Verwaltungsdaten in Netzen
Restriktionen eines freien Informationsaustausches

Dr. Josef Hötte
Universität Stuttgart

Inhalt

1. Verwaltungseffizienz und Sicherheit

2. Rechtliche Vorgaben

3. Praktischer Ansatz für ein integriertes Sicherheitskonzept



1. Verwaltungseffizienz und Sicherheit

Da zu technischen Verfahren und Bewertungen noch zahlreiche, kompetente Referenten folgen werden, möchte ich auf Aspekte abheben, die im Prozeß der Einführung von Verwaltungsverfahren in Netzen letztlich weniger als Aufgabe der Techniker begriffen werden, sondern eher die Verwaltungsspezialisten gefordert sind.
Wenn von Verwaltungsdaten die Rede ist, so möchte ich nur die Informationen einbeziehen, die als nicht-öffentlich einzustufen und in irgendeiner Form schutzwürdig sind.
Der Start der Hochschulverwaltungen in die Informationsverarbeitung in Netzen erfolgt in der Regel von abgegrenzten Anwendungen der Fachabteilungen der zentralen Verwaltungen mit sternförmigen Anbindungen an Hostrechner. Auch wenn schon seit Jahren Arbeitsplatzrechner im Einsatz sind, hat dies meistens nicht zu einer Vernetzung der Arbeitsplätze untereinander geführt, zumindest was die Verwaltungsanwendungen angeht. Die Technik war noch nicht zuverlässig genug, es standen Dienstvereinbarungen mit den Personalvertretungen, die häufig Vernetzungen ausschlossen, entgegen, aber häufig fehlt auch heute noch schlicht die notwendige Verkabelung.
Der Fortschritt der Technik, aber auch viele Rahmenbedingungen werden vermehrt zur Verarbeitung von Verwaltungsdaten in Netzen führen.
Wesentlichen Einfluß hat darauf die DFG-Kommission für Rechenanlagen, die die Planung der Hochschulen in Form von Anträgen nach dem Hochschulbauförderungsgesetz zur Begutachtung erhält und zu bewerten hat. Entsprechend den "Empfehlungen der DFG-Kommission ..zur Ausstattung der Hochschulen in der Bundesrepublik Deutschland mit Datenverarbeitungskapazität vom Dezember 1991" kann bei einem informationstechnischen Konzept, das keine Client-Server-Struktur zur Grundlage hat und somit eine Netzinfrastruktur voraussetzt, kaum mit einer Empfehlung zur Aufnahme in den Rahmenplan gerechnet werden.
Weiterhin gibt es eine Reihe von Empfehlungen aus zahlreichen Untersuchungen der Hoch- schulverwaltungen, beispielhaft seien hier genannt: Der Bericht von Mummert und Partner für die Hochschulen in Nordrhein-Westfalen, der Bericht des Landesrechnungshofes zur Organisationsuntersuchung der zentralen Universitätsverwaltungen in Baden Württemberg, ebenfalls in Baden-Württemberg das Gutachten der Fa. Hayek Engineering zur Struktur ausgewählter Fächer, Untersuchungen an bayerischen Universitäten (z.B. Universität Bamberg) zur Optimierung von Verwaltungsprozessen. Alle Gutachten und Berichte empfehlen den Ausbau und die Modernisierung der eingesetzten Verfahren der Informations- und Kommunikationstechnik und hier insbesondere die Vermeidung von Mehrfacherfassung gleicher Dateninhalte bei der Abwicklung von Verwaltungsvorgängen oder gar die Dateneingabe und den -abruf auch außerhalb der zentralen Verwaltung, z. B. durch die Studenten selbst. Die Umsetzung der Empfehlungen durch die Hochschulen wird von den Landesregierungen überwacht.
Die Verbesserung der Effizienz von Hochschulverwaltung steht dabei eindeutig im Vordergrund. Datenschutz und Datensicherheit spielen in den Berichten und Gutachten gar keine oder nur eine untergeordnete Rolle. Dienstvereinbarungen mit Personalvertretungen, die in den Hochschulverwaltungen der schnellen Anpassung an den jeweils neuesten Stand der Technik oft entgegenstanden, kommen in den Bewertungen praktisch nicht vor.
