Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit zum 31. Dezember 2010
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Mittel und Ziel kriegsähnlicher Handlungen werden kann, ist ein dunkler der von Rechnern überflutet, damit sie an Überlast zusammenbrechen. Daraus Aspekt der Entwicklung der Informationstechnologie. Zugleich bedroht diese hat die estnische Regierung zunächst Vorwürfe abgeleitet, wonach Russland Entwicklung die Verfügbarkeit personenbezogener Daten, die heute fast nur für diese Angriffe verantwortlich sei. Zum ersten Mal überhaupt war damit noch mit informationstechnischen Systemen verarbeitet werden. Umgekehrt ein unabhängiger Staat Ziel solcher Angriffe aus dem Internet gewesen. Die können Maßnahmen gegen Cyberattacken zu exzessiver Überwachung des estnische Regierung schaltete EU und NATO ein und erwog, dass in solchen Internet-Verkehrs führen. Fällen der Verteidigungsfall in der Nato ausgerufen werden müsse . Exper- 24 ten kamen später zu dem Ergebnis, dass der Angriff über weltweite Botnetze Bereits 1995 wurde unter dem Begriff „Cyber-Terrorismus“ die Bedrohung geführt wurde, die möglicherweise von russischen Nationalisten initiiert wur- von DV-Zentralen durch Formen der elektronischen Kriegsführung diskutiert22. den, jedoch nicht vom russischen Staat. Dabei ging es aber noch nicht um Softwareangriffe, sondern um Angriffe auf informationstechnische Infrastrukturen mithilfe von elektronischen Bomben, „Das Phantom des Cyberwar“ wurde 2008 von der „tageszeitung“ illustriert25. mit denen hochenergetische Radiowellen punktgenau oder starke elektro- Der Artikel berichtete über diverse Ereignisse, die von Repräsentanten der magnetische Impulse ungerichtet ausgestrahlt werden können, die Infrastruk- angegriffenen Staaten zunächst als Angriffe auf kritische Infrastrukturen ihres turen stören oder zerstören können. Solche Szenarien waren damals Gegen- Staates öffentlich als feindliche Handlungen beklagt und von den vermuteten stand einer amerikanischen Konferenz zur „Information-Warfare“. Auch wenn Aggressoren entweder prompt dementiert wurden oder unkommentiert blie- diese Form der Angriffe nichts mit den späteren Softwareattacken zu tun hatte, ben: das Ziel war damals wie heute das gleiche: Die Ausschaltung oder zumindest Schwächung gegnerischer informationstechnischer Infrastrukturen. • Anzeichen einer russischen Computerattacke auf Georgien, für die zu Beginn des Kaukasus-Kriegs ein russisches Business Network verantwort- Nach dem 11. September 2001 wurde erneut die Aufmerksamkeit darauf gelegt, lich sein sollte; dass neben den damaligen Terrorattacken mit physischer Gewalt auch Cyber • nach Angaben eines US-Abgeordneten das Eindringen chinesischer Hacker attacken zu befürchten seien, speziell durch Hacking und Virenbefall von Bör- auf der Suche nach Dissidentenlisten in mehrere Rechner des Kongresses; sencomputern, Stromversorgern, Notfallzentralen, Militäreinrichtungen und • nach Angaben der CIA im Januar 2008 das Eindringen von angeblichen Telefonzentralen. Die Gefahr war umso greifbarer, als die Informationssicher- Cyber-Terroristen bei Stromversorgern außerhalb der USA mit der Folge heit dieser Einrichtungen nach Untersuchungen von Sicherheitsexperten von Stromausfällen; unzureichend war . 23 • das US-Verteidigungsministerium teilt im Mai 2008 dem Geheimausschuss Im April 2007 wurden nach einer politischen Aktion, die in Russland als Pro- mit, das Rechnernetz des Ministeriums werde täglich mehr als 300 Millio- vokation empfunden wurde, Server der estnischen Regierung, estnischer Ban- nen Mal von außerhalb gescannt und angegriffen; ken und anderer Unternehmen des Landes durch Dedicated Denial of Service- • zur gleichen Zeit unterrichtete der deutsche Verfassungsschutz das Bundes- Angriffe (DDoS) blockiert. Dabei werden die angegriffenen Server gezielt mit kanzleramt und die Staatssekretäre des Innen-, Außen-, Justiz- und Vertei- massenhaften Anfragen innerhalb kurzer Zeit durch Zusammenwirken Tausen- digungsministeriums von einem Computerangriff, der vermutlich von der chinesischen Volksbefreiungsarmee kam. 22 „Unternehmens-DV durch Cyberterroristen bedroht“, Computerwoche vom 10. März 1995, S. 41 23 „Wir halten die Augen offen“, Der Tagesspiegel vom 16. September 2001, S. 31; „Attacken aus dem Laptop“, Süddeutsche Zeitung vom 15. Oktober 2001, S. 2; „US-Experte warnt vor 24 heise online vom 12. Juni 2007 Terror im Cyberspace“, Berliner Morgenpost vom 4. Januar 2002, S. 21 25 taz.de am 11. August 2008 18 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 19
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Stuxnet nutzte verschiedene Schwachstellen, gestohlene digitale Signaturen Es gilt allerdings als offenes Geheimnis, dass Hacker von Staaten dafür ausge- und bis daher unbekannte Sicherheitslücken des Betriebssystems Windows (sog. bildet werden, um im Ernstfall digitale Angriffe auf wichtige Infrastrukturen Zero-Day-Exploits), um sich in Windows-Systemen zu verbreiten. Nach dem auszuführen. Dagegen wappnen sich die Zielstaaten. So gibt es in den USA die Befall suchte der Wurm nach einem bestimmten Programm der Fa. Siemens, „United States Cyber Command“, eine Behörde, welche zur Aufgabe hat, die welches der Überwachung und Steuerung technischer Prozesse dient. Wenn er Sicherheit der Computersysteme des Landes zu verteidigen. In Deutschland außerdem eine bestimmte Siemens-Software zur Programmierung der Steue- gibt es seit 1998 eine interministerielle Arbeitsgruppe zum Schutz kritischer rung von Maschinen und Anlagen fand, tauschte er spezielle Dateien aus, um Infrastrukturen (KRITIS). etwa Sollwerte für die Steuerung von Anlagen zu manipulieren. Der Verdacht, dass digitale Kriegshandlungen bei offenkundig politisch moti- Entdeckt wurde das Auftreten von Stuxnet durch die bekannt gewordenen vierten Angriffen auf Einrichtungen eines souveränen Staates vorliegen könn- Angriffe auf Anlagen des iranischen Atomprogramms, die mit der beschriebe- ten, kam in jüngster Zeit auf, nachdem Meldungen von Störungen in Anla- nen Siemens-Software bestückt waren. Der stellvertretende Leiter der irani- gen des iranischen Atomprogramms bekannt wurden, die auf das Wirken einer schen IT-Organisation sagte der Presse, der Kampf gegen die Stuxnet-Attacke besonders aufwändigen und raffinierten Schadsoftware zurückzuführen waren. im Iran sei noch lange nicht beendet, da der Virus konstant aktualisiert werde . 