Pflege
Landtag Rheinland-Pfalz 15. Wahlperiode Drucksache 15/1764
Mit dem Institut für Wirtschafts- und Verwaltungsinformatik der Universität Koblenz-Landau hat der LfD eine Kooperation vereinbart. Die Zusammenarbeit betrifft vor allem die gemeinsame Betreuung von Abschlussarbeiten und Projekten. Im einem ersten Schritt wurden hierzu Themenbereiche definiert, die im Interesse beider Kooperationspartner liegen, wie Identitätsmanagement, Implementierung datenschutzfreundlicher Technologien, Pseudonymisierungskonzepte, IT-Sicherheitsmanagement oder die technischen Möglichkeiten zur Umsetzung der Datenschutzrechte Betroffener. Im Berichtszeitraum haben drei Diplom- bzw. Masterarbeiten entsprechende Themenstellungen aufgegriffen.
Allgemeine technisch-organisatorische Aspekte
IT-Sicherheit in der Landesverwaltung
Unter Mitarbeit des LfD wurden im Jahr 2003 von einer Arbeitsgruppe des IT-Ausschusses der Landesregierung Leitlinien zur Sicherheit beim Einsatz der Informationstechnik in der Landesverwaltung erarbeitet. Diese fußen auf den Empfehlungen des BSI zum IT-Grundschutz. Die Sicherheitsleitlinien wurden im Ministerrat beschlossen und als Rundschreiben der Landesregierung veröffentlicht (Planung und Realisierung der IT-Sicherheit in der Landesverwaltung Rheinland-Pfalz, MinBl. vom 4. Juni 2003, S. 327).
Die in den Sicherheitsleitlinien angesprochenen Punkte wurden bislang erst in Teilen umgesetzt. Ein vergleichsweise hohes Sicherheitsniveau existiert für die vom LDI betreuten IT-Strukturen, d.h. das Landesdaten- und Kommunikationsnetz (rlp-Netz), den zentralen Internetübergang der Landesverwaltung und das zentrale Rechenzentrum. In einzelnen Verwaltungsbereichen ist nach den Erkenntnissen des LfD das Sicherheitsniveau jedoch unterschiedlich. Strukturierte Schutzbedarfsanalysen oder auf der Grundlage der BSI-Empfehlungen erstellte Sicherheitskonzepte stellen die Ausnahme dar. Sicherheitsmaßnahmen werden häufig nur punktuell getroffen, ein IT-Sicherheitsmanagement als Geschäftsprozess existiert nur in Einzelfällen. Der Aufbau einer in den Sicherheitsleitlinien geforderten Informationsplattform IT-Sicherheit für die Landesverwaltung steht noch aus.
Der LfD hat daher gegenüber dem ISM auf die Notwendigkeit hingewiesen, das Thema IT-Sicherheit in der Landesverwaltung erneut aufzugreifen und die Umsetzung der im o.g. Rundschreiben angesprochen Punkte angemahnt. Erste Gespräche hierzu wurden geführt.
Anforderungen an Verfahrenstests mit Echtdaten
Im Berichtszeitraum hat sich wiederholt die Situation ergeben, dass im Zusammenhang mit der Einführung oder Umstellung von IT-Verfahren für notwendige Verfahrenstests auf Echtdaten zurückgegriffen werden sollte. Von Bedeutung ist dies insbesondere in Fällen, in denen private Unternehmen mit der Verfahrensentwicklung beauftragt sind. Aus datenschutzrechtlicher Sicht sind im Rahmen der Verfahrensentwicklung vorgesehene Tests grundsätzlich anhand geeigneter Testdaten durchzuführen. Die Verwendung von Echtdaten kommt nur insoweit in Betracht, als die zu testenden Sachverhalte mit den Testdaten nicht hinreichend verlässlich erfasst werden oder der Aufwand zu deren Erzeugung in erforderlichem Umfang und Ausprägung außer Verhältnis steht.
