0160-6329321 info@webmore.org
Blog
Unbenannt 1

Kommunen verschlüsseln meistens mit De-Mail

Die Kommunen tun sich weiter schwer mit der Umsetzung der Datenschutz-Grundverordnung. Manche verstehen unter Daten-Verschlüsselung einen abschließbaren Raum für Datenträger.

Die öffentliche Hand ist mehr als ein Jahr nach Inkrafttreten der EU-Datenschutzgrund-Verordnung (DSGVO) noch immer nicht fit – weder aus Sicht des Datenschutzes noch der IT-Sicherheit. Dieser alarmierende Befund geht aus einer Umfrage der baden-württembergischen Landesdatenschutzbehörde hervor, die sie unter rund 1.100 Gemeinden zum Umsetzungsstand der DSGVO im Sommer 2019 durchgeführt hat. Im Ergebnis zeigen sich vor allem im Bereich der Datensicherheit „häufig ungenügende Zustände“, die jetzt „dringend“ nachgebessert werden sollen.

Alle Kommunen müssen mit personenbezogenen Daten umgehen. Zu den sensibelsten Daten gehören wohl die Vorgänge um die Ausstellung von Personalausweisen und Pässen, Meldebescheinigungen und Führerscheinen. Umso erstaunlich ist es, dass bisher rund die Hälfte der Gemeinden die Datenträger ihrer Desktop-Computer, Laptops und Server sowie mobile Datenträger nicht verschlüsseln. Welche Daten von diesen lückenhaften Sicherheitsmaßnahmen betroffen sind, ist bisher nicht bekannt.

Schlüssel oder Verschlüsselung?

Am häufigsten setzen die Gemeinden die Verschlüsselungssoftware Bitlocker ein, gefolgt von Veracrypt und dessen veraltetem Vorgänger Truecrypt. Für die Datenschutzaufsichtsbehörde ist klar, dass sich mit der zu geringen Verbreitung von Datenträgerverschlüsselung ein mangelndes Wissen in Sachen IT-Sicherheit zeigt. Sie weist darauf hin, dass einige Gemeinden die Frage nach der Verschlüsselung von Datenträgern offensichtlich nicht verstanden haben. Denn es kam mehrfach zu Antworten wie diesen: „Alle Datenträger befinden sich in mit Schlüsseln abschließbaren Räumen. Zudem wird der Eingang des Rathauses mit einem Zugangscode gesichert.“

Überdies vermuteten mehrere Gemeinden, dass ein RAID-System Verschlüsselung ersetzen könne und antworteten: „Rekonstruktion der Daten nach Diebstahl und Auflösung des RAID-Verbunds ist quasi ausgeschlossen.“ So stimmt es zwar, dass es nicht möglich ist, aus einer einzelnen Festplatte das komplette Dateisystem zu rekonstruieren. Dennoch können Daten im Klartext extrahiert werden. „Liegen dem Angreifer ausreichend viele Festplatten vor, lassen sich auch alle Daten rekonstruieren“, klärt die Datenschutzbehörde auf. Sie empfiehlt, stets alle Datenträger zu verschlüsseln, da ein Risiko nicht nur im Fall des Diebstahls, sondern auch bei der Entsorgung besteht.

Keine Ende-zu-Ende-Verschlüsselung über Behördennetz

Überdies gaben nur über 50 Prozent der Gemeinden an, über ein gesichertes Behördennetz „Ende-zu-Ende-verschlüsselt“ zu kommunizieren. Nur neun Prozent nutzen dafür auch eine Transportverschlüsselung. Die Aufsichtsbehörde hält die geringe Verbreitung von TLS für „erstaunlich“ angesichts dessen, dass es sich um eine Mindestvoraussetzung für sichere Kommunikation handelt. Auch weist sie darauf hin, dass die Kommunikation über ein gesichertes Behördennetz keine Ende-zu-Ende-Verschlüsselung sei: „Die Daten werden dabei nur während der Übertragung, nicht aber auf den beteiligten Servern verschlüsselt gespeichert. Dadurch ist grundsätzlich kein Schutzniveau erreicht, das für die regelmäßige Übertragung von Artikel-9-Daten ausreichend ist.“

Alle E-Mail-Diensteanbieter hätten sich an die Technische Richtlinie „Sicherer E-Mail-Transport (BSI TR-03108)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu halten, die den Einsatz von Transportverschlüsselung beinhaltet. Die Kommunen müssten deshalb darauf achten, dass ihre Dienstleister diese Anforderungen erfüllten.