28 Seit Mitte September berichten die Medien über ein Computerschadpro- Nach Angaben von Siemens hat der Stuxnet-Wurm neben Industrieanlagen gramm namens „Stuxnet“26. Die Europäische Agentur für Internetsicherheit im Iran auch Chemieanlagen, Raffinerien, Kraftwerke und industrielle Pro- (ENISA) spricht im Zusammenhang mit den Angriffen des Stuxnet-Wurms duktionsanlagen in China, Großbritannien, Indien, Indonesien, Russland, Süd- von einem Paradigmenwechsel hinsichtlich gezielter Angriffe gegen kritische korea, den USA und auch in Deutschland befallen. Dabei infizierte er sowohl Infrastrukturen. Sie warnt vor ähnlichen Attacken in der nahen Zukunft. „Die gewöhnliche Windows-PCs, in denen er mangels spezieller Produktionssteue- Angreifer haben viel Zeit und Geld investiert, um ein derartiges gefährliches rungssoftware keine Wirkung erzielen konnte, als auch spezielle PCs für Steu- Tool zu entwickeln. Die Tatsache, dass Täter dieses Tool aktiviert haben, kann erungen. Laut Siemens betrafen ein Drittel der 15 weltweit entdeckten Infek- als ein „erster Schlag“ angesehen werden“, stellt der geschäftsführende Direk- tionen deutsche Industrieanlagen. Inzwischen sind weitere Angriffe bekannt tor der ENISA, Dr. Udo Helmbrecht, fest . 27 geworden. Mitte November fand die IT-Sicherheitsfirma Symantec heraus, dass Stuxnet nur Anlagen angriff, die Frequenzumrichter enthielten, die die Dreh- Stuxnet ist ein im Juli erstmals entdeckter Computerwurm und gilt unter zahl von Elektromotoren über die Stromfrequenz steuern, und sofern sie von Computerexperten als das bis dato komplexeste Stück Schadprogramm, das bestimmten Firmen aus Finnland oder dem Iran hergestellt worden waren. nahezu alle bisher bekannten Angriffsformen vereint. Daher vermutet die Fach- Durch Änderung der Ausgangsfrequenz wird die Arbeitsdrehzahl der Motoren welt, dass es sich um den Probelauf eines staatlich organisierten Angriffes bzw. verändert. Der industrielle Prozess wird somit sabotiert. einer kriminellen Vereinigung handelt. Sein Ziel ist es offenbar, Steuerungs- systeme in Industrieanlagen auf Basis von Siemens-Produkten zu stören, wobei An der Entwicklung einer solchen Schadsoftware muss ein größeres und gut diese nicht nur ausspioniert, sondern auch deren Funktionsweisen manipuliert ausgebildetes Team mit Experten und Ingenieuren für Windows-Programmie- werden. Seine Arbeitsweise und Verbreitungswege sind weitgehend aufgeklärt. rung und Automatisierungstechnik beteiligt gewesen sein. Fachleute gehen davon aus, dass aufgrund des erheblichen Programmieraufwands und der hohen 26 Z. B. „Siemens meldet Hackerangriff auf Industrieanlagen“, Die Welt vom 18. September Entwicklungskosten die Schadsoftware nicht von einer Privatperson entwi- 2010, S. 11; „Der digitale Erstschlag ist erfolgt“, Frankfurter Allgemeine Zeitung vom 22. September 2010, S. 33 27 c´t vom 25. Oktober 2010, S. 43 28 heise online vom 28. September 2010 20 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 21
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik ckelt wurde. Es wird nur vermutet, dass sich der Stuxnet-Angriff gezielt gegen Sicherheitslücken in Computern und Netzwerken können für Unterneh iranische Atomanlagen richtete. Jedenfalls war er auf die Schädigung von Indus- men, Organisationen und Nationen, aber auch für das Land Berlin zu einer trieanlagen ausgerichtet, die mit ganz bestimmten und spezialisierten Systemen Bedrohung werden, weil mit der Störung oder gar der Ausschaltung des und Programmen ausgestattet waren, die der Steuerung solcher Anlagen dienen Internets die Handlungsfähigkeit der verantwortlichen Stellen ausgeschal und zuvor kaum im Fokus von Softwareangriffen standen. tet werden kann. Auch die Verfügbarkeit personenbezogener Daten – ein zentrales Gebot des Datenschutzrechts – wäre dann nicht mehr gegeben. Im November wurde eine neue Nato-Strategie vorgestellt, die sich mit dem Thema der Kriegsführung im Cyber-Space befasst. Der Europarat möchte eine flächendeckende Kontrolle und Überwachung29. Hierzu wurde in Vilnius 1.1.2 Georeferenzierte Panoramadienste: Street View war ein Vorschlag zum grenzüberschreitenden Schutz von Internet-Infrastrukturen erst der Anfang vorgestellt, der heftig kritisiert wurde, weil hier Voraussetzungen geschaffen würden, die zu einer flächendeckenden Kontrolle der Internetnutzenden Der Start von Google Street View in Deutschland lenkte die Aufmerksamkeit und deren Verhalten führen. Auch Deutschland hat ein Computer Emergency auf eine Entwicklung in der Verarbeitung geografischer Daten, die keineswegs Response Team (CERT) zum Schutz der Militärrechner aufgestellt. neu ist, aber für die normalen Verbraucherinnen und Verbraucher eher im Ver- borgenen stattfand: Georeferenzierte Panoramadienste zeigen den Nutzenden Einerseits fällt es IT-Verantwortlichen immer schwerer, Computer und Daten fotografische Ansichten von geografischen Orten