Systemadministration unter Einhaltung von Datenschutz

Aus Winfwiki

Bachelorarbeit
Hochschule:	Hochschule für Oekonomie & Management
Standort:	Hamburg
Studiengang:	Bachelor Wirtschaftsinformatik
Veranstaltung:
Betreuer:	Prof. Dr. Uwe Willanwarning.png„Prof. Dr. Uwe Willan“ gehört nicht zu den möglichen Werten dieses Attributs (Dipl-Inf._(FH)_Jörg_Muschiol, Dr._Vladimir_Stantchev, Prof._Dr._Ralf_Hötling, Prof._Dr._Uwe_Kern, Dipl-Inf._(FH)_Christian_Schäfer, Prof._Dr._Gregor_Sandhaus).
Typ:	Bachelorarbeit
Themengebiet:	Systemadministration und Datenschutz
Autor(en):	Jens Fuchs (224375)
Studienzeitmodell:	Abendstudium
Semesterbezeichnung:	WS11/12
Studiensemester:	7
Bearbeitungsstatus:	Bearbeitung abgeschlossen
Prüfungstermin:
Abgabetermin:	28.01.2012

Inhaltsverzeichnis 1 Einleitung 1.1 Problemstellung 1.2 Zielsetzung 1.3 Vorgehensweise 2 Grundlagen 2.1 Systemadministration 2.1.1 Teilgebiete 2.1.1.1 Benutzerservice 2.1.1.2 Anwendungsbetreuung 2.1.1.3 Rechenzentrum 2.1.2 Erweiterte Zugriffsrechte durch Systemadministratoren 2.1.2.1 Notwendigkeit 2.1.2.2 Risiken 2.1.3 Begriffsabgrenzung 2.2 Datenschutz 2.2.1 Beeinträchtigung des Persönlichkeitsrechts 2.2.2 Personenbezogene Daten 2.2.3 Erhebung, Verarbeitung und Nutzung 2.2.4 Betriebsbeauftragter 2.2.5 Bundesbeauftragter 2.2.6 Schutzmaßnahmen 2.2.7 Auftragsdatenverarbeitung 2.2.8 Beschäftigungsverhältnisse 2.3 Aufbau der Testumgebung 2.3.1 Virtualisierung 2.3.2 Server 2.3.3 Workstation 2.3.4 DLP-Software 3 Systemadministration unter Einhaltung von Datenschutz 3.1 Technischer Vergleich 3.1.1 Access Control Lists 3.1.2 Encrypting File System 3.1.3 Data-Loss-Prevention 3.1.3.1 Aufbau 3.1.3.1.1 Einstufungen 3.1.3.1.2 Regelvorlagen 3.1.3.1.3 Firmenrichtlinien 3.1.3.2 Merkmale 3.2 Kaufmännischer Vergleich 3.2.1 Allgemein 3.2.2 Scoring-Matrix 3.3 Bewertung 4 Schlussbetrachtung 5 Fußnoten 6 Anhänge 6.1 Abbildungsverzeichnis 6.2 Abkürzungsverzeichnis 6.3 Literaturverzeichnis 6.4 Rechtsquellenverzeichnis 6.5 Rechtsprechungsverzeichnis

1 Einleitung

1.1 Problemstellung

Der Einsatz von Systemadministratoren zur Betreuung von IT-Systemen, Anwendungen und Benutzern ist eine nicht mehr wegzudenkende Komponente in Unternehmen ab einer gewissen Größe. Dass Systemadministratoren dabei möglicherweise alle erdenklichen elektronischen Rechte haben, sollte nachdenklich stimmen. Vertrauliche Dokumente von Mitarbeitern und über Mitarbeiter wie Personalakten und Gehaltsabrechnungen, aber auch Personalentwicklungsstrategien und Gehaltsverhandlungsspielräume von Personalverantwortlichen sind so unter Umständen unbehelligt einsehbar. "Gelegenheit macht Diebe" kann einem bei diesen Szenarien durch den Kopf gehen. So sind Gerichtsurteile gegen Systemadministratoren auf Abwegen ohne langes Suchen zu finden^[1]. Tatsächlich können die, die alles dürfen, die Spuren solcher Taten leicht verwischen. Denn wer kontrolliert Systemadministratoren bei ihrer Arbeit? Sind Systemadministratoren tatsächlich "ein allgemeines IT-Sicherheitsrisiko"^[2]? Ist es durch Boardmittel von etablierten Betriebssystemen überhaupt möglich, die Rechte von Systemadministratoren so anzupassen, dass sie vertrauliche Dokumente nicht einsehen können? Können sie dann bei eingeschränkten Rechten trotzdem z.B. im Datenrücksicherungsfall Ihrer Arbeit nachkommen? All dies sind spannende Fragen, die sich jeder Arbeitnehmer und Arbeitgeber in einem Unternehmen fragen sollte. Denn sie haben einer missbräuchlichen Nutzung im datenschutzrechtlichen Sinne nicht zugestimmt.