Überdies bieten nur 30 Prozent der Gemeinden Bürgern die Möglichkeit, mit ihnen sicher mit Ende-zu-Ende-Verschlüsselung per E-Mail zu kommunizieren. Am häufigsten bieten sie die De-Mail an. Nur vier Gemeinden gaben an, dass sie ihren Bürgern auch eine sichere Kommunikation über OpenPGP anbieten. Allerdings konnte die Aufsichtsbehörde auf den jeweiligen Webseiten der Gemeinden sowie öffentlichen Schlüsselservern keine öffentlichen Schlüssel finden. Die Aufsichtsbehörde erwartet, dass die Gemeinde eine oder mehrere Methoden der Ende-zu-Ende-Verschlüsselung anbieten. Allerdings haben nur wenige Gemeinden den Einsatz von Ende-zu-Ende-Verschlüsselung geprüft.

Die Umfrage zeigt die Faustregel: Je größer die Gemeinde, desto häufiger wird Videoüberwachung eingesetzt. Während sie bei nur 9 Prozent der kleinen Kommunen zum Einsatz kommt, sind es 67 Prozent der größten Kommunen, die sich dazu entschließen. Aus Furcht vor Vandalismus und um die Sicherheit der Mitarbeiter zu erhöhen, werden vor allem Schulhöfe außerhalb der Schulzeit, Parkhäuser und Tiefgaragen, Freibäder, Bauhof oder Wertstoffhof, die Feuerwehr oder der Eingang des Rathauses überwacht.

Ein externer Datenschutzbeauftragte für 50 Kommunen

Die Datenschutz-Aufsicht erwartet allerdings, dass vor allem in den Bereichen Schulhöfe und Schwimmbäder zunächst eine Datenschutz-Folgenabschätzung vorgenommen wird, weil mit der Überwachung möglicherweise tiefer in die Persönlichkeitsrechte eingegriffen werden kann. Vereinzelt gaben die Kommunen jedoch auch an, dass es keine Übersicht gebe, wo im Gemeindegebiet Videoüberwachung eingesetzt werde. Das ist für die Aufsichtsbehörde „nicht zu akzeptieren“.

Ein größeres Problem besteht wohl darin, dass die Kommunen oftmals einen externen Datenschutzbeauftragten kostengünstig bestellt haben, der aber in der Praxis für ihre Probleme kaum Zeit hat. Der kommunale IT-Dienstleister ITEOS etwa stellt einen externen Datenschutzbeauftragten für immerhin 700 Kommunen bereit, wobei es aber zu einem Betreuungsschlüssel von 1 Beauftragten auf 50 Kommunen kommt.

In diesem Fall „ist die ordnungsgemäße Aufgabenwahrnehmung gem. Art. 39 DSGVO nicht garantiert“, schreibt die Datenschutzaufsicht den Kommunen ins Stammbuch. Letztlich tragen nämlich die Kommunen die Verantwortung dafür, dass ihr Datenschutzbeauftragter über die ausreichenden Ressourcen verfügt. Für den Landesdatenschutzbeauftragten Stefan Brink ist klar: „Ein hauptamtlicher externer Datenschutzbeauftragter sollte nicht mehr als 15 bis 20 Gemeinden betreuen.“

 

Kontaktieren Sie uns falls Sie weitere Fragen haben!

 

Verwendete Quellen:

  • eigene Recherche
  • bsi.de
  • golem.de

Und besuchen Sie uns doch einfach auch mal bei Facebook oder Twitter

Frühere Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner