Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Transkript

1 Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

2 Sind Systemadministratoren ein allgemeines IT-Sicherheitsrisiko? Ja, sie sind es. Diese Antwort ist ebenso provokativ wie einleuchtend und hat überhaupt nichts mit der persönlichen Zuverlässigkeit der betreffenden Kolleginnen und Kollegen zu tun. Sie sind nämlich deshalb ein allgemeines Sicherheitsrisiko, weil die Betriebssysteme sie nicht ausreichend schützen. Auch diese Behauptung bedarf der Erläuterung. Warum muss ein Betriebssystem einen Administrator schützen und warum führt ein Schutzdefizit in diesem Bereich zu Sicherheitsrisiken? Dazu muss man sich zunächst die sicherheitstechnische Bedeutung der Betriebssysteme und der so genannten systemnahen Software vor Augen führen. Diese Software steuert alle sicherheitstechnischen Komponenten eines IT-Systems. Auf der Betriebssystemebene können alle Sicherheitsmaßnahmen, die auf der Applikationsebene implementiert worden sind, überlagert, also auch außer Kraft gesetzt werden. Es können z. B. Zugriffsberechtigungen und Änderungsrechte vergeben werden, Protokollierungen und Verschlüsselungen können aufgehoben und Datenbestände inhaltlich verändert/gelöscht werden. Außerdem sind für das Betriebssystem alle Datenbestände offen. Grundsätzlich kann all dies geschehen, ohne dass man Fingerabdrücke hinterlässt. Wer kann dies tun? Jeder, der ein Zugriffsrecht auf die Betriebssystemebene eines IT-Systems hat, also aufgabenbedingt jeder Administrator! Weil nun keines der gängigen Betriebssysteme, die in der öffentlichen Verwaltung eingesetzt werden, über die Funktion einer revisionsfesten Zwangsprotokollierung der Administratoraktivitäten verfügt, kann im Falle einer Nutzung des Systems zu unlauteren Zwecken der Systemadministrator sich nicht unter Hinweis auf den Nachweis seiner korrekten Arbeitsweise in den Protokollen aus dem Kreis der Verdächtigen ausschließen. Er gehört immer dazu und wegen seiner weitreichenden Befugnisse und umfassenden Kenntnisse an vorderster Stelle.

3 - 3 - Deshalb tun Administratoren gut daran, sich selbst als Sicherheitsrisiko zu betrachten, jeden und insbesondere die Behördenleitung davon in Kenntnis zu setzen und Maßnahmen zu fordern, die sie von dieser Bürde wenn nicht befreien, zumindest aber entlasten können. Unter diesem Aspekt haben nicht nur die Administratoren ein Problem, sondern auch die Verantwortlichen in den Behörden! 2. Die Reaktion des Gesetzgebers auf das Problem Sicherheit bei der Systemadministration Das Datenschutzrecht gilt zwar sowohl für die konventionellen als auch für die automatisierten Formen der personenbezogenen Datenverarbeitung. Die Schwierigkeiten mit dem korrekten Umgang mit Computern haben jedoch von Anfang an ihren besonderen Niederschlag in den Datensicherheitsbestimmungen gefunden. Im schleswig-holsteinischen Datenschutzrecht sind daher folgende Regelungen im Hinblick auf die Anforderungen an die Systemadministration als einschlägig anzusehen: 2.1 Pflicht zur Authentifizierung der Administratoren und der Benutzer der IT-Systeme ( 6 Abs. 1 LDSG) Nur wenn Unbefugte daran gehindert werden, das IT-System zu aktivieren, sind unzulässige Administrationsaktivitäten zu unterbinden (z. B. das Einschleusen von Würmern und Trojanern). 2.2 Pflicht zur Abgrenzung der Administrationsebene von der Benutzerebene ( 6 Abs. 2 Satz 1 LDSG). Administratoren dürfen Software ändern, Benutzer dürfen sie nur aktivieren.

4 Abwehr der unbefugten Kenntnisnahme und Verarbeitung von Daten durch Administratoren ( 5 Abs. 1 Satz 2 Nr. 2 LDSG) Die Brisanz macht folgendes Beispiel deutlich: Darf ein Polizei- bzw. Gefängnisarzt die Administration seines IT-Systems durchführen lassen, ohne dem Administrator dabei über die Schulter zu schauen? Müsste nicht der Arzt als Administrator registriert sein und das System für den tatsächlichen Administrator im Einzelfall freischalten? 2.4 Die Arbeit der Systemadministratoren ist zu kontrollieren ( 6 Abs. 2 Satz 2 LDSG) In Anbetracht der sicherheitstechnischen Tragweite der Aktivitäten von Systemadministratoren haben sie einen Anspruch darauf, dass sie durch regelmäßige Kontrollen der Korrektheit ihrer Arbeit von der Alleinverantwortung entlastet werden. Wie das zu geschehen hat, lässt der Gesetzgeber allerdings offen. 2.5 Alle automatisierten Verfahren sind durch die Administratoren zu dokumentieren ( 3 DSVO) Die eingesetzten Programme und ihre Beziehungen zueinander sind darzustellen. Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. 2.6 Für jedes Verfahren haben die Administratoren ein Sicherheitskonzept zu erstellen ( 6 Abs. 1 DSVO) Es ist darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen Gegebenheiten getroffen wurden, um die Datensicherheit zu gewährleisten.

