktion der Autor (Kriminalpolizist) auf das polizeiliche Informationssystem zugegriffen hat,

- der Zugriff mit Genehmigung des Polizeipräsidenten in Berlin erfolgte,

Das Strafverfahren gegen den Autor des Artikels wurde von der Staatsanwaltschaft Heidelberg im November 2003 gemäß § 170 Abs. 2 StPO mangels hinreichenden Tatverdachts eingestellt.

In einem Prozeßkostenhilfebewilligungsverfahren des „Mahmoud", der den Autor auf Unterlassung in Anspruch nehmen wollte, haben das Landgericht Berlin und das Kammergericht übereinstimmend festgestellt, dass eine Persönlichkeitsrechtsverletzung des Antragstellers („Mahmoud") nicht vorliege. Er sei in dem beanstandeten Artikel nicht erkennbar, der Leserschaft sei es unmöglich gewesen, auf seine Identität zu schließen.

Das bestätigt die Auffassung, der Artikel enthalte keine personenbezogenen Daten.

- eine Genehmigung für die Fertigung des Aufsatzes vorlag und

- der Text des Aufsatzes vor der Veröffentlichung von dem Polizeipräsidenten in Berlin genehmigt wurde.

Der Polizeipräsident hat uns mitgeteilt, dass diese Fragen nahezu deckungsgleich Gegenstand eines Strafermittlungsverfahrens sind. Die Berliner Polizei sei sowohl als Strafverfolgungsbehörde als auch als Dienstbehörde eingebunden. Die jeweiligen Pflichtenkreise würden sich überlagern. Er bezweifele außerdem, dass in dem Aufsatz überhaupt personenbezogene Daten veröffentlicht wurden. Er bat, eine Stellungnahme erst nach Abschluss des Strafermittlungsverfahrens abgeben zu können. Dem haben wir ausnahmsweise wegen der besonderen Sensibilität des Einzelfalles entsprochen. Grundsätzlich jedoch sind die strafrechtlichen Ermittlungen losgelöst von einer Stellungnahme an den Datenschutzbeauftragten zu betrachten.

Der Fall hat dazu geführt, dass zwischen Justizverwaltung und Polizei eine Diskussion über den Umgang mit jugendlichen Intensivtätern einsetzte. Sie führte zur Erarbeitung einer gemeinsamen Richtlinie von Polizei und Staatsanwaltschaft zum Umgang mit Intensivtätern, an der wir rechtzeitig beteiligt wurden.

Zunächst wurde definiert, wer als Intensivtäter eingestuft wird. Bei der Polizei und der Staatsanwaltschaft wurden Koordinatoren und deren Aufgaben bestimmt sowie die Einzelheiten eines Informationsaustauschs

Henninger, Markus: Konsequente Inkonsequenz / Die „kriminelle Karriere" des Mahmoud R. und ihre justizielle Würdigung. In: Kriminalistik 8-9 (2002), S. 513 ff.

Der Spiegel 12/2003, S.