Die Hessische Landesregierung ist bestrebt, eine moderne und leistungsfähige Verwaltung aufzubauen. Eine Komponente ist die Einführung eines kaufmännischen Rechnungswesens. Die Hochschulen sind in diesem Bereich die Vorreiter. Sie sollen ein leistungsorientiertes Budgetsystem auf Basis der doppelten Buchführung mit Kosten- und Leistungsrechnung, ergänzt um ein internes und externes Berichtswesen mit Controlling, erhalten. Zur Unterstützung der Ziele wurde ein DV-System ausgeschrieben. Als Ergebnis wurde das Verfahren SAP R/3 (Systeme, Anwendungen und Produkte in der Datenverarbeitung; Realtime"; "3" steht für die Nutzung von Anlagen der mittleren Datentechnik als Hardwareplattform) mit den Modulen FI, FM, CO, MM und HR ausgewählt. Dieses Produkt der Firma SAP ist im Bereich der betriebswirtschaftlichen Standardsoftware auf dem Weltmarkt führend.

Die Einführung wird im Rahmen des Projektes "Modellprojekt Hochschul-Programmhaushalt" im Teilprojekt HR/3 vorgenommen.

Vor der Einführung des Verfahrens SAP R/3 muss nach § 7 Abs. 6 HDSG untersucht werden, ob Gefahren für die Rechte der Betroffenen auf informationelle Selbstbestimmung existieren. Nur wenn die Gefahren nicht bestehen oder durch technische und organisatorische Maßnahmen verhindert werden können, darf das Verfahren eingesetzt werden. Diese Untersuchung wird von meinen informationstechnischen Mitarbeiterinnen und Mitarbeitern begleitet. Dies betrifft auch die Frage, ob die rechtlichen Rahmenbedingungen eingehalten werden, und die Erstellung eines Sicherheitskonzeptes.

SAP R/3 nutzt eine Client-Server-Technik (vgl. 25. Tätigkeitsbericht, Ziff. 20.2), bei der die Datenbanken auf den dafür vorgesehenen Servern laufen, während an den Arbeitsplätzen PCs zum Einsatz kommen. SAP R/3 unterstützt verschiedene Betriebssysteme. Häufig werden Windows NT und UNIX-Derivate eingesetzt. Zur Datenhaltung werden relationale Datenbanken genutzt, die die Daten in Tabellenform speichern. Es werden die Datenbankmanagementsysteme verschiedener Hersteller unterstützt, wie ORACLE, IBM, Software AG oder Microsoft.

Das Gesamtsystem ist sehr umfangreich und nur mit einer ausgiebigen Schulung zu verstehen. Die Komplexität soll durch einige Zahlen verdeutlicht werden. In der Datenbank sind über 10.000 Tabellen, jede mit zahlreichen Datenfeldern definiert, die selbst teilweise aus logischen Tabellen bestehen. Diese logischen Tabellen sind zwar R/3 bekannt, das Datenbanksystem kann sie aber nicht unterscheiden. So besteht die Tabelle ATAB aus 2000 logischen Tabellen. Eingegebene Daten werden gleichzeitig an vielen Stellen verarbeitet. Nach dem Stand der Version 4.5B wird in 1822 Modulen der Kundenstamm angesprochen, in 1621 Fällen der Lieferantenstamm, in 2496 Fällen die Adressverwaltung der Firmendaten. Die Personalnummer eines Bediensteten taucht 431 mal auf, der Name eines Benutzers 554 mal und der Benutzername 112 mal. Wenn die Felder der Personalstammdaten (PA0*) mit ihrer Kurzbeschreibung ausgedruckt werden, ergeben sich ca. 660 Seiten und ca. 4600 Seiten zusammen mit der Felddokumentation.

Das System kann in weitem Rahmen den Bedürfnissen der Dienststellen angepasst werden. Dazu wird aufbauend auf den Vorgaben ein Referenzmodell erstellt, das dann Grundlage der Verarbeitung wird.

Es gibt eine Reihe von Leitfäden, die die Firma SAP bzw. Kundenarbeitskreise erarbeitet haben, um die Erstellung von Sicherheitskonzepten zu unterstützen. Besonders soll hier auf den "SAP Sicherheitsleitfaden R/3", den "Leitfaden Datenschutz für SAP R/3" und den "SAP-Prüfleitfaden R/3 FI" hingewiesen werden.

Das Beratungsunternehmen, das die Hochschulen unterstützt, hat darüber hinaus einen Leitfaden zum Thema Datenschutz und Datensicherheit erstellt, der auf die Anforderungen der Hochschulen abgestimmt war. Die Aussagen bezogen sich auf die Themen

An dieser Stelle können nicht alle Punkte angesprochen werden, die wichtig sind und zu denen ich Stellung genommen habe. Ich will mich auf die folgenden Feststellungen beschränken, die weitgehend mit den Aussagen des Beratungsunternehmens übereinstimmen:

• Die von SAP standardmäßig vorgenommenen Einstellungen zur Benutzerauthentifizierung müssen aus datenschutzrechtlicher Sicht teilweise geändert werden. Dies gilt z.B. für die Mindestlänge und die Gültigkeitsdauer des Passwortes (vgl. 19. Tätigkeitsbericht, Ziff. 15.5.4).
• Im Berechtigungskonzept muss festgelegt werden, welche Benutzer welche Aufgaben ausführen. Danach sind die Berechtigungen zu vergeben. Die Fortschreibung ist ein stetiger Prozess.
• Die Aufgaben, die bei der Pflege der Berechtigungen anfallen, müssen auf mehrere Verwalter aufgeteilt werden. Die Empfehlungen unterscheiden sich im Zuschnitt der Aufgaben, wenn manuell oder programmtechnisch unterstützt die Berechtigungen gepflegt werden. Der Leitfaden schlägt in beiden Fällen eine Verteilung auf drei Verwalter vor. Der Vorschlag beinhaltet auch eine detaillierte Aufgabenzuordnung.
• In einem Revisionskonzept, das Teil des Sicherheitskonzepts sein kann, muss beschrieben werden, wer wann welche Protokolle und Informationen wie kontrolliert.
  Als Hilfsmittel stehen das "Infosystem Berechtigungen", das "Audit-Informationssystem (AIS)", das "Security-Audit-Log", die Systemprotokolle, die "Tagesstatistik im CCMS" und die Protokollierung von spezifischen Aktivitäten zur Verfügung.
  Das AIS wurde von SAP speziell zur Unterstützung der Datenschutzkontrolle und verwandter Funktionen entwickelt. Es gibt Informationen über Systemkonfiguration, Repository, Security-Konfiguration und Berechtigungen.
  An spezifischen Protokollen gibt es die Anwendungsprotokollierung, die Protokolle beim Ausführen des Workflow, Protokolle über Änderungsbelege, Protokolle über Datenänderungen in Tabellen sowie Protokolle über Änderungen an Benutzerstammsätzen, Profilen und Berechtigungen. Das letzte Protokoll erlaubt es, die Dokumentation im Rahmen der Benutzer- und der Zugriffskontrolle vorzunehmen, während die ersten vier Protokolle Grundlage der Verantwortlichkeitskontrolle sein können.
• Sachgerecht ist eine Netzwerktopologie, bei der die R/3-Anwendungsserver und die Datenbankserver in einem eigenen Subnetz betrieben werden. Für Systeme mit verschiedenen Sicherheitsgraden sollten separate lokale Netze eingerichtet werden. Der Zugriff soll nur über Router/Paketfilter und den SAProuter erfolgen können. Hinweise zum Einsatz von Firewalls werden ebenfalls gegeben.
• Zum Schutz der Daten bei der Übertragung im Netz wird eine Verschlüsselung vorgeschlagen.
• Zur Sicherheit von R/3 unter Windows-NT sollte eine Domäne für Clients und eine Domäne für die Server und Systembetreuer eingerichtet werden.
• Damit die Zugriffsschutz- und Protokollierungsmechanismen von SAP greifen, dürfen nur die R/3-Werkzeuge genutzt werden, um Anpassungen an der Datenbank vorzunehmen.
• Um das Produktivsystem gegen beabsichtigte und unbeabsichtigte Programmänderungen zu schützen, müssen getrennte Test-, Qualitätssicherungs- und Produktionssysteme existieren. Die Vorgehensweise, wie Programme in Produktion übernommen werden können, ist detailliert zu regeln.

Die Hessischen Hochschulen sehen in ihren IT-Konzepten einen unterschiedlichen Ansatz zum Betrieb von SAP R/3 bei den Universitäten und den Fachhochschulen vor. Während die Universitäten dezentral in ihrem eigenen Rechenzentrum das SAP-System betreiben wollen, haben die Fachhochschulen ein gemeinsames Rechenzentrum eingerichtet. Die Server befinden in der FH Darmstadt. Stellvertretend für alle Fachhochschulen hat die FH Darmstadt ein Sicherheitskonzept erstellt, das von den anderen Hochschulen mit entsprechenden Anpassungen übernommen werden kann.

Den Mitarbeitern der Verwaltungen wird im Rahmen der Einführung von SAP R/3 der Zugriff auf den SAP-Server am Standort der FH Darmstadt ermöglicht. Die Verbindung der Standorte erfolgt über unsichere Netze. Da es sich grundsätzlich um sensible Daten handelt, müssen die Verwaltungsnetze geschützt und die Daten verschlüsselt übertragen werden.

