7.2        IT-Sicherheitsmanagement in der Landesverwaltung Das IT-Sicherheitsmanagementteam ist das zentrale Koordinierungs- gremium zu Fragen der Informationssicherheit in der Landesverwaltung. Ihm gehören die IT-Sicherheitsbeauftragten der Ressorts an, die Leitung obliegt dem IT-Sicherheitsmanager des Landes. Unsere Behörde wirkt in dem Gremium seit seiner Gründung beratend mit. Obwohl das IT-Sicherheitsmanagementteam bereits seit 2008 besteht, gab es bislang keine Geschäftsordnung für seine Arbeit. Diese wurde im Be- richtszeitraum jedoch erforderlich, um Abstimmungs- und Entscheidungspro- zesse zu formalisieren und die Verbindlichkeit zu erhöhen. Die Geschäftsord- nung wurde unter Berücksichtigung der Festlegungen in der E-Government- und IT-Organisationsrichtlinie sowie der IT-Sicherheitsleitlinie für die Landes- verwaltung verabschiedet. In den vergangenen beiden Jahren führte das IT-Sicherheitsmanagement- 35 team seine Arbeit kontinuierlich fort. So wurden z. B. Fragen der Informati- onssicherheit in landesweiten DV-Projekten erörtert, Sicherheitsvorfälle analysiert und entsprechende Konsequenzen gezogen sowie der weitere Aufbau des zentralen Sicherheitsinformationssystems für die Landesverwal- tung beim Brandenburgischen IT-Dienstleister (ZIT-BB) begleitet. Im Mittel- punkt der Aktivitäten stand jedoch die Erarbeitung und Verabschiedung landesweit einheitlicher technischer und organisatorischer Richtlinien für die Informationssicherheit. Der intensive Diskussionsprozess fand dabei in Ar- beitsgruppen unter Federführung des ZIT-BB statt. Im Ergebnis liegen Richt- linien u. a. für folgende Bereiche vor:  Schutz vor Viren und anderer Schadsoftware: Die Richtlinie beschreibt, wie im Informationsverbund der Landesverwaltung der Virenschutz ge- währleistet wird. Hierzu erfolgt eine Klassifizierung der IT-Systeme, de- ren Einstufung in Gefährdungsklassen und die Definition mehrerer Schutzzonen. Für jede Schutzzone werden geeignete Maßnahmen des Virenschutzes vorgesehen.  Absicherung von Netzübergängen: Zur Abschottung des Kernnetzes der Landesverwaltung von Fremdnetzen sind Firewalls einzusetzen. Die Richtlinie enthält u. a. eine Klassifikation der Fremdnetze hinsichtlich ih- rer Vertrauenswürdigkeit und Konsequenzen für die Architektur und die erforderlichen Sicherheitswirkungen der jeweils einzusetzenden Fire- walls. 35 siehe Tätigkeitsbericht 2010/2011, A 10.2 Tätigkeitsbericht 2012/2013 LDA Brandenburg                                    71

 Regelungen zu Passwörtern: Neben grundlegenden Festlegungen zu Passwörtern (wie Länge, Zeichenvorrat, Häufigkeit der Änderung) für IT- Systeme in der Landesverwaltung enthält die Richtlinie Aussagen zur Hinterlegung von Passwörtern für bestimmte Rollenträger und Notfälle sowie zu Verfahren für die Rücksetzung von Passwörtern, falls Nutzer diese vergessen haben.  Fernwartung von Benutzerarbeitsplätzen: Im Zuge der Übertragung von Aufgaben auf den Brandenburgischen IT-Dienstleister hat dieser auch die Betreuung von Arbeitsplatz-PCs der Benutzer in den Ressorts über- nommen. In der Richtlinie wird u. a. geregelt, welche Anforderungen an die Fernwartung der PCs durch den Dienstleister zu erfüllen sind, welche Rechte und Pflichten Wartungspersonal sowie Benutzer haben und wie Wartungsvorgänge protokolliert werden. Aktuell befasst sich das IT-Sicherheitsmanagementteam u. a. mit der