wie Straßen, Gebäuden und zu schützen. Die Beschäftigten nutzen zunehmend mobile Geräte wie Smart- Parks, denen Geokoordinaten zugewiesen sind und die daher online adressge- phones, um von unterwegs auf Unternehmensinformationen zugreifen zu kön- nau aufgerufen werden können. nen. Ausländischen Niederlassungen oder Kooperationspartnern muss eben- falls der Zugriff ermöglicht werden. Ein Unternehmen ohne Internetauftritt Landkartendienste wie Google Maps oder stadtplandienst.de arbeiten ebenfalls wird nicht lange am Markt bestehen. Die Sicherheit muss hier genauso ernst mit Georeferenzen, die es ermöglichen, mit der Angabe einer Grundstücks genommen werden wie in der realen Welt. Nicht nur die Technik im Rechen- adresse auf der Karte punktgenau den Ort anzuzeigen, an dem sich das Grund- zentrum muss mit einem entsprechenden Zugangsschutz gut geschützt sein, stück befindet. Beide Dienste bieten ergänzend Luftbilder an, die – insoweit auch die Kommunikationswege müssen gesichert sein. Man spricht nun auch vergleichbar mit Google Earth – jedoch fotografische Draufsichten sind und von Sicherheit in der virtuellen Welt. Vernetzte Rechner können zum Risiko damit keine Panoramen. Durch die Einbindung von Google Street View in werden. Google Maps in den kleineren Maßstabsbereichen entsteht ein kombinierter georeferenzierter Landkarten- und Panoramadienst. Andererseits sind Unternehmen, sonstige Organisationen sowie Staaten, aber auch Bundesländer wie Berlin immer mehr auf die Nutzung des Internets Der Umgang mit solchen geografischen Daten wurde im vergangenen Jahr und damit auf die weltweite Vernetzung der Informationstechnik angewiesen. unter Datenschutzexperten und in den Medien ausführlich diskutiert. Dabei „Entnetzung“ ist daher kaum noch möglich. Schließlich ergibt sich daraus spielte vor allem die Frage eine Rolle, ob georeferenzierte Panorama- oder eine Angreifbarkeit, die zu empfindlichen finanziellen und politischen Schä- Landkartendienste als personenbezogene Dienste angesehen werden müssen den führen kann. und ob daher das Datenschutzrecht überhaupt anzuwenden ist. Die Daten- schutzbeauftragten des Bundes und der Länder haben diese Frage von Anfang an bejaht, denn einem Haus kann man seinen Eigentümer oder Mieter zuord- nen. Die Gegend, in der ein Haus liegt, kann gut oder schlecht beleumundet 29 F.A.Z. vom 5. Oktober 2010, S. T2 sein, für den Eigentümer und die Mieter hat dies Auswirkungen auf den Score- 22 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 23
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik wert ihrer Bonität. Der Zustand des abgebildeten Hauses lässt Rückschlüsse kostenfrei zur Verfügung, um daraus Straßen-, Wander-, Fahrradkarten oder auf die Bereitschaft und finanzielle Fähigkeit zu seiner Erhaltung und damit Routenplaner zu erstellen. auf die Bonität des Eigentümers zu. • Das Webportal stadtplandienst.de wird von dem in Berlin ansässigen Unternehmen Euro-Cities AG angeboten. Das Unternehmen bietet darü- Google Street View ist bei allem Aufsehen, das die Einführung dieses Dienstes ber hinaus verschiedene Stadtportale an. Auf stadtplandienst.de kann haus- in Deutschland erregte, nicht der einzige Dienst dieser Art. Dass auch andere nummerngenau gesucht und das Ergebnis als Karten- oder Satellitenbild Kartendienste diese Möglichkeiten anbieten, ist dabei allerdings in den Hin- betrachtet werden. Es besteht seit 1996 im Internet. Seit 2004 bietet es ein tergrund getreten. flächendeckendes Kartenwerk im Maßstab 1:10.000 online an. • Navteq, Tochterunternehmen des finnischen Handy-Herstellers Nokia, ist Zu den angebotenen Dienstleistungen gehören Panorama- und Landkartenab- ein US-amerikanischer Anbieter von Geodaten zum Einsatz in Navigations- bildungen, die mit Geodaten verknüpft sind. Die Unterschiede zwischen diesen geräten. Straßen und andere Objekte werden geometrisch und digital erfasst Diensten sind meist nur sehr gering: Im Allgemeinen zeigen Panoramadienste und an Hersteller von Navigationsgeräten vertrieben. Navteq deckt bisher im Internet virtuelle 360-Grad-Ansichten von Stadt und Land. Wer sie nutzt, mit seinen Geodaten im Wesentlichen die westeuropäischen Staaten ab. hat die Möglichkeit, selbsttätig zu navigieren, das Bild zu zoomen oder zu • Das niederländisch-belgische Unternehmen Tele Atlas ist einer der größten schwenken. Bei dem Datenmaterial handelt es sich um Echtbilder (Standbilder, Konkurrenten von Navteq. Tele Atlas ist Hersteller digitaler Karten für Geo- bisher noch keine Live-Aufnahmen), die die tatsächliche Gebäude- bzw. Land- informationssysteme (GIS), standortbezogene Dienste (sog. Location Based schaftsstruktur zeigen. Landkartendienste hingegen verwenden in der Regel Services, LBS) und für Navigationssysteme. schematische, abstrakte Darstellungen, die nur ein symbolisches Abbild der Wirklichkeit wiedergeben. Wie oben erwähnt, bieten einige Landkartendienste • Beim Panoramadienst sightwalk.de wird den Internetnutzenden ein Fla- neben schematischen Darstellungen auch Satellitenbilder an. Reine Geoda- nieren aus der Fußgängerperspektive mit 360-Grad-Schwenk durch ausge- tendienste zeigen wiederum digital erfasste Bilder von Gebäude- oder Grund- wählte Straßen einiger deutscher Städte ermöglicht. stücksansichten, die über Geokoordinaten eindeutig lokalisiert und damit einer • Die Internetseite berlin-street-view.de ermöglicht trotz ihres leicht ver- Gebäudeadresse und dem Gebäudeeigentümer sowie den Bewohnern zuge- wirrenden Namens keine freie, flächendeckende Navigation wie Google ordnet werden können. Diese Georeferenzierung kann als Navigations- und Street View. Es werden wie bei sightwalk.de ebenfalls