21.2
Prüfungen von Novell-Netzwerken
In meinem letzten Tätigkeitsbericht habe ich einen Teil der Möglichkeiten des Netzwerkbetriebssystems Novell Netware dargestellt, datenschutzgerechte Lösungen in den Bereichen der Nutzerverwaltung und der Zugriffsabgrenzungen zu realisieren (21. Tätigkeitsbericht, Ziff.16.4).
Dem Grad der Einsatzhäufigkeit entsprechend lag auch in diesem Jahr ein Schwerpunkt meiner Prüfungstätigkeit bei derartigen Netzwerken. Die Ergebnisse der Prüfungen lassen vermuten, daß die Verwaltungen vor der Einführung von Netzwerken nicht die notwendigen Vorüberlegungen anstellen, die in ein entsprechendes Einführungskonzept einfließen müssen (vgl. 21. Tätigkeitsbericht, Ziff. 16.4.2).
Leider besteht hier immer noch nicht das notwendige Bewußtsein, daß zwischen dem Einsatz von mehreren Stand-alone-PC und einem PC-Netzwerk ein wesentlicher qualitativer Unterschied, insbesondere unter Aspekten des Datenschutzes besteht. Hier kommt der Beratung im Vorfeld einer Netzwerkinstallation durch die beauftragten DV-Unternehmen eine wichtige Bedeutung zu. Diese Unternehmen sind in aller Regel durch ihre vielfältigen Erfahrungen in der Lage, ihren Kunden die notwendigen vorbereitenden Hinweise zu geben, welche grundsätzlichen organisatorischen Maßnahmen und datenschutzrelevanten Vorüberlegungen unumgänglich sind, um einen in jeglicher Hinsicht "einwandfreien" Betrieb eines PC-Netzwerkes über einen längeren Zeitraum hinweg zu gewährleisten.
In den mit den Prüfungen einhergehenden Beratungsgesprächen stellte ich fest, daß in den betreffenden Verwaltungen meist nur unzureichende Vorstellungen über die technischen und organisatorischen Rahmenbedingungen existieren, die vor der Einführung von Netzwerken abgeklärt werden müssen. Die Notwendigkeit für ein umfassendes Einführungskonzept wird somit oft gar nicht oder nicht im notwendigen Umfang erkannt.
Diese Notwendigkeit ist den Verwaltungen unter Umständen zunächst auch nicht sofort einsichtig, denn bei kleineren Netzwerken lassen sich viele, nicht nur datenschutzrelevante, Probleme noch ohne großen Aufwand sofort beheben, so daß das Fehlen einer Konzeption noch nicht bemerkt wird.
Aber DV-Netze haben die Eigenschaft zu wachsen. Und irgendwann, spätestens bei einem Wechsel des Systembeauftragten, wird dann deutlich, daß Systemeinstellungen nicht dokumentiert wurden oder z.B. die Vergabe von Zugriffsrechten nicht mehr nachvollziehbar ist. Derartige Probleme haben sich auch bei den einzelnen Prüfungen gezeigt.
21.2.1
Prüfungsfeststellungen
Insgesamt habe ich bei allen Prüfungen von Netzwerken Mängel
bei
der Benutzerverwaltung gefunden. Dazu zählen:
- fehlender Paßwortzwang;
- zu kurze Paßwörter;
- fehlender Paßwortwechsel;
- Paßwortverwaltung und -wechsel nur durch den Supervisor;
- fehlende Notfallkennung (einschließlich organisatorischer
Regelungen);
- Vermischung unterschiedlicher Aufgaben in einer Kennung (z.B.
Anwendungs- und Supervisor-Tätigkeit).
Ein weiterer Bereich, in dem ich fast immer mehr oder weniger gravierende Mängel vorfand, waren die Zugriffsabgrenzungen zu den Datenbeständen. Der freie Zugriff von der DOS (Betriebssystem)-Ebene auf die Textverarbeitung einer Personalstelle war ein besonders unrühmlicher Höhepunkt in diesem Teilbereich. Generell ist hier zu bemerken, daß in den meisten Fällen die Vorgaben für den Ablauf und die Dokumentation bei der Zuweisung von Zugriffsrechten fehlen oder unzureichend sind. Darüber hinaus fehlten oft organisatorische Regelungen zur Datensicherung, zum Umgang mit anfallenden Protokollen oder zu Fragen der räumlichen Zugangssicherung.
Häufig werden diese Fragen erst dann behandelt, wenn der Personalrat einige Zeit nach der Erstinstallation auf den Abschluß einer Dienstvereinbarung zur Einführung des Netzwerkes drängt und bei dieser Gelegenheit über eine entsprechende Dienstanweisung nachgedacht werden muß.
21.2.2
Gespräche mit dem Kommunalen Gebietsrechenzentrum (KGRZ)
Kassel
Da ein Teil der geprüften Verwaltungen vom KGRZ Kassel betreut wird, habe ich mit diesem stellvertretend für alle anderen betreuenden Unternehmen Gespräche geführt, um festzustellen, wo sich aus Sicht des KGRZ Probleme bei der Einführung und Pflege von Netzwerken ergeben, die als Ursachen für die von mir festgestellten Mängel anzusehen sind.
Dabei ergab sich, daß das KGRZ zu dieser Zeit mit einer Partnerfirma, die im Auftrag des KGRZ bei den Verwaltungen tätig ist, einen internen Leitfaden über die Vorgehensweise bei Netzwerkinstallationen diskutierte. Das KGRZ stimmte mir aus eigener Erfahrung zu, daß dem vorbereitenden Aspekt bei der Einführung von Netzwerken eine größere Bedeutung zuzumessen ist. Aus der Sicht des dienstleistenden Unternehmens ist dies schon allein deshalb sinnvoll, um umfangreiche Nachbesserungen zu vermeiden.
Das KGRZ Kassel hat meine Anregungen aufgegriffen und will den oben angesprochenen Leitfaden in einer unter Datenschutzaspekten abgestimmten Version zur Grundlage zukünftiger Netzwerkinstallationen machen. Dabei soll insbesondere im Vorfeld der Installation anhand eines Maßnahmenkatalogs der auftraggebenden Verwaltung ein Überblick über die notwendigen organisatorischen Regelungen und die anstehenden Vorbereitungen zur technischen Administration eines Netzwerkes gegeben werden.
Ein solcher Maßnahmenkatalog ist natürlich auch für alle anderen Diensteanbieter in gleicher Weise von Interesse. Ich beabsichtige daher, diesen Katalog bei geeigneter Gelegenheit mit den anderen Rechenzentren zu erörtern, um eine im Hinblick auf den Datenschutz weitgehend gleiche Einführung von Netzwerken zu erreichen.