VI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2001 - 31.03.2003
7.5 Neues IP- und Routingkonzept im ITN-LSA
Der Landesbeauftragte erinnert in diesem Zusammenhang an seine grundlegenden Ausführungen im III. Tätigkeitsbericht (Ziff. 8.1 f) zum Thema Vernetzung bzw. Herstellung neuer Kommunikationsbeziehungen.
In seinem V. Tätigkeitsbericht (Ziff. 6.1) hatte der Landesbeauftragte über die Erneuerung der Netzknotentechnik (Ablösung der ASCOM-Knotentechnik) in Verbindung mit dem Konzept zur Umstellung auf ein dynamisches Routing im Backbone-Bereich des ITN-LSA informiert. Die Erneuerung der Netzknotentechnik (Einsatz von DATUS-Knotentechnik) ist nun im Wesentlichen abgeschlossen.
Das z.Zt. noch praktizierte IP-Konzept entstand 1992 im Zusammenhang mit dem Aufbau des ursprünglichen ITN-LSA auf Basis der ASCOM-Knotentechnik. Durch die Verwendung vorwiegend statischer Routen wurde die Administration im Zusammenhang mit dem Anwachsen der Verwaltung, des Internetverkehrs und der zunehmenden Routerzahl extrem komplex und aufwendig.
Das Land Sachsen-Anhalt hatte damals im Zuge des Aufbaus des ITN-LSA vom DENIC, der Deutschen Vergabestelle für IP-Adressen, die international gültige Class B Adresse 164.133.0.0 zugewiesen bekommen.
Die Adresse wurde durch den Betreiber des ITN-LSA, das Technische Polizeiamt Magdeburg (TPA), in Subnetze (Class C) aufgeteilt und an die Teilnehmer des Netzes auf Antrag vergeben.
Zum gegenwärtigen Zeitpunkt sind fast alle Class C Netze (ca. 250 insgesamt) im Netzwerk 164.133.0.0 vergeben.
Daher mussten seitens des Netzbetreibers Maßnahmen ergriffen werden, um weiterhin IP-Adressen zur Verfügung stellen zu können.
Neues IP-Konzept
Zur Lösung des Problems hat sich das TPA in Abstimmung mit dem Ministerium des Innern für die Verwendung (Routing) von nicht offiziellen IP-Adressen im ITN-LSA in Verbindung mit der Umsetzung eines sog. Core-Router-Konzeptes entschieden.
Diese Lösung bietet neben der Erlangung ausreichender IP-Adressen die Möglichkeit für eine sukzessive systematische IP-mäßige Neustrukturierung des ITN-LSA. Derzeitig ist das ITN-LSA nach außen gegenüber dem Internet nur mit zwei IP-Netzen bekannt. Dies soll aus Sicherheitsgründen so bleiben.
Innerhalb des ITN-LSA ist es gleichgültig, welche IP Adressen verwendet werden. Wichtig ist dabei, dass an allen Übergängen zu anderen Fremdnetzen nur die Netzadresse 164.133.xxx.xxx des ITN-LSA sichtbar ist.
Einsatz von sog. Core-Routern
Mit Aufstellung der Core-Router und Einführung des dynamischen Routings über das dynamische Routingprotokoll OSPF (Open Shortest Path First – "kürzester Weg zuerst") werden neue IP Nummernkreise eingeführt. Dazu werden im Land Sachsen-Anhalt entsprechende OSPF-Sektoren eingerichtet. Jeder Sektor gehört zu einer sog. OSPF-Area.
Damit wird es möglich, ein "Sammelrouting" einzuführen. Vorteile dieser Methode liegen in der Verringerung der Anzahl der zu verwaltenden Routen, in der Vereinfachung der Fehlersuche und somit der schnelleren Fehlererkennung und Beseitigung. Insgesamt entsteht für das ITN-LSA eine übersichtliche IP-Struktur.
Ein Router einer Lokation braucht dann nur noch eine Defaultroute zum nächstgelegenem Core-Router zu kennen.
Der Administrationsaufwand in den einzelnen Lokationen und Ressorts wird ebenfalls erheblich verringert. Veränderungen bei Netzadressen werden automatisch bekannt gemacht.