1.2 Zielsetzung

Ziel der Arbeit ist die Auseinandersetzung mit dem Thema Datenschutz in Kombination mit der Ausübung von Systemadministration. Die Ausübung von Systemadministration wird dazu abstrahiert auf den Zugriff von Ordnern zum Zwecke der Datensicherung und Datenwiederherstellung. Es soll eine Methode gefunden werden, mit der die Ausübung von Systemadministration möglich ist, ohne dass der Datenschutz durch den Systemadministrator verletzt wird. Darüber hinaus soll die Arbeit Denkanstöße geben und eine kritische Sicht auf die Tätigkeiten der Systemadministration ermöglichen.

1.3 Vorgehensweise

Es werden die Grundlagen zu den Themengebieten Systemadministration und Datenschutz erarbeitet und dargelegt. Dazu wird die Arbeit von Systemadministratoren abstrahiert dargestellt und Sicherheitsrisiken in Bezug auf den Missbrauch von personenbezogenen Daten ansatzweise genannt. Der Hauptteil beschäftigt sich mit der Frage, inwiefern Systemadministratoren ihrer Arbeit ohne Einschränkung nachgehen können, ohne dabei den Datenschutz zu verletzen. Dazu wird anhand einer einfachen Testumgebung eine Windows-Ordnerstruktur simuliert, in der verschiedene Abteilungen ihre Datenbereiche nutzen. Abteilungen, die mit hoher Wahrscheinlichkeit personenbezogene Daten ihrer Mitarbeiter verarbeiten, sind Personal- und Finanzabteilung. Es soll untersucht werden, mit welchen Mitteln solche Abteilungen gegen Datenschutzverstöße durch Administratoren abgesichert werden können. Denkbar ist das Nutzen von Rechtestrukturen mittels Access Control Lists (ACL), wobei zu klären ist, ob diese ausreichend schützen ohne den Systemadministrator in seiner Arbeit zu behindern. Das Nutzen verschlüsselter Ordner mittels Encrypting File System (EFS) soll ebenso untersucht werden. Das Nutzen einer Data-Loss-Prevention-Software (DLP-Software) erscheint als eine vielversprechende Lösung und wird daher exemplarisch untersucht. Der Vergleich der drei Methoden soll anhand technischer und kaufmännischer Aspekte erfolgen.

2 Grundlagen

2.1 Systemadministration

2.1.1 Teilgebiete

Systemadministration kann in vielerlei Hinsicht in Teilgebiete aufgetrennt werden. Nachfolgend wird die Aufteilung in drei Gruppen als eine Möglichkeit gewählt: Der Benutzerservice als Verbindung zwischen Benutzer und Systemadministration, die Anwendungsbetreuung zum Verwalten der Anwendungen und das Rechenzentrum als Dienstleistungseinheit zur Verfügungstellung von Infrastrukturdiensten. Nachfolgend wird im Detail auf die Teilgebiete der Systemadministration eingegangen.

2.1.1.1 Benutzerservice

Der Benutzerservice bildet die Schnittstelle zwischen den Benutzern und der Systemadministration. Eine Telefon- und Mail-Hotline kann eingerichtet sein, um den zu betreuenden Benutzern eine komfortable Möglichkeit der Störungsmeldung zu ermöglichen. Sind die Störfälle anwendungsspezifisch, kann die Anwendungsbetreuung eingeschaltet werden. Im Fall eines Störfalles auf Systemebene kann der Fall vom Rechenzentrum bearbeitet werden. Dies kann jeweils durch Überweisen des Falls in einem Ticket-Bearbeitungssystem an die jeweilige Abteilung erfolgen. Optimalerweise wird ein Störfall im überwiegenden Maße bereits beim Benutzerservice gelöst. Eine Aufschaltung des Mitarbeiters vom Benutzerservice auf den Bildschirm des Benutzers ist hier ein Mittel der Wahl. Da der Benutzerservice in diesem Fall mit den Benutzerrechten des Benutzers agieren kann, stellt dies ein erhebliches Sicherheitsrisiko dar. Es ist daher überlegenswert, die Aufschaltung des Mitarbeiters vom Benutzerservice durch den Benutzer genehmigen zu lassen und alle Aktionen des Benutzerservice durch das Programm zur Aufschaltung protokollieren zu lassen. Bei den weiteren Betrachtungen wird die Tätigkeit der Mitarbeiter des Benutzerservice jedoch ausgegrenzt, da der Fokus auf den unbemerkten missbräuchlichen Zugriff gelenkt werden soll.