5 Für besonders sensible Verfahren sind von den Administratoren Risikoanalysen anzufertigen ( 6 Abs. 2 DSVO) In den Risikoanalysen ist zu beschreiben, welche Sicherheitsrisiken aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Sicherheitsmaßnahmen ausgeschlossen werden können. 2.8 Administratoren dürfen nur freigegebene Verfahren in Produktion gehen lassen ( 5 Abs. 2 Satz 2 LDSG i.v.m. 7 DSVO) Nicht der Administrator trägt die Verantwortung für die Korrektheit eines automatisierten Verfahrens, sondern das Behördenmanagement, das auch für entsprechende Tests zu sorgen hat. Der Administrator trägt allerdings die Verantwortung dafür, dass keine nicht freigegebene Software zum Einsatz gelangt. 2.9 Die Administratoren haben einen korrekten Konfigurationsplan zu erstellen und ihn fortzuschreiben ( 8 Abs. 1 DSVO) Hardware, die nicht im Konfigurationsplan bzw. Geräteverzeichnis registriert ist, darf nicht genutzt werden Die offiziell einsetzbare Software ist von den Administratoren in einem Verzeichnis zu erfassen ( 8 Abs. 2 DSVO) Nicht registrierte Software ist zu deaktivieren, weil sie nach dem Willen der Behörde offensichtlich nicht genutzt werden soll.

6 Es ist von den Administratoren zu dokumentieren, für welche Mitarbeiter welche Nutzungsrechte freigeschaltet worden sind ( 8 Abs. 4 DSVO) Die Dokumentation muss für Dritte lesbar sein, die Darstellung der Systemparameter reicht nicht. Die Historie der Zugriffstabellen ist fünf Jahre aufzubewahren Die Administratoren haben ein Verzeichnis zu führen, aus dem hervorgeht, wer von ihnen von wann bis wann welche Administrationsrechte hatte ( 8 Abs. 5 Satz 1 DSVO) Auch hierfür gilt eine fünfjährige Aufbewahrungsfrist Es ist von den Administratoren ein Systemlogbuch zu führen ( 8 Abs. 5 Satz 2 DSVO) Es muss Aussagen enthalten über - den Zeitpunkt der ändernden Zugriffe, - die Gründe hierfür, - die veranlassende und die ausführende Person, - die Art der Änderung und - den Zeitpunkt der Kontrolle des Logbuches und die kontrollierende Person. (Ausnahmen bei einem eigenverantwortlichen Betrieb eines IT-Systems)

7 Checkliste für den Bereich der Systemadministration (erste Annäherung) Welche Mitarbeiter haben Administrationsrechte? Wer erteilt die Rechte? Gibt es Super-Administratoren? Sind ihre Pflichten in einer Dienstanweisung definiert? Wer hat ggf. die Dienstanweisung erlassen? Erfolgt (auch) eine Administration durch externe Dienstleister (z.b. Dataport)? Besteht hierüber eine schriftliche Vereinbarung? Wer kontrolliert die Externen? Haben vorgesetzte Behörden Administrationsrechte? Wer ist berechtigt, den Administratoren Weisungen zu erteilen? Gibt es Administratoren, die gleichzeitig Benutzer sind? Wie wird zwischen diesen Funktionen differenziert? Wie wird konkret verhindert, dass normale Benutzer auf die Administrationsebene gelangen? Beherrschen die Administratoren auf Grund ihrer Ausbildung das von ihnen zu betreuende IT-System (Ausbildungskonzept, Zertifikat)? Können die Administratoren in dieser Funktion Inhalte von Datenbeständen zur Kenntnis nehmen?

8 - 8 - Wem ist die Kontrolle der Administratoren übertragen? Verfügt der Kontrolleur über die hierfür erforderliche Fachkunde? Wer gibt automatisierte Verfahren zum Einsatz frei? Wo liegt die Verantwortungsgrenze zwischen übergeordneten und nachgeordneten Behörden in Bezug auf die Konfiguration von IT-Systemen? Gibt es Verfahren (bspw. Internetanbindung), die auf Weisung einer ü- bergeordneten Behörde eingesetzt werden? Gibt es Anweisungen über die Dokumentation der Verfahren? Gelten diese auch für Verfahren der allgemeinen Verwaltung (z. B. Personaldaten) und für den Einsatz von Bürokommunikationssoftware? Welchen Einfluss haben die allgemeinen Verwaltungsstandards auf die Arbeit der Administratoren und den Entscheidungsspielraum der Behördenleitung? Gibt es behördenspezifische Sicherheitskonzepte (z.b. in Bezug auf automatische Bildschirmschoner, private Datenbestände auf Festplatte, offene Devices wie USB-Sticks, CD-Rom, Floppy )? Wer hat festgelegt, welche automatisierten Abläufe als automatisierte Verfahren im Sinne der DSVO zu gelten haben (z. B. Mail, WWW, Textbearbeitung)? Ist die private Nutzung von IT-Systemen gestattet? Dürfen private IT-Systeme für dienstliche Zwecke genutzt werden?

9 - 9 - Dürfen mobile oder stationäre dienstliche Systeme außerhalb der Staatsanwaltschaft benutzt werden? Hat die Behördenleitung den Zugriff auf alle personenbezogenen Datenbestände, d.h. unter Umständen auch auf solche, die außerhalb der internen Systeme gespeichert sind? Kommen die Administratoren ihren Dokumentationsverpflichtungen nach? Wie werden Defizite auf dem Gebiet der Administration von der Behördenleitung bemerkt und beurteilt? Welche Bedeutung hat das System-Logbuch in der Praxis (wer führt es, wer kontrolliert es)? Wer außer den Administratoren selbst kann die Korrektheit ihrer Arbeit beurteilen? Wie beurteilen die Administratoren selbst die Sicherheit und Ordnungsmäßigkeit der von ihnen betreuten IT-Systeme und der darauf ablaufenden automatisierten Verfahren? Wie werden festgestellte Defizite von der Behördenleitung erfasst und die Abarbeitung veranlasst? Welche Rolle spielen in diesem Zusammenhang die behördlichen Datenschutzbeauftragten?