ausgewählte Straßen Orientierungshilfe genutzt werden. Berliner Kieze im 360-Grad-Schwenk angeboten. Per Mausklick auf eine der angebotenen Straßen wird ein youtube-Video der Straßenszene gezeigt. Im Folgenden sollen exemplarisch einige Panorama-, Landkarten- oder Geo- datendienste kurz skizziert werden: Während Landkartendienste wie Google Maps oder stadtplandienst.de trotz der Georeferenz datenschutzrechtlich weitgehend unauffällig blieben, weil • Die Internetsuchmaschine Bing von Microsoft bietet ähnlich wie Google keine Panoramabilder gezeigt wurden, war der Start von Google Street View die Möglichkeit, die Suchanfrage in der Kategorie „Landkarten“ anzeigen im November von großem Medieninteresse begleitet. Seitdem besteht für die zu lassen. Dabei können Satellitenbilder in der Draufsicht oder Bilder aus Internetnutzenden die Möglichkeit, durch sämtliche Straßen der 20 größten der Vogelperspektive aus allen Himmelsrichtungen betrachtet werden. Ein deutschen Städte30 virtuell zu navigieren. Heranzoomen ist dabei bedingt möglich. • Das Projekt OpenStreetMap hat das Ziel, freie Geodaten über Straßen, Eisenbahnen, Flüsse, Wälder, Häuser und alles andere, was gemeinhin auf 30 Berlin, Bielefeld, Bochum, Bonn, Bremen, Dortmund, Dresden, Duisburg, Düsseldorf, Essen, Frankfurt am Main, Hamburg, Hannover, Köln, Leipzig, Mannheim, München, Nürnberg, Karten zu sehen ist, zu erfassen. Diese Daten stehen allen Nutzenden lizenz- Stuttgart und Wuppertal 24 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 25
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Das lückenlose Navigieren durch die Straßen und das Heranzoomen der Bil- zur Unkenntlichmachung von Gesichtern, Kfz-Kennzeichen und Gebäu- der erfolgt per Mausklick. Google hat dafür mit Kamerawagen seit 2008 31 deansichten. Die Rohdaten werden gelöscht, sobald sie hierfür nicht mehr 360-Grad-Panoramabilder aus der Perspektive von Passanten angefertigt. erforderlich sind. Dadurch entsteht der Eindruck, als würden die Nutzenden selbst die Straße 8. Soweit Personen, Kfz-Kennzeichen und Gebäudeansichten aufgrund eines entlanggehen und die Gegend um sich herum erkunden. Widerspruchs zu entfernen sind, müssen auch die entsprechenden Roh daten gelöscht werden. Ihre Löschung erfolgt bereits vor der Veröffent Der Datenschutz hat bei der Veröffentlichung dieser Bilddaten eine beson- lichung, wenn der Widerspruch bis zu einem Monat vor Veröffentlichung dere Rolle gespielt, da neben personenbeziehbaren Daten wie Hausfassaden, der Bilder bei Google eingeht. Später oder nach Veröffentlichung einge- Autokennzeichen und Grundstücken auch personenbezogene Daten von Pas- hende Widersprüche führen zu einer Löschung der Rohdaten binnen zwei santinnen und Passanten erhoben wurden. Um die Persönlichkeitsrechte der Monaten. Betroffenen zu wahren, hat Google daher dem Hamburgischen Beauftragten 9. Es wird ein Verfahrensverzeichnis erstellt. für Datenschutz und Informationsfreiheit folgende 13 Zusicherungen gegeben: 10. Im Falle von Verknüpfungen des Dienstes durch andere Anbieter behält 1. Vor der Veröffentlichung von derartigen Aufnahmen wird eine Technologie sich Google in den Nutzungsbedingungen das Recht vor, bei offensichtli- zur Verschleierung von Gesichtern eingesetzt. cher Verletzung anwendbarer Gesetze dies zu unterbinden. 2. Vor der Veröffentlichung derartiger Aufnahmen wird eine Technologie 11. Eine Beschreibung der Datenverarbeitungsprozesse und der technischen zur Verschleierung von Kfz- Kennzeichen eingesetzt. und organisatorischen Maßnahmen für Google Street View wird vorgelegt. Insbesondere gehört hierzu auch eine deutliche Beschreibung des Umgangs 3. Eigentümer und Bewohner können der Darstellung „ihres“ Gebäudes mit den Widerspruchsdaten von der Entgegennahme des Widerspruchs bis widersprechen, Google wird das Gebäude dementsprechend unkenntlich zur endgültigen Löschung. machen. 12. Der Widerspruch kann nach wie vor im Internet unter www.google.de/ 4. Widersprüche zu Personen, Kennzeichen und Gebäuden bzw. Grundstü- streetview über den Button „Ein Problem melden“ oder schriftlich bei der cken werden bereits vor der Veröffentlichung von Bildern in einer einfa- Google Germany GmbH, betr.: Street View, ABC-Straße 19, 20354 Ham- chen Form berücksichtigt mit der Folge, dass die entsprechenden Bilder vor burg eingelegt werden. der Veröffentlichung unkenntlich gemacht werden. Voraussetzung ist eine Identifizierung des Grundstücks, der Person oder des Fahrzeugs. 13. Google bestätigt den Eingang der eingelegten Widersprüche zeitnah. 5. Geplante Befahrungen werden mit einem Hinweis auf die Widerspruchs- möglichkeit im Internet rechtzeitig vorher bekannt gegeben. Die vorhande- Bevor Street View in Deutschland startete, konnten Bürgerinnen und Bürger nen Befahrungspläne werden bis zu zwei Monate im Voraus veröffentlicht seit April 2009 per Brief oder E-Mail und zusätzlich seit August 2010 auf der und ständig aktualisiert. Google hat außerdem zugesagt, die Liste genauer Internetseite von Google Maps Deutschland einen Vorabwiderspruch einlegen, zu gestalten und auf Landkreise und kreisfreie Städte zu erstrecken. damit ihr Haus oder ihre Wohnung bei Street View unkenntlich gemacht wird. 6. Die Widerspruchsmöglichkeit besteht auch nach der Veröffentlichung. Gegen eine Veröffentlichung hatten im Vorfeld rund eine Viertelmillion Bür- gerinnen und Bürger aus den 20 Städten32 Widerspruch eingelegt. 7. Google benötigt die Rohdaten nach eigenen Angaben zur Weiterentwick- lung und Verbesserung der vom Unternehmen entwickelten Technologie 31 Vgl. JB 2008, 8.4.1 32 Vgl. Fn. 29 26 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 27