Erarbei- tung einer Richtlinie zur Mandantentrennung von Verfahren, die beim Bran- denburgischen IT-Dienstleister für die Landesverwaltung betrieben werden, und setzt dabei auch die entsprechende Orientierungshilfe der Konferenz der 36 Datenschutzbeauftragten des Bundes und der Länder um. Zusätzlich wurde eine Arbeitsgruppe für Grundsatzfragen eingerichtet, die sich frühzeitig mit ausgewählten Zukunftsthemen der Informationssicherheit in der Landesverwaltung befassen soll. Zu den ersten Schwerpunkten dieser 37 Arbeitsgruppe gehören z. B. die Einführung von IPv6 sowie des sicheren Namensdienstes DNSsec im Landesverwaltungsnetz oder die sicherheits- technischen Auswirkungen des Trends, private mobile Endgeräte auch für 38 dienstliche Zwecke verwenden zu wollen. Die Abstimmung und Vorbereitung von Entscheidungsgrundlagen in Arbeits- gruppen des IT-Sicherheitsmanagementteams hat sich bewährt. Bereits beschlossene Richtlinien müssen nun zügig durch die Ressorts und den Brandenburgischen IT-Dienstleister umgesetzt werden. Weitere landesweit einheitliche Richtlinien sind unter Berücksichtigung der Themen, die in der Arbeitsgruppe für Grundsatzfragen identifiziert wurden, zu erarbeiten. 36 siehe B 2.1 37 siehe Tätigkeitsbericht 2010/2011, A 3.4 38 siehe A 2 72                                     Tätigkeitsbericht 2012/2013 LDA Brandenburg

7.3         Novellierung der IT-Standards für die Landesverwal- tung Gemäß der IT-Standardisierungsrichtlinie des Landes Brandenburg sind die geltenden IT-Standards jährlich zu überprüfen und fortzuschreiben. Nach ihrer ersten Veröffentlichung im Jahr 2004 wurden die Standards 2008, 2010 und 2012 aktualisiert. Welche Neuigkeiten bringt die letzte Novellierung? Mit den IT-Standards werden ressortübergreifend grundlegende Techniken (Protokolle, Schnittstellen, Datenformate und Methoden) sowie konkrete Implementationen (Produkte und Verfahren) für den Einsatz der Informations- technik in der Landesverwaltung festgelegt. Ziele sind neben der Erhöhung der Wirtschaftlichkeit und der Sicherheit von Verfahren auch die Vereinheitli- chung und Gewährleistung der Kompatibilität beim IT-Betrieb. Die IT- Standards sind als Anlage 2 Bestandteil der IT-Standardisierungsrichtlinie des Landes. 39 Bei ihrer Aktualisierung im Jahr 2012 stand neben der inhaltlichen Weiter- entwicklung auch eine strukturelle Anpassung der IT-Standards im Vorder- grund. Insbesondere waren die Arbeiten zur IT-Standardisierung auf Bundes- ebene zu beachten, die unter dem Namen SAGA (Standards und Architektu- ren für E-Government-Anwendungen) zusammengefasst werden. Die aktuel- le Version SAGA 5 zeichnet sich durch ihren modularen Charakter, die grö- ßere Flexibilität bei der Fortschreibung, eine höhere Verbindlichkeit sowie die Möglichkeit domänen- oder fachspezifischer Spezialisierungen aus. Letzteres führte zu der neuen Bezeichnung „SAGA de.bb 5.0.0“ für die aktuellen IT- Standards der Landesverwaltung Brandenburg. Aus Sicht des Datenschutzes und der Informationssicherheit ist es als positiv zu bewerten, dass eine Reihe von Festlegungen für die Landesverwaltung als verbindlich in den IT-Standards verankert wurden. Hierzu gehören:  Bei der Gewährleistung der Informationssicherheit muss der IT- Grundschutz auf Basis der Empfehlungen in den Standards des Bun- desamtes für Sicherheit in der Informationstechnik (BSI) und den BSI- Grundschutzkatalogen in der jeweils aktuellen Fassung gewährleistet werden. 39 Richtlinie über die Anwendung der IT-Strategie und von IT-Standards in der Landesverwaltung Brandenburg vom 15. Juni 2004, zuletzt geändert durch die Bekanntmachung vom 12. Dezember 2012 (ABl. 09/13 S. 505) Tätigkeitsbericht 2012/2013 LDA Brandenburg                                                 73

