Ministerialblatt Nr. 56/1997 vom 23.12.1997

Datenschutzrisiken bei Computerdiebstählen

Bek. des Landesbeauftragten für den Datenschutz
vom 27.11.1997 . 3-15/3

Die polizeiliche Kriminalstatistik weist für das Jahr 1996 in Sachsen-Anhalt insgesamt 930 Fälle von Computerdiebstählen bei öffentlichen stellen aus.

In der überwiegenden Anzahl der öffentlichen Stellen des Landes Sachsen-Anhalt werden inzwischen personenbezogene Daten automatisiert, das heißt mittels Computertechnik verarbeitet, so daß bei einer Vielzahl der Computerdiebstähle auch die darauf gespeicherten Daten der Bürgerinnen und Bürger gefährdet sind.

Nach § 6 Abs. 1 des Gesetzes zum Schutz personenbezogener Daten der Bürger (DSG-LSA) vom 12.3.1992 (GVBl. LSA S. 152), zuletzt geändert durch § 16 Abs. 1 des Landesarchivgesetzes vom 28.6.1995 (GVBl. LSA S. 190), haben öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten verarbeiten oder nutzen, technische und organisatorische Maßnahmen zu treffen, die erforderlich sind, um die Ausführung des DSG-LSA, insbesondere die in § 6 Abs. 2 DSG-LSA genannten Anforderungen, zu gewährleisten.

Mit dieser gesetzlichen Verpflichtung ist eine so hohe Zahl möglicher Entwendungen nicht mehr vereinbar. Jede öffentliche Stelle, die dies nicht beachtet, setzt sich der Gefahr aus, auch zivilrechtlich von betroffenen Bürgerinnen und Bürgern auf Schadenersatz in Anspruch genommen zu werden.

Der Landesbeauftragte verweist deshalb erneut auf die in seinen bisherigen Tätigkeitsberichten zum technisch-organisatorischen Datenschutz gegebenen Hinweise und gibt dazu folgende Empfehlungen:

  1. Besonders schützenswerte Bereiche, zum Beispiel Serverräume, sollten in Abwägung der Bedrohungslage mit einer Alarmanlage gesichert werden. Neben der Aufschaltung auf eine Polizeidienststelle oder ein privates Wachschutzunternehmen (das nicht zwangsläufig auch eine Zugangsberechtigung zu den Diensträumen haben muß) sollte in bewohnter Umgebung auch die Möglichkeit der örtlichen Alarmsignalisierung mittels optischer und akustischer Geräte in Erwägung gezogen werden.
  2. Der Zugang Unbefugter zu einem Dienstraum, in dem Informationstechnik betrieben wird, sollte durch eine stabile Zugangstür mit Sicherheitsschloß und bündig eingesetztem Schließzylinder, von außen nicht abschraubbarer Schloßblende und Mehrfachverriegelung wirkungsvoll erschwert werden. Serverräume sollten weder von außen durch das Fenster noch durch ein Türschild im Inneren des Gebäudes als solche erkennbar sein. Sichtschutzmaßnahmen sollten, insbesondere bei ebenerdig gelegenen Diensträumen, die Einsichtnahme nach Dienstschluß erschweren.
  3. Bei ebenerdig gelegenen Diensträumen mit automatisierter Datenverarbeitungstechnik und großen und sensiblen personenbezogenen Datenbeständen müssen auch die Fenster entsprechend gesichert werden (z. B. durch einbruchhemmendes Glas).
  4. Moderne Netzwerk-Betriebssysteme bieten die Möglichkeit, den sensiblen Datenbestand, einschließlich aller temporären Files, auf einen Netzwerkserver zentral zu speichern, damit entfällt eine dezentrale (lokale) Speicherung dieser Daten auf den Client-Systemen. Dieser Server muß dann technisch gesondert gesichert werden.
  5. Das für den Fall eines Festplattendefektes erforderliche Backup-Verfahren, in dem Verantwortlichkeiten, Termine, zu sichernder Datenbestand, Aufbewahrungsdauer und Aufbewahrungsort der Datenträger festgelegt werden, ermöglicht auch in Fällen eines PC-Diebstahls die Wiederherstellung der gestohlenen Datenbestände. Empfehlenswert ist für die Aufbewahrung magnetischer Datenträger ein einbruchs- und feuersicherer Datenschrank (Data-Safe) mit mindestens 60 Minuten Feuerwiderstand (erkennbar an der Güteklasse S 60 DIS oder höher). Wertschutzschränke erfüllen diese Voraussetzung in der Regel nicht. Das Verfahren der Rückspeicherung von Backup-Daten sollte erprobt worden sein.
  6. Bei vielen Computern besteht die Möglichkeit, den sensiblen Datenbestand auf einer Wechselfestplatte zu speichern und diesen Datenträger täglich nach Dienstschluß am Aufbewahrungsort für die Backup-Datenträger, z. B. im Data-Safe, zu hinterlegen.
  7. Bei unvernetzt arbeitenden Computern, ergänzend auch bei Netzwerken, falls die Netzwerkbetriebssysteme diese Sicherheitsfunktion nicht bieten, sollte Sicherheitssoftware installiert sein, die die Funktionen
    1. Paßwortabfrage bei Login,
    2. Überwachung der Diskettenlaufwerke und Schnittstellen,
    3. Verhinderung unzulässiger Zugriffe auf geschützte Dateien bzw. Verzeichnisse und
    4. gegebenenfalls eine Online-Verschlüsselung der Festplatte/bestimmter schützenswerter Bereiche

ermöglicht.

Bei der Planung und Koordinierung der beabsichtigten Schutzmaßnahmen ist das rechtzeitige Einbeziehen der oder des behördlichen Datenschutzbeauftragten empfehlenswert.

Hinweise zur äußeren und inneren Absicherung von Gebäuden und Räumen geben auch die Beratungsstellen der Kriminalpolizei.