Kapitel 1 Technische Rahmenbedingungen 1.1 Entwicklung der Informationstechnik Da das von Google eingesetzte Verfahren zur Unkenntlichmachung von Abbil- auf andere EU-Mitgliedstaaten oder auf das weltweite Street View-Angebot dungen vor der Veröffentlichung überwiegend automatisiert ablief, war nicht abgelehnt hat. auszuschließen, dass es zu Fehlern kam. Diese führten dazu, dass nicht alle Häu- ser, Personen oder Kraftfahrzeuge hinreichend unkenntlich gemacht wurden. Um einen allgemein verbindlichen Rechtsrahmen für georeferenzierte Pano Auch nach der Veröffentlichung in Street View besteht daher für Bürgerin- ramadienste festzulegen, beschloss der Bundesrat im Juli einstimmig einen nen und Bürger die Möglichkeit, die Unkenntlichmachung von Abbildungen Gesetzentwurf, der wesentliche Elemente der für Street View vereinbarten zu beantragen. Maßnahmen aufgriff33. Die Bundesregierung lehnte diesen Gesetzentwurf aller- dings umgehend als „Lex Google“ ab, der zudem eine zu technikabhängige Sofern sich also Betroffene über einzelne Fehler in der Veröffentlichung bei Regulierung vorsehe. Tatsächlich hat der Bundesrat weder ein verfassungsrecht- Street View beschweren oder nachträglich ihr Haus, ihre Wohnung oder ihr lich problematisches Einzelfallgesetz vorgeschlagen, noch ging es ihm um die Kraftfahrzeug unkenntlich machen lassen wollen, können sie dies auf der ent- Regulierung einer bestimmten Technik. Die Kritik der Bundesregierung geht sprechenden Abbildung tun. Auf jeder Abbildung von Street View befindet deshalb an der Sache vorbei. Das Bundesinnenministerium favorisiert dagegen sich unten links der Button „Ein Problem melden“. Wenn etwas zu beanstan- eine Selbstregulierung durch die Anbieter, gekoppelt mit einer gesetzlich defi- den ist, kann diese Anwendung durch Anklicken geöffnet werden. Es erscheint nierten „Roten Linie“, die nicht überschritten werden darf . 34 eine Seite, auf der zu meldende Probleme folgenden Rubriken zugeordnet werden können: Dementsprechend legte der Branchenverband BITKOM kurz vor Ende des Berichtszeitraums den Entwurf eines Verhaltenskodexes für Geodatendienste • Bedenken in Bezug auf die Privatsphäre: Unkenntlichmachung des vor, der zum Ziel hat, einheitliche Grundsätze für alle Anbieter solcher Dienste Gesichts, des eigenen Hauses, des eigenen Autos oder Kfz-Kennzeichens; in Deutschland zu etablieren. Der Entwurf blieb allerdings in mehreren Punk- • Unangemessener Inhalt: z. B. Nacktheit, eigene Person in unangemessener ten hinter den von Google für Street View gegebenen Zusicherungen zurück. Umgebung; Die Datenschutzaufsichtsbehörden werden sich in Gesprächen mit dem BIT- • Sonstiges: falsch positioniertes Bild, falsche Adresse oder falsch ausgerich- KOM für entsprechende Verbesserungen einsetzen. Als zuständige Aufsichtsbe- tete Navigationspfeile, schlechte Bildqualität, mögliche Sicherheitsgefähr- hörde haben wir den BITKOM außerdem darauf hingewiesen, dass ein Verhal- dung durch Veröffentlichung des Bildes. tenskodex nur dann rechtliche Verbindlichkeit erlangt, wenn wir Gelegenheit Anschließend sollte das Problem in dem dafür vorgesehenen Feld beschrieben erhalten, ihn auf die Vereinbarkeit mit dem geltenden Datenschutzrecht zu werden. Die Angabe einer E-Mail-Adresse ist erforderlich. Es wird empfohlen, überprüfen35. Diese Prüfung wird sich auch darauf erstrecken, ob die geplan- dafür eine Adresse zu verwenden, die nicht für private Zwecke genutzt wird. ten Verhaltensregeln die Durchführung datenschutzrechtlicher Regelungen In der Bildvorschau ist der Problempunkt einzugrenzen. fördern, also einen datenschutzrechtlichen Mehrwert aufweisen. Dann würde der BITKOM-Verhaltenskodex sich in das vom Bundesgesetzgeber vorgege- Google hat seine Zusicherungen weitgehend eingehalten. Beim Start des bene Konzept der „regulierten Selbstregulierung“ einfügen. Street View-Dienstes festgestellte Fehler wurden – nach ihrer Meldung – offenbar umgehend beseitigt. Dass Google den Einwänden vieler Menschen in Deutschland – wenn auch erst auf Drängen der zuständigen Aufsichtsbehörde – in dieser Weise entsprochen hat, ist als Erfolg für den Datenschutz anzu- 33 Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes, BR-Drs. 259/10 sehen. Nicht nachvollziehbar ist dagegen, weshalb das Unternehmen sich für (Beschluss) 34 Vgl. P. König: Rote Linie und Daten-Kodex. In: c’t 1/2011, S. 36 eine deutsche „Insellösung“ entschieden und eine Übertragung dieser Praxis 35 Vgl. § 38 a BDSG 28 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 29
Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung Grundsätzlich geht es um die Frage, wie frei Bildaufnahmen im öffentlichen • Koordination der Zusammenarbeit von Bund und Ländern in Fragen der Raum künftig sein dürfen. Voraussetzung für eine datenschutzfreund Informationstechnik; liche Gestaltung aller Panorama-, Landkarten- oder Geodatendienste muss • Beschluss fachunabhängiger und fachübergreifender IT-Interoperabilitäts- die Berücksichtigung der schutzwürdigen Interessen der Betroffenen sein. und IT-Sicherheitsstandards; Generelle Verhaltensregeln für Geodatendienste sollten sich an den Zusi cherungen orientieren, die Google für den deutschen Street View-Dienst • Steuerung von Projekten zu Fragen des informations- und kommunika gemacht hat. tionstechnisch unterstützten Regierens und Verwaltens (E-Government- Projekte), die dem IT-Planungsrat zugewiesen werden; • Koordination bei der Errichtung des Verbindungsnetzes nach Maßgabe des aufgrund von Art. 91 c Abs. 4 GG ergangenen Bundesgesetzes. 