Vor einer Nutzung von Echtdaten sind die Möglichkeiten zu prüfen, diese zu anonymisieren oder zu pseudonymisieren. Im Einzelfall kann dies jedoch auf Probleme stoßen, z. B. dort, wo gerade die Vielfalt von Namensausprägungen Gegenstand eines Tests auf korrekte Verarbeitung sein soll. Für diese Fälle sollten die personenbezogenen Originaldaten dadurch „verschleiert" werden, dass die für eine Zuordnung der Datensätze zu einer Person nutzbaren Feldinhalte irreversibel durch zufällig ausgewählte Ausprägungen des Gesamtbestands ausgetauscht werden. Namensausprägungen, die weniger als fünfmal vorkommen, gehen dabei nicht in den zu erzeugenden Datenbestand ein. Etwaige Freitextfelder werden durch neutrale Texte ersetzt; ähnliches gilt für sonstige Dateianhänge. Nach Einschätzung des LfD sind bei ordnungsgemäßer Umsetzung anhand der nicht ersetzten Inhalte eines Datensatzes mit vertretbarem Aufwand keine konkreten Personen bestimmbar, so dass den Vorgaben des § 3 Abs. 7 LDSG entsprochen wird.
Von datenschutzrechtlicher Bedeutung ist allerdings, dass es sich bei den für die Ersetzung verwendeten Namen oder Straßenbezeichnungen um Angaben aus dem Originalbestand und damit nicht um neutrale Inhalte handelt. Je nach Umstand können sie Hinweise darauf geben, dass Personen aus einer eingrenzbaren Gruppe betroffen waren. Soweit für etwaige Auftragnehmer entsprechende Vereinbarungen getroffen werden, ist dies aus Sicht des LfD jedoch hinnehmbar.
Drucksache 15/1764 Landtag Rheinland-Pfalz 15. Wahlperiode
Der Landesbeauftragte hat hierzu folgende Empfehlungen ausgesprochen:
- Verfahrenstests mit Echtdaten sind nach § 4 Abs. 5 LDSG als Datenverarbeitung im Auftrag anzusehen. Ihnen sind die Anforderungen nach § 4 Abs. 1 bis 4 LDSG bzw. die entsprechenden bereichsspezifischen Regelungen (z.B. § 80 SGB X) zugrunde zu legen.
- Die bereitgestellten Daten dürfen nur für Testzwecke verwendet werden. Diese sind inhaltlich festzulegen und zeitlich zu beschränken. Eine darüber hinausgehende Nutzung ist unzulässig.
- Die Echtdaten sind nur den an den Tests beteiligten Personen zugänglich zu machen. Diese sind zuvor nach § 8 LDSG auf die Wahrung des Datengeheimnisses zu verpflichten.
- Sollen die Daten an nicht-öffentliche Stellen abgegeben werden, sind, um die Anwendbarkeit strafrechtlicher Bestimmungen wie bei Amtsträgern zu gewährleisten (§ 203 StGB), die betroffenen Mitarbeiter des Auftragnehmers nach dem Verpflichtungsgesetz für den öffentlichen Dienst besonders zu verpflichten und Geheimhaltungserklärungen vorzusehen.
- Die zur Verfügung gestellten Daten einschließlich etwaiger Kopien sind nach Abschluss der Tests zu löschen. Überlassene Datenträger sind zurückzugeben. Die erfolgte Löschung bzw. die erfolgte Vernichtung von Datenträgern ist durch den Auftragnehmer zu bestätigen.
Sicherheit von Webanwendungen
Über sog. Webanwendungen werden in zunehmendem Maß Verwaltungsleistungen über das Internet zugänglich gemacht, die bislang in verwaltungsinternen Verfahren erbracht wurden. Diese Öffnung für Zugriffe aus dem Internet führt zu neuen Angriffsszenarien, auf die vorhandene Sicherheitsmaßnahmen vielfach nicht ausgerichtet sind. Im Rahmen des Aktionsplans „EGovernment" der Landesregierung werden zunehmend auch in Rheinland-Pfalz internetbasierte Zugänge zu Fachverfahren der Verwaltungen eröffnet. Der LfD hat parallel zu dieser Entwicklung seine Online-Kontrollen intensiviert.
Dabei hat sich wiederholt die Verwundbarkeit gegenüber unbefugten Datenzugriffen, Datenveränderungen und Beeinträchtigungen der Verfügbarkeit oder Funktionsfähigkeit von Verfahren ergeben, in einem Fall war ein im Länderverbund entwickeltes Verfahren betroffen. Kritisch ist in diesem Zusammenhang anzumerken, dass die vorliegende Schwachstelle im Entwicklungsverbund bekannt war, die Notwendigkeit geeigneter, landesseitiger Vorkehrungen bei der Übernahme des Verfahrens durch Rheinland-Pfalz jedoch nicht thematisiert wurde.