 Für das Erstellen von Sicherheitskonzepten müssen die methodischen Vorgaben des BSI in den BSI-Standards 100-1 bis 100-4 beachtet wer- den.  Die Feststellung des Schutzbedarfs muss auf Grundlage festgelegter, 40 landesweit einheitlicher Schutzbedarfskategorien erfolgen.  Zur Abschottung des Kernnetzes der Landesverwaltung von anderen Netzen müssen Firewalls eingesetzt werden, deren Sicherheitswirkung 41 in Abhängigkeit von der Vertrauenswürdigkeit der Fremdnetze steigt. Eine separate Firewall ist jeweils erforderlich zur Abschottung von Si- cherheitsdomänen, in denen Daten mit hohem oder sehr hohem Schutz- bedarf verarbeitet werden.  Bei der Datenübermittlung in Weitverkehrsnetzen (z. B. dem Landesver- waltungsnetz) müssen Daten normalen Schutzbedarfs bezüglich der Vertraulichkeit mit einer Netzverschlüsselung (d. h. zwischen Ausgangs- punkt des lokalen Quellnetzes und Eingangspunkt des lokalen Zielnet- zes) gesichert werden. Bei Daten mit hohem oder sehr hohem Schutz- bedarf sollte eine Ende-zu-Ende-Verschlüsselung vorgesehen werden. SAGA de.bb ist bei Beschaffung, Erstellung und Weiterentwicklung von IT- Systemen der Landesverwaltung anzuwenden. Die Vorgaben der Standards gelten für alle neuen IT-Systeme direkt und in vollem Umfang. Für bestehen- de IT-Systeme gelten sie nur für Erweiterungen des Funktionsumfanges, welche ggf. zu kapseln sind. Unabhängig davon sollte jedoch für das gesam- te bestehende IT-System geprüft werden, ob die Umsetzung der aktuellen Vorgaben von SAGA de.bb möglich und vorteilhaft ist. Die Verankerung von Mindestanforderungen für die Informationssicherheit in den IT-Standards des Landes Brandenburg ist grundsätzlich zu begrüßen. Im Rahmen der regelmäßigen Fortschreibung der Dokumente sind die Inhalte an die technische Entwicklung sowie an geänderte Gefährdungslagen anzupas- sen. 40 siehe Tätigkeitsbericht 2010/11, A 10.2 41 siehe B 7.2 74                                      Tätigkeitsbericht 2012/2013 LDA Brandenburg

7.4        Technische Kontrolle beim Brandenburgischen IT- Dienstleister Im Berichtszeitraum führten wir eine von den einzelnen Fachverfahren unabhängige, mehrtägige Kontrolle der Informationstechnik beim Bran- denburgischen IT-Dienstleister (ZIT-BB) durch. Diese zeigte Mängel bei der Umsetzung technisch-organisatorischer Maßnahmen auf. Der ZIT-BB ist zentraler IT-Dienstleister für die unmittelbare Landesverwal- tung. Er betreibt u. a. das Landesrechenzentrum und das Landesverwal- tungsnetz (LVN). Die Kontrolle beschränkte sich auf die interne Informations- technik und Datenverarbeitung. In den nachfolgenden Betrachtungen sind die wesentlichen Ergebnisse zusammengefasst. 