1.2 Datenverarbeitung in der Berliner Verwaltung Dem Planungsrat gehören der Beauftragte der Bundesregierung für Informa- 1.2.1 IT-Politik tionstechnik sowie je ein für Informationstechnik zuständiger Vertreter jedes Landes an. Beratende Teilnehmer sind drei Vertreter der Gemeinden und IT-Planungsrat Gemeindeverbände sowie der Bundesbeauftragte für den Datenschutz und die Der neue Art. 91 c Grundgesetz (GG) erlaubt Bund und Ländern, bei der Pla- Informationsfreiheit. nung, der Errichtung und dem Betrieb der für ihre Aufgaben notwendigen informationstechnischen Systeme zusammenzuarbeiten. Sie können die dafür In der Geschäftsordnung wurde nach Intervention der Bundesländer geregelt, notwendigen Standards und Sicherheitsanforderungen festlegen. Die Länder dass zusätzlich ein Vertreter der Landesdatenschutzbeauftragten an den Sit- dürfen informationstechnische Systeme in gemeinsamen Einrichtungen betrei- zungen teilnehmen darf, sofern die Länder betreffende datenschutzrechtliche ben. Der Bund errichtet für das Zusammenwirken der Netze des Bundes und Belange erörtert werden38. Dies entspricht nicht ganz dem Wunsch der Kon- der Länder auf Grundlage eines Bundesgesetzes ein Verbindungsnetz. ferenz der Datenschutzbeauftragten des Bundes und der Länder, die die regel- mäßige Einbindung der Landesdatenschutzbeauftragten für geboten hielt39. Zur Koordination dieser Zusammenarbeit nahm der IT-Planungsrat im April Da jeder Beschluss über fachunabhängige und fachübergreifende IT-Interope- seine Arbeit auf. Er hat damit die bisherigen Gremien zur Koordination der rabilitäts- und IT-Sicherheitsstandards, gemeinsame E-Government-Projekte Bund-Länder-übergreifenden IT-Projekte (den Arbeitskreis der Staatssekre- und Sicherheitsfragen des Verbindungsnetzes Datenschutzfragen der Länder täre für E-Government in Bund und Ländern und den Kooperationsausschuss berühren, dürfte sich faktisch kaum ein Unterschied ergeben. von Bund und Ländern für automatisierte Datenverarbeitung (KoopA ADV)) abgelöst. E-Government in Berlin In Berlin wurden die Arbeiten an den künftigen E-Government-Struktu- Im Mai36 trat ein Vertrag zur Ausführung von Art. 91 c GG nach Ratifizierung ren fortgesetzt. Dabei geht es darum, die Online-Anbindung der Bürgerin- durch alle Bundesländer in Kraft, der die Grundlagen für die Arbeit des Pla- 37 nen und Bürger an ihre Verwaltung auszubauen und nicht nur einen Bera- nungsrats beschreibt. Danach hat er folgende Aufgaben: 38 Diese Aufgabe nimmt der Landesbeauftragte für Datenschutz und Informationsfreiheit 36 Gesetz zum Vertrag über die Errichtung des IT-Planungsrats und über die Grundlagen der Mecklenburg-Vorpommern wahr, der auch Vorsitzender des Arbeitskreises Technik der Kon- Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund ferenz der Datenschutzbeauftragten des Bundes und der Länder ist. und Ländern – Vertrag zur Ausführung von Artikel 91 c GG vom 27. Mai 2010, BGBl. I, S. 662 39 Entschließung vom 8./9. Oktober 2009: Staatsvertrag zum IT-Planungsrat – Datenschutz 37 Z. B. für Berlin durch Gesetz vom 3. März 2010, GVBl. S. 126 darf nicht auf der Strecke bleiben, vgl. Dokumentenband 2009, S. 16 30 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 31
Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung tungs- oder Formularservice, sondern nach und nach auch rechtlich verbindli- Das Senatsprogramm setzt auch die Änderung von Verwaltungsregelungen vor- che Verwaltungsdienstleistungen anzubieten, die den Menschen zeitraubende aus. Insbesondere ist die Gemeinsame Geschäftsordnung (GGO) für die Berli- Behördenbesuche ersparen können. Terminvereinbarungen bei Bürgeräm- ner Verwaltung fortzuschreiben, die die neuen Zugangswege der Bürgerinnen tern, Online-Kraftfahrzeug-Anmeldungen über Neuwagenhändler, Online- und Bürger zu den Behörden und die computergestützte Weiterbearbeitung Beratung von Hörgeschädigten in der Gebärdensprechstunde über Internet- der Anliegen regeln muss. Wie erfolgt der elektronische Postein- und -ausgang, Videotelefonie, die Auskunftserlangung über die einheitliche Behörden- wie die Mitzeichnungen, wie die revisionssichere Langzeitspeicherung? Rufnummer D-115 sind bereits heute in Berlin möglich und sollten noch längst nicht das Ende der Möglichkeiten sein. Ein wesentlicher Motor dieser Die rechtlichen, organisatorischen, technischen und wirtschaftlichen Rahmen- Entwicklung ist auch die technische Umsetzung der europäischen Dienstleis- bedingungen des Einsatzes von Dokumentmanagement- und Vorgangsbear- tungsrichtlinie, die die verbindliche Auskunftserteilung und den Austausch ver- beitungssystemen sind in vier Verwaltungsprojekten untersucht worden. Ein bindlicher Dokumente zwischen Dienstleistungsanbietern in Europa und der 2. Zwischenbericht wurde dem Senat Anfang 2010 zur Kenntnisnahme vor- Institution des Einheitlichen Ansprechpartners über das Internet voraussetzt. 40 gelegt . Er konkretisiert den Anpassungsbedarf der Gemeinsamen Geschäfts- 41 ordnung, die Notwendigkeit eines E-Government-Gesetzes und ergänzender Aber es geht darüber hinaus auch um die technische Unterstützung der aus organisatorischer Regelungen für den Übergang von der Papierakte zur elek- dem Bürger-Behörden-Kontakt resultierenden Verwaltungsprozesse in den tronischen Akte, den Umgang mit elektronischen Signaturen und E-Mails, der Behörden. Die bislang in papierenen Akten dargestellten Entscheidungsprozesse Langzeitspeicherung und Aussonderung von Schriftgut, den Bedarf an Schu- müssen der elektronischen Akte weichen, die mittels eindeutiger Identifikato- lungen und den Aufbau eines Landesreferenzmodells für die technischen und ren oder Text-Retrieval-Datenbanken schneller auffindbar ist, die von verschie- organisatorischen Anforderungen an den Einsatz von DMS/VBS. denen Stellen aus gleichzeitig gelesen oder gar