Wer auf die Restriktionen hinweist, die wegen des noch ungelösten Problems der Sicherheit in der Informationsverarbeitung greifen, bekommt in einem Stadium des grundlegenden Umbruchs technologischer Verfahren, zumal bei der zu beobachtenden Euphorie der neuen PC-Besitzer, leicht das Attribut eines Bedenkenträgers, der den Datenschutz und die Datensicherheit als Vehikel für sein Beharrungsvermögen in überkommenen Strukturen nutzen will.
Gehen wir davon aus, daß aus technischer Sicht eine Verwaltungsanwendung in einem offenen Netz hinreichend sicher realisiert werden kann, dann ist aus der Sicht der Verwalter die Arbeit noch nicht beendet. Es ist nämlich in diesem Zusammenhang nicht nur wichtig, sichere Anwendungen im Netz zu betreiben, sondern auch für Betroffene und Beauftragte überzeugend darstellen zu können, daß der Datenschutz und die Datensicherheit gewährleistet sind. Dafür muß man bei Verwaltungsverfahren in Netzen eine Menge mehr tun, als bei isolierten Anwendungen auf Host-Rechnern.
Jeder, der einmal ein Verfahren der Personalverwaltung vor Ort eingeführt hat und die umfängliche Schriftguterzeugung zu Softwarekonzeption und Sicherheitsmechanismen zu derart komplexen Inhalten für die Datenschutzbeauftragten und Personalvertretungen hinter sich gebracht hat, wohlgemerkt bei in sich geschlossenen Anwendungssystemen, wird die Aufgabenstellung begreifen, eine auch für Laien verständliche Dokumentation einer Client-Server-Anwendung mit Schnittstellen zu Textverarbeitung, Tabellenkalkulation, individuellen Datenbanken und weiteren Werkzeugen einer integrierten Bürokommunikation zu erstellen und zwar so, daß die Vorteile der Neuerungen im Genehmigungsprozeß erhalten bleiben.
Die Dokumentation sämtlicher Verfahrenskomponenten auf einem stets aktuellen Stand ist bei der derzeitigen Entwicklungsgeschwindigkeit der Technik kaum mehr möglich und, wenn man dies halbwegs automatisiert hinbekäme, inhaltlich nur schwer überprüfbar.
Welche Entscheidungsalternativen gibt es. Man muß auch sehen, daß bei abgeschotteten Verwaltungsanwendungen dem Datenschutz nicht uneingeschränkt genügegetan ist. Der Betroffene hat auch ein Recht auf die Richtigkeit seiner Daten. Die Richtigkeit kann aber kaum gewährleistet werden, wenn die gleichen Daten an vielen Stellen in der Verwaltung redundant vorgehalten werden müssen.
Der Mittelweg wäre ein abgeschottetes Verwaltungsnetz mit integrierten Verfahren der zentralen Hochschulverwaltung. Auch diese Lösung hat seine Haken für Betreiber und Nutzer. Die Schutzmaßnahmen müssen auf den Netzbetrieb ausgerichtet sein, wenn auch nicht so engmaschig wie bei offenen Netzen. Der Nutzen dieser Lösung ist begrenzt, da die Mehrheit der Verwaltungskunden und die dezentralen Verwaltungsstellen von der elektronischen Kommunikation ausgesperrt werden. Mittelfristig wird kein Weg an der gemeinsamen Nutzung von Campus- und Weitverkehrsnetzen durch Wissenschaft und Verwaltung vorbeiführen. Dabei ist zu prüfen, inwieweit Verwaltungsdaten im offenen Netz so angeboten werden können, daß sie die Informationsbedürfnisse befriedigen können, ohne einen hohen Sicherheitsbedarf zu haben. Auch die Struktur der Anwendungen selbst ist unter Sicherheitsaspekten noch so gestaltbar, daß die Netznutzung im Verfahrensablauf minimiert und die Verletzlichkeit reduziert werden kann. Man muß aber im Auge behalten, daß ein großer Teil der über Verwaltungsverfahren in Netzen gewonnenen Effizienz, insbesondere bei Verarbeitung personenbezogener Daten, in die Sicherung der hoch komplexen Verfahren selbst und ihrer Revisionsfähigkeit hineinfließen kann.