7.4.1      Erstellung von IT-Sicherheitskonzepten Vor dem erstmaligen Einsatz von automatisierten Verfahren, mit denen per- sonenbezogene Daten verarbeitet werden, ist von der Daten verarbeitenden Stelle zu untersuchen, ob von diesen Verfahren spezifische Risiken für die Rechte und Freiheiten der Betroffenen ausgehen können. Die Freigabe eines automatisierten Verfahrens darf gem. § 7 Abs. 3 Brandenburgisches Daten- schutzgesetz (BbgDSG) nur erteilt werden, wenn ein aus einer Risikoanalyse entwickeltes IT-Sicherheitskonzept ergeben hat, dass diese Risiken durch technisch-organisatorische Maßnahmen nach § 10 Abs. 1 und 2 BbgDSG beherrscht werden können. Entsprechend der technischen Entwicklung ist die Ermittlung der zu treffenden technischen und organisatorischen Maßnahmen in angemessenen Abständen zu wiederholen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt in seinen Standards 100-2 und 100-3 die Vorgehensweise bei der Erstellung von IT-Sicherheitskonzepten und gibt in den IT-Grundschutzkatalogen Emp- fehlungen zu geeigneten Sicherheitsmaßnahmen. In der IT-Sicherheitsleitlinie 42 und den IT-Standards des Landes wurde die Anwendung dieser Dokumente für die Landesverwaltung als verbindlich erklärt. Die uns vom ZIT-BB vorgelegten IT-Sicherheitskonzepte befanden sich zum Teil noch in Bearbeitung. Die Analyse der Dokumente ergab gute Ansätze bei der Etablierung eines umfassenden IT-Sicherheitsprozesses. Die Empfehlun- gen des BSI zur Vorgehensweise wurden beachtet. Die abgeleiteten Sicher- heitsmaßnahmen müssen nun konsequent und vollständig umgesetzt wer- den. 42 siehe B 7.3 Tätigkeitsbericht 2012/2013 LDA Brandenburg                               75

Auf Grund der Komplexität der zu betrachtenden IT-Verbünde und Verfahren müssen aus unserer Sicht dem IT-Sicherheitsbeauftragten des ZIT-BB und den an der Umsetzung der jeweiligen Sicherheitsmaßnahmen beteiligten Mitarbeitern zur Erfüllung ihrer Aufgaben mehr Ressourcen zur Verfügung gestellt werden. Die befragten Beschäftigten brachten mehrfach zum Aus- druck, dass aufgrund der Überleitung von IT-Aufgaben aus den Ressorts der Landesverwaltung zum ZIT-BB, der Heterogenität der genutzten IT- Infrastruktur sowie der parallel stattfindenden Konsolidierungsbemühungen beim Dienstleister der größte Anteil ihrer Arbeitszeit allein für die reine Auf- rechterhaltung des IT-Betriebes aufgebracht werden muss. 7.4.2     Datenschutzbeauftragter des ZIT-BB Der behördliche Datenschutzbeauftragte hat gem. § 7a Abs. 5 BbgDSG die Aufgabe, die Daten verarbeitende Stelle bei der Ausführung der Daten- schutzvorschriften zu unterstützen und die Realisierung von technischen und organisatorischen Maßnahmen zu überprüfen. Er hat weiterhin die Aufgabe, die Vorabkontrolle nach § 10a BbgDSG vorzunehmen. Eine Vorabkontrolle ist für solche Verfahren zur automatisierten Verarbeitung personenbezogener Daten durchzuführen, von denen besondere Risiken für die Rechte und Freiheiten der Betroffenen ausgehen können. Die Prüfung der Rechtmäßigkeit einer Datenverarbeitung und die Kontrolle der zu realisierenden technischen und organisatorischen Maßnahmen kann der behördliche Datenschutzbeauftragte nur dann durchführen, wenn er fachlich dazu in der Lage ist und ihm genügend Zeit zur Wahrnehmung seiner Funktion zur Verfügung steht. Aufgrund der vielfältigen Aufgaben, die der Datenschutzbeauftragte des ZIT-BB bewältigen muss, forderten wir die Be- freiung von anderen Fachaufgaben. Der ZIT-BB hat zwischenzeitlich eine neue behördliche Datenschutzbeauftragte benannt und ihr mehr Ressourcen zur Erfüllung ihrer Aufgaben zur Verfügung gestellt. 