6.3 Fehlendes Sicherheitskonzept für das Landesnetz (ITN-LSA)

Bereits im März 1995 (vgl. II. Tätigkeitsbericht S. 37) hatte der Landesbeauftragte auf das fehlende, bis heute noch nicht vorliegende Sicherheitskonzept für das ITN-LSA hingewiesen. Ab September 1995 wurde vom Netzbetreiber die verschlüsselte Datenübertragung von Sozialdaten im Landesnetz in den Regelbetrieb überführt.

Im März 1997 stellte der Landesbeauftragte in seinem III. Tätigkeitsbericht (vgl. S. 31 f) fest, daß das Ministerium des Innern nicht über einen Entwurf für das Sicherheitskonzept hinausgekommen war. Allerdings wurde für den Anschluß des ITN-LSA an das Internet die Zertifizierung der eingesetzten Firewalltechnik vorbereitet, die ein wesentlicher Bestandteil des Gesamtsicherheitskonzeptes für das Land sein sollte. Die Zertifizierung sollte durch das BSI erfolgen. Dabei kam es durch das starke Engagement des Herstellers der Firewallsoftware bei der Einführung des Informationsverbundes Bonn-Berlin (IVBB) zu einer erheblichen Verzögerung. Die spätere Grundsatzentscheidung des Ministeriums des Innern, eine weitere Verzögerung bei der Ausarbeitung des Sicherheitskonzepts zugunsten einer höherwertigen Zertifizierung in Kauf zu nehmen, wurde auch vom Landesbeauftragten mitgetragen.

Im März 1999, beim Abschluß des IV. Tätigkeitsberichtes, begründete die Landesregierung das weitere Fehlen eines Sicherheitskonzepts für das ITN-LSA mit personellen Engpässen beim Ministerium des Innern.

Auch im März 2001 liegt dem Landesbeauftragten kein prüffähiges Sicherheitskonzept für das ITN-LSA vor. Dabei wäre dies - angesichts der vielfältigen Aktivitäten der Landesverwaltung im Internet bzw. auf dem von seiten der Politik propagierten Weg in die sog. „Informationsgesellschaft” dringender erforderlich denn je.

Für die Nutzung der von der Landesregierung so gerne als modernen Kommunikationsweg herausgestellte „Datenautobahn” muß es Verkehrsregeln geben! Im übrigen steht die Landesregierung unter den gesetzlichen Forderungen des § 6 DSG-LSA.

Aus den Protokollen der regelmäßig stattfindenden Netzberatungen im TPA hat der Landesbeauftragte entnehmen können, daß das Ministerium des Innern mit der Telekom AG im Dezember 2000 die Erstellung eines Sicherheitskonzepts für das ITN-LSA vereinbart hat. Das ist nach langer Zeit eine gute Nachricht. Allerdings fehlt bisher dem Landesbeauftragten die dazu gesetzlich vorgeschriebene umfassende Information durch die Landesregierung (§ 22 Abs. 4 Satz 2 DSG-LSA).

Für bedenklich hält der Landesbeauftragte die Tatsache, daß in den News-Gruppen des Intranets die zum Teil vertraulichen Informationen zu Sicherheitsfragen des Landesnetzes für jeden Intranet-Nutzer abrufbar sind. Bereits da muß eigentlich schon das Sicherheitskonzept des ITN-LSA einsetzen. Detaillierte Informationen zur Struktur und den Diensten sollten nur einem begrenzten Personenkreis zugänglich sein. Eine allgemeine Information der Ressorts im IMA-IT zur Entwicklung des Landesnetzes dürfte ausreichend sein.

Ziel muß es nun sein, daß das Ministerium des Innern schnellstmöglich dieses Sicherheitskonzept für das ITN-LSA einschließlich der Regelungen zur Nutzung der Internetdienste ausarbeitet, mit den anderen Ressorts abstimmt und bis zum Jahresende auf dem Erlaßwege für die Landesverwaltung verbindlich festlegt.

Als ein positives Beispiel ist das „Sicherheitskonzept Kommunikation NRW” vom 25.01.2000 (MBl. NRW S. 152) des Landes Nordrhein-Westfalen zu nennen.

Ein solches Konzept kann ohnehin nur Mindestsicherheitsstandards festlegen. Die Ressorts haben im Rahmen ihrer eigenen Rechtsverantwortung nach § 14 Abs. 1 in Verbindung mit § 6 Abs. 2 DSG-LSA für sich und ihren nachgeordneten Bereich weitere Schutzvorkehrungen bei der Verarbeitung personenbezogener

Daten zu treffen, wenn dies die Sensibilität der personenbezogenen Daten, die Einsatz- und Verarbeitungsbedingungen sowie das damit verbundene Gefährdungspotential zur Sicherung schutzwürdiger Interessen der Betroffenen erfordern.

Für notwendig hält der Landesbeauftragte auch die Schaffung eines ständigen Gremiums, das sich mit der zukünftigen konzeptionellen Gestaltung der IT-Sicherheit und der Fortschreibung des Sicherheitskonzepts des ITN-LSA unter den sich immer schneller verändernden Bedingungen in der IT-Entwicklung auseinandersetzt.

Der Landesbeauftragte verweist im Rahmen seines gesetzlichen Beratungsauftrages auch auf die aktuelle Broschüre zum Thema „Datenschutz bei der Nutzung von Internet und Intranet” (Redaktionsschluß 15.12.2000). Sie wurde vom Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder erstellt und vom Landesbeauftragten an die Landesverwaltung und die Kommunen verteilt. Der Text ist auch auf der Homepage des Landesbeauftragten im Intranet und Internet eingestellt und so für jedermann online verfügbar.