2. Rechtliche Vorgaben

Die wichtigsten Einschränkungen eines freien Informationsaustausches stehen in der Regel in den Datenschutzgesetzen des Bundes und der Länder. Da die Hochschulen in der überwiegenden Mehrzahl Ländereinrichtungen sind, gilt zunächst das jeweilige "Landesdatenschutzgesetz".
Es gilt generell der Grundsatz, daß Daten nur erhoben, verarbeitet und genutzt werden dürfen, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Hiervon gibt es bei Nachweis von berechtigtem Interesse zwar Ausnahmen, die für die Hochschulverwaltungen aber keine große Rollen spielen. Ebenso führt die freiwillige Angabe häufig zu unvollständigen Informationen, die in der Verwaltung den Wert des Datenbestandes einschränken.
Die Rechtsvorschriften müssen den Erhebungszweck liefern. Denn Daten dürfen nur für den Zweck verarbeitet und genutzt werden, für den sie auch erhoben worden sind.
Die Daten müssen richtig sein.
Daten dürfen nur solange gespeichert werden, solange der Zweck der Erhebung gegeben ist - nicht vorher (Verbot der Vorratshaltung) und nicht länger (Einhaltung der Löschfristen) als es erforderlich ist.
Die Datenschutzgesetze schreiben Grundsätze fest und gelten als Auffanggesetze, soweit keine besonderen Regelungen in anderen Gesetzen getroffen werden. Besondere Regelungen stehen in den Spezialgesetzen, wie den Beamtengesetzen (z.B. Personaldaten/ - aktenführung), den Hochschulgesetzen (z.B. Studierenden-/Prüfungsdaten), den Sozialgesetzbüchern (Sozialdaten), etc., häufig auch mit Ermächtigungen, auf dem Verordnungswege Näheres zu bestimmen.
Der Datenschutz ist durch Vorschriften somit weitgehend geregelt. Im Bereich der Datensicherheit kann man sich weit weniger an Rechtsvorschriften anlehnen.
Man kann sich in Auswahl und Umfang der zu treffenden Sicherheitsmaßnahmen nur auf den in allen Datenschutzgesetzen enthaltenen Grundsatz stützen:

"Erforderlich sind Maßnahmen nur, wenn ihr Aufwand, insbesondere unter Berücksichtigung der Art der zu schützenden Daten, in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."

Damit hat die Sicherheit ganz allgemein etwas mit subjektiver Einschätzung des Schutzzwecks und ökonomischer Abwägung des Aufwand zu tun, der noch als angemessen anzusehen ist. Die subjektive Einschätzung ist aber nur in bestimmten Grenzen frei. Es gibt so etwas wie gesicherte Risikoabschätzungen. Man ist nicht gänzlich frei in der Wahl der Schutzmaßnahmen. Hier gibt es so etwas wie den Stand der Technik.
Über den Stand der Technik und die organisatorischen Mittel zur Verbesserung der Sicherheit werden noch zahlreiche Beiträge anläßlich dieser Tagung zu hören sein.
Deshalb lassen Sie mich einen Punkt herausgreifen, der "typisch Verwaltung" ist. Schutzmaßnahmen können nämlich nicht nur ergriffen werden, in dem man die Möglichkeiten der Technik durch andere Möglichkeiten der Technik wieder einschränkt. Die mißbräuchliche Nutzung der technischen Möglichkeiten kann auch durch Verwaltungsmaßnahmen in Form von Dienst- oder Arbeitsanweisungen begrenzt werden.
Dazu ist es erforderlich, daß alle Beteiligten Kenntnis von den Regelungen erhalten, die für die Systemnutzung gelten, sie die Regelungen verstehen oder besser noch einsehen (Sicherheitsbewußtsein schaffen), also eingehend geschult und belehrt worden sind, und schließlich auch die Sanktionen bekannt sind, die eine Mißachtung der Regelungen nach sich ziehen kann.
So ist die Verletzung des Datengeheimnisses kein Kavaliersdelikt mehr, dies macht die Rechtsprechung deutlich:
(Nichtamtliche Leitsätze: Quelle: Recht in der Datenverarbeitung (RDV) 1995 Heft 2 , Seite 79 f und Seite 81 f)

"Die unbefugte Einsichtnahme in Personal- und Gehaltsdaten kann auch ohne Abmahnung eine ordentliche Kündigung rechtfertigen"
(Arbeitsgericht Marburg, Urteil vom 27. Mai 1994 - 2 Ca 514/93)

"Das unbefugte Eindringen in Dateien ist bereits für sich genommen geeignet, einen die frist-lose Kündigung nach § 626 Abs. 1 BGB berechtigenden wichtigen Grund zu bilden"
(Landesarbeitsgericht Baden-Württemberg, Urteil vom 11. Januar 1994 - 7 Sa 86/92)

Die Sanktionen für den Bruch des Datengeheimnisses können für Bedienstete also durchaus massiv sein.
Ganz allgemein schützt selbst Unwissenheit auch den internen oder externen Hacker vor Strafe nicht und hier gibt es die Vorschrift des § 202a des Strafgesetzbuches:

"Wer unbefugt Daten, die nicht für ihn bestimmt und gegen unberechtigten Zugriff besonders gesichert sind, sich oder einem anderen verschafft, macht sich strafbar."

