Ministerialblatt Nr. 56/1997 vom 23.12.1997
Datenschutzrisiken bei Computerdiebstählen
Bek. des Landesbeauftragten für den Datenschutz
vom 27.11.1997 . 3-15/3
Die polizeiliche Kriminalstatistik weist für das Jahr 1996 in Sachsen-Anhalt
insgesamt 930 Fälle von Computerdiebstählen bei öffentlichen
stellen aus.
In der überwiegenden Anzahl der öffentlichen Stellen des Landes
Sachsen-Anhalt werden inzwischen personenbezogene Daten automatisiert,
das heißt mittels Computertechnik verarbeitet, so daß bei einer
Vielzahl der Computerdiebstähle auch die darauf gespeicherten Daten
der Bürgerinnen und Bürger gefährdet sind.
Nach § 6 Abs. 1 des Gesetzes zum Schutz personenbezogener Daten
der Bürger (DSG-LSA) vom 12.3.1992 (GVBl. LSA S. 152), zuletzt geändert
durch § 16 Abs. 1 des Landesarchivgesetzes vom 28.6.1995 (GVBl. LSA
S. 190), haben öffentliche Stellen, die selbst oder im Auftrag personenbezogene
Daten verarbeiten oder nutzen, technische und organisatorische Maßnahmen
zu treffen, die erforderlich sind, um die Ausführung des DSG-LSA,
insbesondere die in § 6 Abs. 2 DSG-LSA genannten Anforderungen, zu
gewährleisten.
Mit dieser gesetzlichen Verpflichtung ist eine so hohe Zahl möglicher
Entwendungen nicht mehr vereinbar. Jede öffentliche Stelle, die dies
nicht beachtet, setzt sich der Gefahr aus, auch zivilrechtlich von betroffenen
Bürgerinnen und Bürgern auf Schadenersatz in Anspruch genommen
zu werden.
Der Landesbeauftragte verweist deshalb erneut auf die in seinen bisherigen
Tätigkeitsberichten zum technisch-organisatorischen Datenschutz gegebenen
Hinweise und gibt dazu folgende Empfehlungen:
- Besonders schützenswerte Bereiche, zum Beispiel Serverräume,
sollten in Abwägung der Bedrohungslage mit einer Alarmanlage gesichert
werden. Neben der Aufschaltung auf eine Polizeidienststelle oder ein privates
Wachschutzunternehmen (das nicht zwangsläufig auch eine Zugangsberechtigung
zu den Diensträumen haben muß) sollte in bewohnter Umgebung
auch die Möglichkeit der örtlichen Alarmsignalisierung mittels
optischer und akustischer Geräte in Erwägung gezogen werden.
- Der Zugang Unbefugter zu einem Dienstraum, in dem Informationstechnik
betrieben wird, sollte durch eine stabile Zugangstür mit Sicherheitsschloß
und bündig eingesetztem Schließzylinder, von außen nicht
abschraubbarer Schloßblende und Mehrfachverriegelung wirkungsvoll
erschwert werden. Serverräume sollten weder von außen durch
das Fenster noch durch ein Türschild im Inneren des Gebäudes
als solche erkennbar sein. Sichtschutzmaßnahmen sollten, insbesondere
bei ebenerdig gelegenen Diensträumen, die Einsichtnahme nach Dienstschluß
erschweren.
- Bei ebenerdig gelegenen Diensträumen mit automatisierter Datenverarbeitungstechnik
und großen und sensiblen personenbezogenen Datenbeständen müssen
auch die Fenster entsprechend gesichert werden (z. B. durch einbruchhemmendes
Glas).
- Moderne Netzwerk-Betriebssysteme bieten die Möglichkeit, den sensiblen
Datenbestand, einschließlich aller temporären Files, auf einen
Netzwerkserver zentral zu speichern, damit entfällt eine dezentrale
(lokale) Speicherung dieser Daten auf den Client-Systemen. Dieser Server
muß dann technisch gesondert gesichert werden.
- Das für den Fall eines Festplattendefektes erforderliche Backup-Verfahren,
in dem Verantwortlichkeiten, Termine, zu sichernder Datenbestand, Aufbewahrungsdauer
und Aufbewahrungsort der Datenträger festgelegt werden, ermöglicht
auch in Fällen eines PC-Diebstahls die Wiederherstellung der gestohlenen
Datenbestände. Empfehlenswert ist für die Aufbewahrung magnetischer
Datenträger ein einbruchs- und feuersicherer Datenschrank (Data-Safe)
mit mindestens 60 Minuten Feuerwiderstand (erkennbar an der Güteklasse
S 60 DIS oder höher). Wertschutzschränke erfüllen diese
Voraussetzung in der Regel nicht. Das Verfahren der Rückspeicherung
von Backup-Daten sollte erprobt worden sein.
- Bei vielen Computern besteht die Möglichkeit, den sensiblen Datenbestand
auf einer Wechselfestplatte zu speichern und diesen Datenträger täglich
nach Dienstschluß am Aufbewahrungsort für die Backup-Datenträger,
z. B. im Data-Safe, zu hinterlegen.
- Bei unvernetzt arbeitenden Computern, ergänzend auch bei Netzwerken,
falls die Netzwerkbetriebssysteme diese Sicherheitsfunktion nicht bieten,
sollte Sicherheitssoftware installiert sein, die die Funktionen
- Paßwortabfrage bei Login,
- Überwachung der Diskettenlaufwerke und Schnittstellen,
- Verhinderung unzulässiger Zugriffe auf geschützte Dateien
bzw. Verzeichnisse und
- gegebenenfalls eine Online-Verschlüsselung der Festplatte/bestimmter
schützenswerter Bereiche
ermöglicht.
Bei der Planung und Koordinierung der beabsichtigten Schutzmaßnahmen
ist das rechtzeitige Einbeziehen der oder des behördlichen Datenschutzbeauftragten
empfehlenswert.
Hinweise zur äußeren und inneren Absicherung von Gebäuden
und Räumen geben auch die Beratungsstellen der Kriminalpolizei.