bearbeitet werden kann, die kei- nen Archivplatz, sondern quasi unbegrenzt verfügbaren Speicherplatz benötigt. Für 2011 wurde ein Referentenentwurf für ein Berliner E-Government- Gesetz angekündigt. Einen solchen Gesetzentwurf gibt es bisher nur in Schles- Das Senatsprogramm ServiceStadtBerlin setzt die elektronische Führung ver- wig-Holstein . Die Zeitplanung auf Bundesebene sieht vor, dass ein Gesetz bis 42 bindlicher Akten voraus. Dies bedeutet, dass die bisher geltenden, häufig stren- Ende 2012 verabschiedet wird43. gen Aktenführungsregeln, die die Verbindlichkeit, Beweiskraft und Nachvoll- ziehbarkeit der Aktenführung gewährleisten sollen, auf die elektronische Akten- führung mittels Informationstechnik übertragen werden müssen. Moderne 1.2.2 IT-Sicherheit Software für das Dokumentenmanagement und die Vorgangsbearbeitung (DMS/VBS), die diesen Ansprüchen genügen kann, wenn man die vorhande- Gegen Jahresende berichteten alle Zeitungen über den erheblichen Anstieg von nen Möglichkeiten ausschöpft, existiert längst. Aber mit der Beschaffung der Angriffen auf deutsche Behördencomputer, nach Feststellung des Bundes- Hard- und Software allein kann das Programm nicht ausgefüllt werden. Kom- amtes für Verfassungsschutz zumeist von staatlichen chinesischen Stellen, und plexer sind die Anpassungen der Behördenstrukturen an diese neuen Arbeits- von den Plänen der Bundesregierung, ein „Cyber-Abwehr-Zentrum“ einzu- methoden und Werkzeuge, die organisatorischen Vorbereitungen, die Abstim- mung zwischen unterschiedlichen Interessenvertretungen, die Überwindung 41 Im Intranet des Landes Berlin: http://www.verwalt-berlin.de/seninn/itk/rahmenbedingun- von Vorbehalten gegen umfassende technische Neuerungen und die Erziehung gendms_vbs/index.html#sv der Beschäftigten zu einem neuen Sicherheitsbewusstsein. 42 http://www.landtag.ltsh.de/infothek/wahl16/drucks/2400/drucksache-16-2437.pdf 43 T. Laier: E-Government-Gesetz des Bundes, Vortrag auf der Messe „Moderner Staat 2010“ in Berlin, vgl. http://www.berlin.de/imperia/md/content/verwaltungsmodernisierung/ 40 Vgl. 10.7 sowie JB 2008, 11.5; JB 2009, 10.9 modernerstaat2010/101011_laier_e_government_gesetz.pdf 32 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 33
Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung richten, das diesen Bedrohungen begegnen soll. Diese Angriffe dienen nicht Die Berliner IT-Sicherheitsgrundsätze und die jährlich aktualisierten IT-Stan- der Sabotage der Behördensysteme, sondern der Ausforschung gespeicherter dards als Verwaltungsvorschriften konkretisieren dies noch. Für alle logisch, Geheimnisse. Dennoch werden sie mit dem Thema Cyberkrieg44 in Verbin- organisatorisch oder räumlich zusammengehörigen Bereiche mit einheitli- dung gebracht. Generell stellt sich die Frage der Informationssicherheit deut- chen Sicherheitsanforderungen, die sog. Sicherheitsdomänen, ist mindestens scher Behördencomputer und damit nicht zuletzt auch der Sicherheit der IT- ein Grundschutz durch Anwendung des IT-Grundschutzkatalogs des Bundes- Systeme und -Anwendungen der Berliner Verwaltung. amtes für Sicherheit in der Informationstechnik (BSI) zu realisieren. Sofern die Schutzbedarfsanalyse (Teil des BSI-Standards 100-2) hohen oder sehr hohen Ob die Systeme der Berliner Landesverwaltung das Interesse chinesischer Schutzbedarf ergibt, sind zusätzliche Risikoanalysen (IT-Sicherheitshandbuch Hacker wecken, ist zweifelhaft. Immerhin ist in den letzten Jahren das Bewusst- des BSI oder BSI-Standard 100-3) erforderlich und darauf aufbauend zusätzli- sein dafür in der Berliner Verwaltung gewachsen, dass die Sicherheit ihrer che Sicherheitsmaßnahmen zu ermitteln. Diese Regelung der IT-Sicherheits- informationstechnischen Systeme und Verfahren einen höheren Stellenwert grundsätze folgt den Vorgaben des Verfahrens nach den IT-Grundschutzkata- genießen muss, wenn man nicht doch einmal als Opfer eigener Fahrlässigkeit logen . 45 oder erfolgreicher Angriffe von außen gezwungen sein will, die Dienstleistun- gen für Bürgerinnen und Bürger ganz oder teilweise einzustellen. Als Standard definieren die IT-Sicherheitsgrundsätze Sicherheitskonzepte für die Domänen „Landeseinheitliche IT-Infrastruktur und IT-Dienste“ unter Die rechtlichen Regelungen zur Informationssicherheit in Berlin können der Vorgabe hohen Schutzbedarfs, „Behörden“ für die verfahrensunabhängige zu Recht als vorbildlich angesehen werden. Mit ihren Forderungen nach kon- behördliche Infrastruktur sowie „Verfahren“ für die verfahrensspezifischen kreten Maßnahmen lassen sie keinen Raum mehr für Auslegungen, die auf Sicherheitsanforderungen. Die sog. verfahrensspezifischen Sicherheitskon- einen Verzicht auf die Umsetzung hinauslaufen. Die selbstverständliche For- zepte sind diejenigen, die das BlnDSG verlangt. Sie beschreiben die Maß- derung nach der Angemessenheit der Maßnahmen lässt sich nicht mehr dafür nahmen, die erforderlich sind, um das behördliche Sicherheitskonzept den missbrauchen, aus Kostengründen auf das notwendige Sicherheitsniveau zu ver- Besonderheiten des Anwendungsverfahrens anzupassen. Fehlt ein behördliches zichten, weil angemessene Maßnahmen genau jene sind, die die als nicht trag- Sicherheitskonzept, muss das gesetzlich verlangte verfahrensspezifische Konzept bar erkannten Risiken auf ein tragbares Maß reduzieren, und nicht jene, die um die Maßnahmen ergänzt werden, die auch verfahrensunabhängig für die im Verhältnis zu den sonstigen IT-Kosten hinreichend billig sind. Das Niveau genutzten Infrastrukturteile in einem behördlichen Sicherheitskonzept ent- der Sicherheitsmaßnahmen hat sich nicht an den Kosten des eingesetzten Ver- halten sein müssten. Sonst wäre