7.4.3     Verfahrensverzeichnisse Für Verfahren, mit denen personenbezogene Daten automatisiert verarbeitet werden, ist gem. § 8 BbgDSG ein Verfahrensverzeichnis zu erstellen. In dem Verzeichnis sind wesentliche Informationen über das Verfahren und seine datenschutzrechtlichen bzw. -technischen Eigenschaften zusammenzustel- len. Diese Informationen umfassen z. B. die Zweckbestimmung und Rechts- grundlage des Verfahrens, die betroffenen Personengruppen, die verarbeite- ten Daten bzw. Datenkategorien, geplante Datenübermittlungen sowie eine Zusammenfassung der technischen und organisatorischen Sicherheitsmaß- nahmen. 76                              Tätigkeitsbericht 2012/2013 LDA Brandenburg

In Vorbereitung unserer Prüfung wurde uns vom ZIT-BB eine Übersicht über die erstellten Verfahrensverzeichnisse übersandt. Während der Prüfung wurden die Verfahrensverzeichnisse auf Vollständigkeit und Aktualität über- prüft. Der größte Teil der uns vorgelegten Verfahrensverzeichnisse entsprach den gesetzlichen Anforderungen. 7.4.4       Organisations- und Dienstanweisungen Gem. § 10 BbgDSG sind neben technischen auch organisatorische Maß- nahmen festzulegen und umzusetzen, um den Datenschutz zu gewährleisten. Ein Großteil der uns vorgelegten Organisations- und Dienstanweisungen war veraltet und stark überarbeitungsbedürftig. So wurde beispielsweise in der „Dienstanweisung für den Einsatz von Informationstechnik im Landesamt für Datenverarbeitung und Statistik Brandenburg“ vom 29. Juni 2000 noch eine Mindestpasswortlänge von 6 Zeichen gefordert. Das Bundesamt für Sicher- heit in der Informationstechnik (BSI) fordert schon seit Jahren eine Passwort- länge von mindestens 8 Zeichen. Wir forderten den ZIT-BB auf, die Organisa- tions- und Dienstanweisungen zeitnah zu überarbeiten und dem aktuellen Stand der Technik anzupassen. 7.4.5       Gebäude- und Raumsicherung Zu den Serverräumen erhalten nur berechtigte Mitarbeiter Zutritt. Die instal- lierten Brand- und Einbruchmeldeanlagen sind zum Pförtnerdienst des ZIT- BB, der rund um die Uhr besetzt ist, aufgeschaltet. Im Falle eines Alarms wird der Leiter vom Dienst des ZIT-BB informiert, der dann weitere Entscheidun- gen trifft. In zwei Serverräumen entsprachen die Stromversorgung sowie die zur Küh- lung der Technik benötigte Klimaanlage nicht dem Stand der Technik. Berich- tet wurde, dass in heißen Sommermonaten die Klimaanlage auf dem Dach des Gebäudes manuell mit Wasser gekühlt werden muss, um einen Ausfall des Klimasystems zu verhindern. Wir sahen hier dringenden Handlungsbe- darf: Gem. § 10 Abs. 2 Nr. 3 BbgDSG sind technische und organisatorische Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass personen- bezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Sicherstellung der Verfügbarkeit). Weiterhin existierte für die Serverräume kein Notfallkonzept. Ein Ausfallre- chenzentrum ist bis heute nicht vorhanden. Bei einer Havarie in den Räumen wären nicht nur die Server des ZIT-BB selbst betroffen, sondern auch dieje- nigen der diversen Querschnitts- und Fachverfahren des Landes. Beim Aus- fall dieser Technik wären weite Teile der Landesverwaltung nur noch einge- schränkt arbeitsfähig. Tätigkeitsbericht 2012/2013 LDA Brandenburg                                77

