VI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2001 - 31.03.2003
7.3 Fortschritte beim Sicherheitskonzept für das Landesnetz (ITN-LSA)
Seit 1995 (III. Tätigkeitsbericht, Ziff. 8.2.2) hat sich der Landesbeauftragte wiederholt kritisch zum fehlenden Gesamtsicherheitskonzept für das bereits am 14. Oktober 1993 eingerichtete ITN-LSA geäußert.
Noch im März 2001 musste der Landesbeauftragte in seinem V. Tätigkeitsbericht (Ziff. 6.3) berichten, dass ihm kein prüffähiges Gesamtsicherheitskonzept für das ITN-LSA zur Stellungnahme vorlag, obwohl seit der Inbetriebnahme fast 8 Jahre vergangen waren.
Das Erstaudit einer Sicherheitsuntersuchung erfolgte am 09.05.2001 und hatte eine Gültigkeit bis zum 31.07.2002. Die in Auftrag gegebene Sicherheitsuntersuchung des Landesnetzes wurde mit der Übergabe des Erst-Zertifikates am 29.11.2001 erfolgreich abgeschlossen.
Gegenstand der Zertifizierung waren zwei wesentliche Sicherheitsziele:
Bereitstellung zentraler Kommunikationsdienste
sehr hohe Verfügbarkeit der Transportfunktionalität des Netzes.
Im Januar 2003 informierte das Ministerium des Innern den Landesbeauftragten über das erfolgreich durchgeführte Folgeaudit vom 28.11.2002. Dieses Zertifikat ist bis zum 31.12.2003 gültig. Der vollständige Auditbericht liegt dem Landesbeauftragten vor. Er geht davon aus, dass die im aktuellen Auditbericht noch aufgezeigten Mängel zeitnah beseitigt werden und er entsprechend unterrichtet wird.
Allerdings ist festzuhalten, dass die Erteilung des Zertifikats auf der Grundlage der Überprüfung nach der internen Richtlinie DOT-07 ("Zertifizierung von Organisation und Technik") der T-Systems ISS GmbH Bonn erfolgte.
Deshalb regt der Landesbeauftragte an, die Möglichkeiten der zukünftigen Zertifizierung des Landesnetzes bzw. einzelner ausgewählter Komponenten zur Abgrenzung des Evaluationsgegenstandes gemäß den international gültigen Common Criteria durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfen zu lassen, auch wenn damit wesentlich höhere Kosten verbunden sein könnten.
Die Sicherheit beim Einsatz modernster Informations- und Kommunikationstechnik darf nicht aus Kostengründen vernachlässigt werden. Nur durch einen hohen Sicherheitsstandard und dessen regelmäßiger Überprüfung durch gesetzlich dafür bestimmte Institutionen wie das BSI wird dem Auftrag in § 1 Abs. 1 DSG-LSA langfristig Rechnung getragen, eine Beeinträchtigung des Persönlichkeitsrechts der Bürgerinnen und Bürger durch den Umgang öffentlicher Stellen mit ihren personenbezogenen Daten zu verhindern.
Die bereits vorhandenen einzelnen Dokumente zur Sicherheitspolitik des ITN-LSA sollten in ein Gesamtsicherheitskonzept einfließen, welches auch die besonderen Anforderungen der Datensicherheit für die Verarbeitung personenbezogener Daten nach § 6 Abs. 2 DSG-LSA berücksichtigt. Ein solches Gesamtkonzept sollte ein zentrales Thema für die zukünftige Arbeit im IT-KA zur Ausarbeitung von IT-Standards sein.
Mit der Festlegung einer verbindlichen Sicherheitspolitik und den entsprechend einzuhaltenden Sicherheitsstandards für alle Teilnehmer im ITN-LSA muss die längst fällige Überarbeitung der IT-Grundsätze vom 01.06. 1992 (MBl. LSA S. 805) sowie des sog. Netz-Erlasses zum ITN-LSA vom 07.02.1994 (MBl. LSA S. 1251) erfolgen.
Die Ressorts haben im Rahmen ihrer Rechtsverantwortung nach §§ 14 Abs. 1 i.V.m. 6 Abs. 2 DSG-LSA für sich und ihren nachgeordneten Bereich weitere Schutzvorkehrungen bei der Verarbeitung personenbezogener Daten zu treffen, wenn dies die besondere Qualität der personenbezogenen Daten erfordert, wie z.B. bei personenbezogenen Daten, die besonderen gesetzlichen Geheimhaltungsbestimmungen unterliegen (Sozialdaten, medizinische Daten, Steuerdaten) sowie anderen personenbezogenen Daten besonderer Art (§ 2 Abs. 1 Satz 2 DSG-LSA).
Das ITN-LSA stellt insofern "nur" ein Transportsystem mit einem definierten Sicherheitsstandard dar.