U.a. folgende beispielhafte Verfahren waren von Schwachstellen betroffen:
- Gemeinsames Internetangebot von Stellen mehrerer Bundesländer.
Die Stellen mehrerer Bundesländer bedienten sich für den Betrieb ihres Internetangebots eines von der koordinierenden Verwaltung beauftragten privaten Dienstleisters. Eine Klärung der in administrativer Hinsicht zu erbringenden Betriebsleistungen war nicht erfolgt.
Aufgrund fehlerhaft gesetzter Zugriffsrechte bestand die Möglichkeit, über das Internet auf Protokolldaten zuzugreifen. Der unbefugte Zugriff gründete darauf, dass eine manipulierte Internetadresse angegeben und damit aus dem für die Benutzer vorgesehenen Bereiche ausgebrochen werden konnte (sog. Directory-Traversal). Im Ergebnis war das Herunterladen von Zugriffsdaten im Gesamtvolumen von etwa 300 MB/1.600 Druckseiten möglich. Betroffen waren die Daten mehrerer Länder sowie des Bundes.
- Internetbasierte Registeranwendung
Bei einer Registeranwendung war es aufgrund der fehlenden Filterung der benutzerseitigen Eingaben möglich, ohne gültige Benutzerkennung und ohne Kenntnis eines Passworts auf die Registerdaten zuzugreifen. Durch die Eingabe einer bestimmten Zeichenfolge in der Ameldemaske des Verfahrens wurde die vorgesehene Passwortprüfung ausgehebelt und der Zugang zur Registerdatenbank eröffnet (sog. SQL-Injection).
- Mailserver mit internetbasiertem Zugang (Outlook Web Access)
Aufgrund der mangelhaften Konfiguration des Systems konnten erfolgreich sog. „Wörterbuch- bzw. Brute-Force-Attacken" durchgeführt werden. Dabei wurden automatisiert und systematisch eine Vielzahl möglicher Kombinationen aus Benutzerkennungen und Passworten ausprobiert. Auf diese Weise wurden in ca. 15 Fällen gültige Zugangsdaten ermittelt. Dadurch war es möglich, auf die Postein- und -ausgangsfächer zuzugreifen und unter vertrauenswürdigen Absenderadressen vorgetäuschte E-Mails zu versenden. Weiterhin war es grundsätzlich möglich, einen administrativen Zugang und damit die Kontrolle über das Verfahren zu erhalten.
Landtag Rheinland-Pfalz 15. Wahlperiode Drucksache 15/1764
Bedeutsam ist in diesem Zusammenhang, dass die jeweiligen Schwachstellen zumeist in den Anwendungen selbst bestanden und damit von gängigen Sicherheitsvorkehrungen auf Netzebene (Adress-, Dienste- und Portfilterung, Netzsegmentierung) nicht abgedeckt wurden. Weitere Ursachen lagen im Bereich der Administration bzw. Konfiguration der Systeme. Insbesondere dort, wo kein systematisches Härtungs- und Überwachungskonzept verfolgt wurde, wurden Angriffe erleichtert. Ein grundsätzliches Problem war nach den Erkenntnissen des LfD, dass benutzerseitige Eingaben vielfach ungefiltert bzw. unzureichend gefiltert an die jeweilige Anwendung weitergereicht wurden und über die Eingabe geeigneter Zeichenfolgen vorhandene Sicherheitsmechanismen umgangen werden konnten.
Es hat sich als Problem erwiesen, dass das Sicherheitsniveau der Fachverfahren der Einwirkung des technischen Betreibers weitgehend entzogen ist. Dieser hat bei Kenntnis der Schwachstellen u.U. begrenzte Möglichkeiten diese auszugleichen.
Entsprechende Vorkehrungen müssen jedoch primär im Rahmen der Verfahrensentwicklung getroffen werden und liegen damit in erster Linie in der Verantwortung der die Entwicklung beauftragenden Verwaltung. Durch betriebsseitige Sicherheitsmaßnahmen oder Sicherheitsmechanismen der jeweiligen Verfahrensplattform können Defizite nur zum Teil ausgeglichen werden.