Datenschutzrechtliches Fazit
Die vorgenannten Veränderungen unterstützen in gewissem Umfang auch die in § 6 Abs. 2 DSG-LSA genannten Ziele der Datensicherheit (Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz).
Aus datenschutzrechtlicher Sicht bringt aber die Einführung des dynamischen Routings (OSPF) auch Probleme mit sich. So führt die Einführung dazu, dass alle Netze im gesamten ITN-LSA bekannt werden. Damit wäre theoretisch die Kommunikation "jeder mit jedem" bei automatischer Routenwahl möglich.
Unter Berücksichtigung der Rechtsverantwortung nach § 14 Abs. 1 DSG-LSA sind aber im Sinne eines vorgelagerten Grundrechtsschutzes nach den Anforderungen des Bundesverfassungsgerichtes (BVerfGE 65,1) insbesondere die Grundsätze der Verhältnismäßigkeit und der Zweckbindung bei der Herstellung von Kommunikationsbeziehungen zu beachten. Daraus folgt, die Herstellung neuer Kommunikationsbeziehungen (z.B. durch Routing) ist nur zulässig, wenn sie zur Erfüllung konkreter Verwaltungsaufgaben erforderlich ist. Auch sind die Zweckbindung bei der Erhebung und Verarbeitung personenbezogener Daten und der Grundsatz der informationellen Gewaltenteilung zu berücksichtigen. Deshalb müssen die Erforderlichkeit und das Risiko einer Zusammenführung personenbezogener Daten aus verschiedenen Quellen, auch bei der Einführung neuer Technologien wie dem dynamisches Routing, rechtzeitig abgewogen werden.
Deshalb regt der Landesbeauftragte an, die IT-Verantwortlichen in allen Bereichen über die Folgen zu informieren und hinsichtlich der aufgezeigten datenschutzrechtlichen Problematik zu sensibilisieren.
Das betrifft insbesondere die Abschottung der lokalen Netze der Ressorts und der übrigen öffentlichen Stellen als Teilnehmer am Landesnetz (ITN-LSA), wenn darin die automatisierte Verarbeitung personenbezogener Daten stattfindet.
Es ist nicht nur davon auszugehen, dass "Außentäter" über das Internet versuchen, Zugang zum ITN-LSA zu erlangen, sondern es muss auch die Problematik der "Innentäter" gesehen und durch entsprechende Schutzmaßnahmen deren unbefugtes Eindringen in fremde Behördennetze verhindert werden.
In diesem Zusammenhang sind entsprechend umgesetzte Passwortrichtlinien schon ein guter Schutz. Passwörter sollten auch Ziffern und Sonderzeichen enthalten und eine entsprechende Mindestlänge von 6 bis 8 Zeichen besitzen, bei mehrmaliger Fehleingabe muss die Kennung gesperrt werden. Keine Verwendung vordefinierter Nutzerkennungen, wie z.B. "Gast" oder "Admin", keine Verwendung von Trivialpasswörtern.
Den genannten Gefährdungen soll durch den Einsatz von virtuellen privaten Netzen (VPN - Virtual Private Network) auf Basis von IPSec (IPSecurity) begegnet werden. So wird sichergestellt, dass nur die füreinander bestimmten Partner mit einander in Verbindung treten können. Daten werden über diese Verbindungen nur verschlüsselt gesendet.
Die Verschlüsselung erfolgt über das sog. ESP-Protokoll (Encapsulating Security Payload).
Für die Verschlüsselung kennt IPSec zwei Betriebsmodi: Transportmodus und Tunnelmodus.
Im Transportmodus wird ausschließlich der Datenteil (Nutzungsdaten) des IP-Pakets verschlüsselt. Die anderen Teile der Nachricht (IP-Header) bleiben unverändert.
Im Tunnelmodus hingegen wird das gesamte IP-Paket vor der Übertragung verschlüsselt und mit einem neuen IP-Header versehen, der die Daten für den Zielknoten enthält. Diese Variante wird dann auch als VPN bezeichnet.
Der Landesbeauftragte hält, sichere Verschlüsselungsalgorithmen und ausreichende Schlüssellängen vorausgesetzt (symmetrisch; 128 Bit), den Einsatz von VPN für eine geeignete Maßnahme der Datensicherheit zur Übermittlung personenbezogener Daten im ITN-LSA.