Erschwerend kommt hinzu, dass der Mietvertrag für den Standort des ZIT-BB ausläuft. Zur Gewährleistung der Planungssicherheit des ZIT-BB muss der schon seit Jahren geplante Neubau eines modernen Rechenzentrums forciert werden. 7.4.6     Fileserver des ZIT-BB Auf dem Fileserver des ZIT-BB befinden sich u. a. die Home-Verzeichnisse der Nutzer, die Dezernatsverzeichnisse und die Verzeichnisse von Projekt- gruppen. Die Passwortrestriktionen für die Benutzer entsprachen unseren Forderungen. Die minimale Passwortlänge der administrativen Zugänge und Dienstkonten sollte jedoch mindestens 14 Zeichen betragen. Die Vergabe von Zugriffsrechten sollte revisionssicher protokolliert werden. Zum Zeitpunkt der Kontrolle war es nur mit einem unverhältnismäßig hohen Aufwand möglich, die konkreten Rechte eines Benutzers zu ermitteln und zu dokumentieren. Das Serverbetriebssystem Windows 2008 stellt hierzu nur sehr rudimentäre Funktionen zur Verfügung. Darüber hinaus empfahlen wir dringend, zusätzliche Rechtemanagementsoftware zu beschaffen, mit der die Berechtigungen administriert und dokumentiert werden können. Weiterhin forderten wir die Erstellung und Umsetzung eines Virenschutzkonzepts für die Fileserver. 7.4.7     Kommunikationsserver des ZIT-BB Auf dem zentralen Kommunikationsserver werden neben den E-Mail- Postfächern der Beschäftigten des ZIT-BB selbst auch Postfächer von Mitar- beitern anderer Daten verarbeitenden Stellen (u. a. verschiedener Ministe- rien) ohne wirksame Trennung gespeichert. Diese gemeinsame Speicherung von Postfächern auf einem Server halten wir für unzulässig. Die Datenverar- beitung muss gem. § 7 Abs. 1 Satz 3 BbgDSG so organisiert sein, dass bei der Verarbeitung die Trennung der Daten nach den jeweils verfolgten Zwe- cken und nach unterschiedlichen Betroffenen möglich ist. Im Rahmen der Konsolidierung der E-Mail-Systeme in der Landesverwaltung sind deshalb die Postfächer der verschiedenen Daten verarbeitenden Stellen schnellstmöglich auf separaten physischen oder virtuellen Servern abzulegen. Weiterhin bemängelten wir, dass Softwaretests derzeit im Produktivsystem durchgeführt werden. Dadurch können Störungen nicht ausgeschlossen werden. Zur Sicherstellung der Verfügbarkeit forderten wir die Installation von Testsystemen. 78                              Tätigkeitsbericht 2012/2013 LDA Brandenburg

7.4.8      Datenträgerentsorgung Auszusondernde Datenträger (u. a. Festplatten, CDs, DVDs) wurden zum Zeitpunkt der Kontrolle zentral in einem Raum in verschlossenen Behältern gelagert und bei Bedarf von einer Entsorgungsfirma datenschutzgerecht entsorgt. Der Raum war verschlossen und nur durch Berechtigte zu betreten. Der ZIT-BB hat mit der betreffenden Entsorgungsfirma einen Datenträgerver- nichtungsvertrag abgeschlossen. In diesem Vertrag werden zwar die techni- schen und organisatorischen Maßnahmen im Rahmen der Entsorgung be- schrieben. Da nicht ausgeschlossen werden kann, dass sich auch sensitive personenbezogene Daten auf den Datenträgern befinden, forderten wir die vertragliche Festschreibung einer gem. der geltenden DIN-Norm (zurzeit 43 DIN 66399) geeigneten Sicherheitsstufe für die Vernichtung. Der ZIT-BB hat das Dokument zwischenzeitlich entsprechend angepasst. 