Die Feststellungen zeigen, dass bei E-Government-Anwendungen Sicherheitsaspekte gezielt auf Anwendungs-, System- und Netzebene zu betrachten sind. Die Öffnung von Verwaltungsverfahren für Zugriffe aus dem Internet führt zu Angriffsszenarien, für welche netzseitig getroffene Sicherheitsmaßnahmen vielfach nicht ausgelegt sind. Nach Auffassung des LfD sollte daher im Rahmen der Verfahrensentwicklung eine Risikobetrachtung durchgeführt werden, die die Berücksichtigung entsprechender Sicherheitsmaßnahmen in der Entwicklung oder für den Betrieb gewährleistet. Vergleichbar der Untersuchung zur EGovernment-Tauglichkeit von Verwaltungsverfahren, wie Sie im Rahmen des Aktionsplans der Landesregierung erfolgt, sollten auch die notwendigen Sicherheitsaspekte methodisch und entwicklungsbegleitend bedacht werden (Pflichtenheft „Verfahrenssicherheit", Sicherheitsevaluation, E-Government-Leitlinien).
Die Öffnung von Verwaltungsverfahren gegenüber dem Internet zwingt dazu, Sicherheitsaspekte bereits frühzeitig im Rahmen der Anwendungsentwicklung zu berücksichtigen; eine nachgelagerte Filterung während des Betriebs ist vielfach nur bedingt in der Lage, Angriffen auf Anwendungsebene vorzubeugen.
Deutsches Verwaltungsdienste-Verzeichnis (DVDV)
Das DVDV bildet eine fach- und ebenenübergreifende Infrastrukturkomponente für das E-Government in Deutschland.
Grundlage des DVDV ist ein Verzeichnisdienst, in dem Behörden des Bundes und der Länder mit ihren Diensten aufgenommen werden können. Auskunftssuchende und Nutzer des DVDV sind Fachverfahren, die über die im DVDV enthaltenen Angaben die jeweiligen Dienste ansprechen können. Das DVDV wird durch die BIT betrieben.
Die Datenpflege der DVDV-Einträge obliegt den einzelnen Ländern. Sie erfolgt über entsprechende Pflegeclients direkt auf dem Bundesmaster bei der BIT. Die Abfrage von DVDV-Einträgen erfolgt landesseitig jeweils bei einem Landesmaster, dessen Datenbestand sich über eine Teilreplikation des Bundesmasters ergibt. In der gegenwärtigen Anlaufphase ist auf dem DVDVBundesmaster je beteiligtem Land eine Zugangskennung eingerichtet, eine weitere Differenzierung nach zugreifenden Stellen innerhalb der Länder erfolgt nicht. Soweit daher auf Landesebene mehrere Stellen DVDV-Einträge pflegen, können diese schreibend auch auf die Einträge der jeweils anderen Stellen zugreifen. Die Zahl der unter einer Landeskennung zugreifenden Stellen richtet sich meist nach der Anzahl der im Land eingesetzten Intermediäre. Aufgrund der bestehenden Strukturen in Rheinland-Pfalz kommt hier lediglich ein Intermediär zum Einsatz, der sowohl von staatlicher als auch von kommunaler Seite genutzt wird. Die Vereinbarung zur Datenpflege sieht vor, dass die DVDV-Einträge von je einer Stelle für das Land bzw. die Kommunen gepflegt werden.
Hinsichtlich der diskutierten Datenschutz- und Sicherheitsaspekte ist das Verwaltungsdiensteverzeichnis aus Sicht des LfD vergleichbar dem Domain Name Service als Strukturkomponente zu bewerten, die grundsätzlich keine personenbezogenen Daten bereithält. Mit Blick auf bestimmte Szenarien, bei welchen die Kompromittierung derartiger Komponenten Grundlage weitergehender Angriffe ist, betont er gleichwohl die Notwendigkeit, eine angemessene Zugangskontrolle und Nachvollziehbarkeit der DVDV-Nutzung zu gewährleisten. Die dauerhafte Nutzung einer Sammelkennung je Land erscheint in diesem Zusammenhang, jedenfalls bei einer größeren Zahl darunter agierender Stellen, problematisch.
Nutzung von Google-Toolbar und Google-Desktop, Löschung von Google-Einträgen
Die vom Suchmaschinenbetreiber Google angebotenen Dienste waren mehrfach Gegenstand von Anfragen an den LfD. Dabei wurde insbesondere die datenschutzrechtliche Bewertung der „Google-Toolbar" bzw. des Programms „Google-Desktop" nachgefragt.