Bei der Erstellung des Sicherheitskonzeptes wurden die Kommunikationsanforderungen und die Sicherheitsanforderungen der beteiligten Fachhochschulen untersucht und auch die mittelfristige Entwicklung der FH-System- und Anwendungslandschaft in Betracht gezogen.

Durch geeignete Migrationspfade, Ausnutzung von Synergieeffekten, Investitionsschutz und Vermeidung von Insellösungen, die nicht problemlos ausgeweitet werden können, wird der Aufwand für Investitionen und den Betrieb minimiert.

Am Beispiel der Sicherung der Kommunikation und der Sicherung der Rechner sollen die Ansätze des Sicherungskonzepts erläutert werden.

Eine Absicherung der Kommunikation über unsichere Netze kann nur durch Verschlüsselung erfolgen. Hier können drei verschiedene Verfahren zum Einsatz kommen:

Bei diesem Verfahren werden Systeme mit verschiedenen Sicherheitsgraden und unterschiedlicher Schutzbedarf in Gruppen gleicher oder ähnlicher Systeme in eigenen Netzsegmenten zusammengefasst. Die Kommunikation erfolgt kontrolliert über Firewallsysteme (Anforderungen an Firewall s. 27. Tätigkeitsbericht, Anhang 2). Zwischen derartig kontrollierbaren Netzen kann mittels Verschlüsselungstechnologie ein Tunnel hergestellt werden. Dieses Verfahren ist sehr zu empfehlen, da die sicherheitstechnische Relevanz hauptsächlich auf der "Firewall" und der verwendeten Verschlüsselungstechnologie liegt. Die Administrierbarkeit ist überschaubar, da nicht beliebig viele Systeme einer Gefährdung ausgesetzt sind.

Die Verschlüsselung wird zwischen einem einzelnen Host und dem Client-Rechner aufgebaut. Hier ist lediglich die Kommunikation geschützt. Der Client selbst ist nicht geschützt und befindet sich im ungünstigsten Fall permanent im unsicheren Netz. Vorteile dieser Lösung liegen lediglich in der großen Flexibilität auf der Clientseite und den niedrigen Kosten.

Eine weitere Sicherheit bietet die Einführung einer Applikationssicherheit, das bedeutet starke Authenisierung und Verschlüsselung auf der Applikationsebene. Der Tunnel endet dann nicht am Firewall, sondern direkt am SAP R/3 System.

Hinsichtlich der technischen Realisierung der Kommunikation kommen die Varianten a) und c) zum Einsatz. Im Regelfall wird die Variante c) genutzt. Nur in den Fällen, in denen ein reines Verwaltungsnetz vorhanden ist, das durch eine Firewall geschützt wird, kommt die Variante a) zum Tragen.

Neben der Sicherung der Kommunikation müssen insbesondere die Arbeitsplatzrechner sicher betrieben werden. Die Rechner selbst müssen sicher konfiguriert werden. Folgende Maßnahmen werden bei dem Konzept vorgesehen.

Grundkonfiguration des Rechners
durch:

• Bootschutz des Rechners durch Vergabe eines Bios-Passwortes
• Physikalischer Zugangsschutz zum Rechner (Schlüssel, Identifikationstechnik)
• Zugriffskontrolle mittels Smart-Card

Grundkonfiguration Betriebssystem

• Einsatz von Windows-NT in der jeweils aktuellen Version mit neuestem Service-Pack
• Einstellung der Rechner auf C2-Security

Grundkonfiguration der Softwareausstattung

• Zentral administrierbare Virenschutzsoftware wird eingesetzt und ständig aktualisiert
• Durch Anpassen der Registry wird verhindert, dass der Endanwender selbst Programme installieren kann.
• Es dürfen nur vorgegebene Programme installiert werden.

Administrative Vorgaben

Es werden Richtlinien erstellt, wie die IT-Struktur verwendet werden darf. Die Anwender erhalten diese zur Kenntnis.

Eine Umsetzung der unter 10.4.3.1 dargestellten Vorschläge ist wegen der Besonderheiten an einzelnen Hochschulen nicht vollständig möglich. Zu Details verschiedener Sicherungsmaßnahmen dauert die Diskussion mit den beteiligten Stellen an.

Derzeit gibt es keine Anhaltspunkte, dass ein datenschutzkonformer Betrieb von SAP R/3 an den Hochschulen unmöglich ist. Die rechtliche Bewertung der vorgelegten Feinkonzepte zeigte keine Probleme, solange ein adäquates Sicherheitskonzept umgesetzt wird. Das bereits bestehende Sicherheitskonzept kann von der jeweiligen Hochschule als Grundlage für die zusätzlich nötigen Sicherungsmaßnahmen gewählt werden. Es würde dann auch Basis der Vorabkontrolle sein, die jede Hochschule durchführen muss. Hierzu gehört insbesondere, die Restrisiken abzuschätzen.

Inhalt, <=, =>,