Anmerkung: Der Schutz durch ein Password ist bereits als "gegen unberechtigten Zugriff besonders gesichert" anzusehen.
Die Wirksamkeit aller Sanktionen setzt die Ermittlung des mißbräuchlichen Eindringens oder Nutzens von Daten voraus und dies wiederum besondere Maßnahmen der Überwachung von Verwaltungsdaten im Netz.

3. Praktischer Ansatz für ein integriertes Sicherheitskonzept

In der Praxis ist die Informations- und Kommunikationsstruktur einer Verwaltung sukzessiv aufgebaut worden und der Nachvollzug und ihre Dokumentation schwierig, aber dennoch unerläßlich. Insbesondere für die Erstellung von Risikoanalysen muß es eine detaillierte Übersicht über die IST-Situation, dem ersten Schritt zu einem integrierten Datenschutzkonzept, geben.
Die uns kontrollierenden Instanzen, oft bis zum Landtag, möchten alle Maßnahmen beschrieben haben, mit denen wir glauben, sicher arbeiten zu können.
Rechtsvorschriften schreiben zwar an keiner Stelle ein umfassendes, integriertes Sicherheitskonzept für die eingesetzte Informationstechnik vor, aber in der Literatur, die sich damit auseinandersetzt, herrscht einhellig die Auffassung, daß nur ein Technik, Organisation und alle beteiligten Akteure einbeziehendes Konzept einen befriedigenden Sicherheitsstandard bringen kann.
Folgende Punkte könnten den praktischen Weg zu einem Sicherheitskonzept bilden:

Die Beschreibung der Aufbauorganisation,

in dem die vorhandene Hardware, Software und die Kommunikationsbeziehungen dokumentiert werden. Die Zuständigkeiten für die Informations- und Kommunikationstechnik sollten beschrieben werden. Dabei geht es nicht um einen Auszug des Geschäftsverteilungsplanes, der in der Regel für diesen Zweck viel zu grob gegliedert ist. Die Zuständigkeiten sollten alle Aktivitäten von Prioritätensetzung bei Investitionen bis zur Formularentwicklung enthalten.

Die Beschreibung der Ablauforganisation,

die durch die elektronischen Medien neu strukturiert werden muß, wie die Behandlung des elektronischen Postein- und -ausgangs, die Entscheidungskompetenzen und Abläufe für die Weitergabe von Daten, Vergabe von Zugriffsberechtigungen etc. Darunter auch die Festlegungen zum Benutzerservice: Wer betreut wen, Einweisung, Behe- bung von Störfällen, Verwaltung von Verbrauchsmaterialien etc. Schulung und Schulungsinhalte: Regelungen zur Ausbildung, Fortbildung und Weiterbildung, die die Entwicklungsgeschwindigkeit der Technik berücksichtigen

Spezielle Datenschutz- und Datensicherheitsmaßnahmen,

die sich zwar an die gemeinsamen rechtlichen Grundsätze anlehnen, aber mit der gesamten Informationsverarbeitung und Kommunikationstruktur in der speziellen, lokalen Ausprägung korrespondieren müssen.

Keine Frage - dies macht viel Arbeit. Oft ist nicht geklärt, wer diese Aufgaben übernehmen soll, da die EDV-Abteilungen der Verwaltungen schon Probleme haben, mit der technologischen Entwicklung schrittzuhalten und diese "unproduktiven" Aufgaben nicht gerade mit Freude angehen. Das Thema Sicherheit gewinnt gerade erst an Bedeutung. Zuständig für die Sicherheit von Verwaltungsdaten in Netzen, sind alle, die mit dem Netz zu tun haben, verantwortlich ist die Hochschulleitung. Es ist auch Aufgabe der Experten der Informations- und Kommunikationstechnik den Hochschulleitungen die für ihre Entscheidungen notwendigen Informationen zu liefern, was die Chancen angeht, aber ebenso was die Risiken angeht und was geschehen muß, um die Risiken auf ein verantwortbares Maß zu senken. Die dazu erforderliche Hard- und Software ist eben nur ein Teilbereich, auf das Gesamtkonzept kommt es an.