7.4.9      Intranet des ZIT-BB Auf das hausinterne Intranet des ZIT-BB konnten zum Zeitpunkt der Kontrolle grundsätzlich alle am Landesverwaltungsnetz angeschlossenen Einrichtun- gen zugreifen. Dieser Sachverhalt war den meisten befragten Mitarbeitern nicht bekannt. Im Intranet wurde eine Vielzahl von internen Dokumenten (u. a. Dienstanweisungen, Informationen des Personalrates, Gebäudegrund- risse) zum Abruf bereitgehalten. In der Dienstvereinbarung über die Einführung eines WebOrganigramms (WebOrg) wird in § 2 Abs. 1 u. a. ausgeführt, dass die in WebOrg eingegebe- nen Daten ausschließlich im Hausnetz des ZIT-BB zugänglich sind. Die vorgefundene Verfahrensweise stellte einen Verstoß gegen diese Dienstver- einbarung dar. Wir forderten den ZIT-BB auf, den Zugriff auf das Verfahren WebOrg umgehend auf die Mitarbeiter des ZIT-BB zu beschränken. Die Maßnahme wurde vom ZIT-BB zeitnah umgesetzt. 7.4.10     Sicherheit der Arbeitsplatzcomputer Während der Kontrolle wurde ein Arbeitsplatzcomputer (APC) des Personal- dezernates geprüft. Der APC war mit einem Virenscanner ausgestattet, der auch automatisch aktualisiert wurde. Erforderliche Sicherheitsupdates wur- den automatisch eingespielt, um Sicherheitslücken des Betriebssystems schnellstmöglich zu schließen. Die Passwortvergabe entsprach den derzeiti- gen Anforderungen: Der Nutzer musste ein mindestens 8-stelliges Passwort verwenden, welches nach spätestens 90 Tagen zu ändern war. 43 siehe B 2.4 Tätigkeitsbericht 2012/2013 LDA Brandenburg                              79

Wir empfahlen, aufgrund der Vielzahl von Passwörtern, die sich Nutzer im ZIT-BB für diverse Fachanwendungen merken müssen, zur Erhöhung der Sicherheit zukünftig eine Single-Sign-On-Anmeldung auf Chipkartenbasis zu realisieren. Die externen Schnittstellen der APCs waren zum Zeitpunkt der Kontrolle im ZIT-BB nicht gesperrt. Die Nutzer konnten damit z. B. USB-Geräte oder CD/DVD-Laufwerke frei verwenden. Diese Verfahrensweise stellt ein erhebli- ches Sicherheitsrisiko dar. Es kann nicht ausgeschlossen werden, dass Daten unberechtigt kopiert werden. Um eine missbräuchliche Nutzung aus- zuschließen, forderten wir, die externen Schnittstellen der APCs zentral zu administrieren und nur im erforderlichen Maße freizugeben. Im Personaldezernat werden sensitive personenbezogene Daten (Personal- daten) verarbeitet und zurzeit unverschlüsselt zentral auf dem Fileserver gespeichert. Auf diese Weise ist es möglich, dass die jeweiligen Daten auch durch andere Mitarbeiter (wie z. B. Administratoren) unberechtigt eingesehen oder manipuliert werden. Durch den Einsatz kryptographischer Verfahren (z. B. symmetrische und asymmetrische Verschlüsselung, digitale Signatur) ließe sich dieser Missbrauch verhindern. Derartige Verfahren sind heute Stand der Technik und können mit vertretbarem Aufwand eingesetzt werden. Mindestens folgende Verzeichnisse sollten nach unserer Ansicht auf dem Fileserver verschlüsselt werden:  Verzeichnis, in dem Personaldaten gespeichert werden,  Verzeichnis, in dem Haushaltsdaten gespeichert sind,  Verzeichnis des behördlichen Datenschutzbeauftragten,  Verzeichnis des Personalrates,  Verzeichnis der Gleichstellungsbeauftragten. Der ZIT-BB hat uns in seiner Stellungnahme zum Prüfbericht mitgeteilt, dass die erforderlichen Maßnahmen im Rahmen des geplanten Konsolidierungs- projektes mit betrachtet werden. 7.4.11    Telekommunikationsanlage Im ZIT-BB kommt für die Telekommunikation flächendeckend Voice over IP (VoIP) zum Einsatz. Die Daten und Signalisierungsströme wurden zum Zeit- punkt der Kontrolle verschlüsselt. Es ist aus Sicht des Datenschutzes und der Informationssicherheit zwingend erforderlich, diese Verfahrensweise auch bei 80                              Tätigkeitsbericht 2012/2013 LDA Brandenburg