das Sicherheitskonzept in wesentlichen Berei- fahrens zu orientieren, sondern am Schutzbedarf der im Verfahren verarbei- chen unvollständig. teten Daten. Die IT-Sicherheitsgrundsätze und die IT-Standards empfehlen zur vereinfach- Dies berücksichtigt § 5 BlnDSG. Er verlangt, dass vor einer Entscheidung über ten und vereinheitlichten Umsetzung des Verfahrens nach den IT-Grundschutz- den Einsatz oder eine wesentliche Änderung der automatisierten Datenverar- katalogen für behördenübergreifende einheitliche Sicherheitsanforderungen beitung die technischen und organisatorischen Maßnahmen zur Gewährleis- die Anwendung des sog. Modellsicherheitskonzepts. Dieses setzt das Verfahren tung der aufgeführten Schutzziele auf der Grundlage einer Risikoanalyse und nach den Grundschutzkatalogen um, berücksichtigt aber vorab alle Regelun- eines Sicherheitskonzepts ermittelt werden müssen. Dabei sollen die Maßnah- gen und die Sicherheitsmaßnahmen der zentralen IT-Infrastruktur der Berli- men dem angestrebten Schutzzweck angemessen und am jeweiligen Stand der ner Verwaltung. Technik ausgerichtet sein. 45 Eine Ausnahme ist die Option, für Risikoanalysen noch die Methode des IT-Sicherheits- 44 Vgl. 1.1.1 handbuchs von 1992 zu verwenden. Dies ist aus unserer Sicht hinnehmbar. 34 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 35
Kapitel 1 Technische Rahmenbedingungen 1.2 Datenverarbeitung in der Berliner Verwaltung Damit ist in der Berliner Verwaltung gesetzlich klargestellt, dass verfahrens Die Umfrage betrifft die behördlichen Sicherheitskonzepte und gibt keinen spezifische Sicherheitskonzepte erstellt werden müssen, und es ist untergesetz- Aufschluss darüber, inwieweit die gesetzlich vorgeschriebenen verfahrensspe- lich festgelegt, wie dies zu geschehen hat. zifischen Sicherheitskonzepte erstellt worden sind. Das Gesetz schreibt solche Konzepte seit 2001 vor, zuvor waren sie schon seit 1999 aufgrund einer Ver- Die IT-Sicherheitsgrundsätze legen auch fest, dass das IT-Kompetenzzentrum waltungsvorschrift zu erstellen. Es muss daher davon ausgegangen werden, dass bei der Senatsverwaltung für Inneres und Sport einen jährlichen IT-Sicher- bei allen IT-Verfahren des Landes seitdem Neukonzeptionen oder wesent heitsbericht erstellt. Daraus ergeben sich auf der Basis einer Selbstauskunft der liche Änderungen vorgenommen worden sind und deshalb verfahrensspezifi- Behörden Jahr für Jahr vergleichbare Zahlen ... sche Sicherheitskonzepte vorliegen müssten. Aber selbst bei neuen IT-Verfahren ist es eher die Regel, dass sie ohne Sicherheitskonzepte in Betrieb genommen .... 2007 2008 2009 werden und diese erst irgendwann danach – wenn überhaupt – fertiggestellt werden. Aktuell gilt dies für zwei IT-Verfahren, bei denen man das nicht erwar- über die Anzahl der Selbstauskunft 71 68 72 ten sollte, weil sie im Bereich der Eingriffsverwaltung eingesetzt werden: erteilenden Behörden, die Anzahl der Behörden mit vorliegendem 47 47 48 Seit Januar 2008 betreibt die Senatsverwaltung für Finanzen im Rahmen des behördlichen Sicherheitskonzept, Anschlusses an den EOSS-Verbund („Evolutionär orientierte Steuersoftware“) wie viele davon von den Behördenleitungen 37 35 36 ein neues Besteuerungsverfahren, das im Wesentlichen von der bayerischen bestätigt wurden, Steuerverwaltung entwickelt worden ist und für das aufgrund der dortigen Rechtslage kein verfahrensspezifisches Sicherheitskonzept erstellt wurde . Im 46 wie viele gegenwärtig erarbeitet werden, 24 21 23 September 2010 erhielten wir die Mitteilung, dass die Entwicklung eines auf wie viele Behörden regelmäßige 27 18 20 die Berliner Verhältnisse zugeschnittenen Sicherheitskonzepts fortgeschritten Schulungen vornehmen sei und dass es uns möglicherweise noch im gleichen Jahr übersandt werden bzw. ein IT-Sicherheitsmanagement 32 37 43 sollte. Dies ist nicht geschehen. eingerichtet haben und wie viele für die IT-Sicherheit keine 7 13 15 Ende Mai berichtete die Presse, dass ab sofort im Autobahntunnel Britz Ressourcen zur Verfügung stellen. scharf geblitzt wird. Gleichzeitig erhielten wir die „Errichtungsanordnung für das Betreiben einer stationären Geschwindigkeitsüberwachungsanlage Tun- nel Ortsteil Britz“. Damit erfuhren wir, dass zur unmittelbaren Auswertung Die Zahlen zeigen nur wenige Veränderungen, was die Sicherheitskonzepte der Schwarzlicht-Überwachungsmaßnahmen im Tunnel Britz ein IT-Verfah- angeht. Da viele Behörden an solchen arbeiten, sollte man erwarten, dass die ren eingesetzt wird, bei dem die Mess- und Bilddaten der Aufnahmekameras Zahlen steigen. Da die Zahl der in Arbeit befindlichen Sicherheitskonzepte auf einen Server in der Tunnelzentrale übertragen, dort auf eine DVD kopiert ebenfalls relativ konstant bleibt, muss man daraus schließen, dass die Erar- und damit an die Bußgeldstelle übermittelt werden. Ein verfahrensspezifisches beitung in manchen Behörden als Daueraufgabe angesehen wird, die nicht Sicherheitskonzept haben wir in einer ersten Stellungnahme angemahnt. Als zu Ende gebracht wird. Unerfreulich ist der nach wie vor geringe Anteil an Reaktion wurde uns die Fertigstellung einiger Teile mitgeteilt. Nach der Bean- Behörden, die regelmäßige Schulungen vornehmen, erfreulich dagegen der standung des rechtswidrigen Einsatzes des IT-Verfahrens gegenüber der zustän- Anstieg der Zahlen für das IT-Sicherheitsmanagement. Besorgniserregend sind digen Senatorin für Stadtentwicklung teilte diese uns mit, dass sie den Polizei- die Selbstauskünfte zur Ressourcenbereitstellung für die IT-Sicherheit, die mittlerweile ein Fünftel der befragten Behörden für entbehrlich hält. 46 Vgl. JB 2009, 1.2.2 36 Jahresbericht BlnBDI 2010 Jahresbericht BlnBDI 2010 37
