VII. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2003 - 31.03.2005
12.2 Datensicherheit bei USB-Geräten
Öffentliche Stellen haben ihre Verarbeitung personenbezogener Daten nach § 6 Abs. 2 DSG-LSA so zu gestalten, dass Vertraulichkeit und Transparenz jederzeit gewährleistet sind.
Der Landesbeauftragte hat jedoch in letzter Zeit einen Trend in der Technikentwicklung beobachtet, der dies zumindest problematisch werden lässt. Während es bisher genügte, dem unautorisierten Nutzer den Zugriff auf optische und Diskettenlaufwerke aller Art zu verwehren, um zu verhindern, dass unkontrolliert personenbezogene Daten die dienstliche Umgebung verlassen oder unerwünschte Software aufgespielt wird, so ist das heute längst nicht mehr ausreichend. Vermehrt findet man Computer ohne serielle, parallele und PS/2-Anschlüsse. Für Tastatur, Zeigegerät und Drucker werden Universal Serial Bus-Anschlüsse (USB-Anschlüsse) verwendet. Wie der Namensbestandteil "universal" sagt, können an diese Anschlüsse die unterschiedlichsten Hardwarekomponenten angeschlossen werden, z.B. auch Speichergeräte, sog. Memorysticks. Das sind handliche Geräte mit einer Kapazität von bis zu mehreren Gigabyte. Moderne Betriebssysteme erkennen angeschlossene USB-Geräte automatisch, installieren in der Regel die erforderliche Treibersoftware selbständig und machen sie sofort nutzbar. Auch ist ein Booten des PC mittels dieser Memorysticks möglich, wodurch Sicherheitseinstellungen umgangen werden können und damit unbefugte Zugriffe auf den PC möglich sind, falls im BIOS nicht entsprechende Boot-Optionen deaktiviert werden. Da viele Computer USB-Anschlüsse auch auf der Gerätevorderseite besitzen, mag die Hemmschwelle sinken, den USB-Speicher, für weit unter 100 € beim Lebensmitteldiscounter aus dem Non-Food-Bereich mitgenommen, als Datentransportmittel zwischen dem heimischen und dem dienstlichen Computer zu verwenden. Damit drohen erhebliche Gefahren für die Datensicherheit und den Datenschutz.
Da das Problem in allen Bundesländern zu beobachten war und seine Lösung mit technischen Mitteln erheblichen Aufwand verursacht, hat der Arbeitskreis „Technische und organisatorische Datenschutzfragen” der Konferenz der Datenschutzbeauftragten des Bundes und der Länder im Berichtszeitraum eine Orientierungshilfe „Datensicherheit bei USB-Geräten” erstellt, die auch über die Homepage des Landesbeauftragten heruntergeladen werden kann.
Den betroffenen Stellen empfiehlt der Landesbeauftragte, auf jeden Fall auch zu einer organisatorischen Lösung in Form von Hausverfügungen oder Organisationsanweisungen zu greifen. Umfassende Aufklärung der Belegschaft über Verbot und Risiken des unautorisierten Verwendens von USB-Geräten, verbunden mit der Ankündigung arbeitsrechtlicher bzw. disziplinarischer Sanktionen bei Verstößen, bei entsprechender Sensibilität der in den dienstlichen Systemen gespeicherten personenbezogenen Daten ergänzt durch technische Maßnahmen aus der o.g. Orientierungshilfe, sind bei der aktuellen Bedrohungslage die Mittel der Wahl.
Der Landesbeauftragte wird bei Kontrollen auch darauf achten, ob Datensicherheit und Datenschutz noch gewährleistet sind, wenn Anschlussmöglichkeiten für USB-Geräte an den dienstlichen Computern vorhanden sind.