2.1.1.2 Anwendungsbetreuung

Die Anwendungsbetreuung dient dem Verwalten von Anwendungen, sodass die Anforderungen an die Anwendung erfüllt werden. So können auch in Anwendungen spezifische Rechte auf Benutzerkonten oder Gruppen aus der Active Directory gegeben werden. Hier ist eine Zusammenarbeit mit dem Rechenzentrum gegebenenfalls sinnvoll. Wird eine neue Anwendung eingeführt, die Daten von bestehenden Anwendungen nutzen soll, sind Schnittstellen hilfreich. Schnittstellen sind Programmmodule, die das Austauschen von Daten zwischen Anwendungen ermöglichen. Das Programmieren, Pflegen und Betreiben von Schnittstellen fällt entsprechend in den Bereich der Anwendungsbetreuung. Nutzen Anwendungen Datenbanken, sind auch die Datenbanken entsprechend zu verwalten. Eine Vorbereitung der Datensicherung für den Datensicherungsadministrator aus dem Rechenzentrum wäre hier denkbar. Zumindest sollten Wünsche an die Datensicherung formuliert werden, die der Datensicherungsadministrator in Zusammenarbeit mit dem Datenbankadministrator umsetzen kann. Für das Hauptthema der Thesis wird die Arbeit der Anwendungsbetreuung nicht näher betrachtet. Der Missbrauch von personenbezogenen Daten lässt sich jedoch gleichwohl auf Anwendungen übertragen, wenn in der Anwendung personenbezogene Daten verarbeitet werden und dort keine angemessene Zugangskontrolle existiert. Die Thesis abstrahiert die Systemadministration auf das Verwenden von Ordnern zur Ablage und Verarbeitung von personenbezogenen Daten, weswegen die Anwendungsbetreuung bewusst ausgeklammert wird.

2.1.1.3 Rechenzentrum

Das Rechenzentrum stellt unter anderem Infrastrukturdienste zur Verfügung. Hier werden Benutzerkonten angelegt, bearbeitet und gelöscht. Dies kann mit Verzeichnisdiensten wie der Microsoft Active Directory erfolgen. Dort können auch Gruppen verwaltet werden, in denen mehrere Benutzer zusammen gefasst sind, um die Rechtevergabe in vielen Konstellationen zu erleichtern und zu abstrahieren. Anhand von Rollen können bestimmte Arbeitsplatzprofile abgebildet werden. So können einem neuen Sachbearbeiter schnell die benötigten Rechte zur Verfügung gestellt werden, ohne die genauen Tätigkeiten kennen zu müssen. Des Weiteren werden Server, e-Mailboxen, Datensicherung und weitere Dienste zur Wahrung der Infrastruktur bereitgestellt. Das bereits erwähnte Active Directory wurde im Rechenzentrum eingerichtet und wird nun von dort betrieben. Abstrahiert gesehen stellen Rechenzentrumsadministratoren alle Dienste zur Verfügung, die vom Benutzerservice und von der Anwendungsbetreuung genutzt werden. Im übertragenen Sinne liegt im Rechenzentrum das "Herz und Hirn" der Informationssysteme; Benutzerservice und Anwendungsbetreuung sind ausführende Organe. Diese Einschätzung rückt das Rechenzentrum in den Fokus der Thesis. Da Mitarbeiter des Rechenzentrum nicht selten volle Administratorrechte auf die gesamte Domäne haben, liegt hier das größte Risiko des Missbrauchs von personenbezogenen Daten. Dies kann darüber hinaus auch noch unbemerkt passieren. Desweiteren kennen Mitarbeiter des Rechenzentrums unter Umständen Kennwörter von anderen Benutzern, beispielsweise von Benutzerkonten zum Ausführen von Diensten. Melden sich die Mitarbeiter des Rechenzentrums mit einem dieser Dienstebenutzer an, ist selbst eine funktionierende Protokollierung ausgehebelt, da sich mitunter nicht zurückverfolgen lässt, wer welche Aktion ausgeführt hat.

2.1.2 Erweiterte Zugriffsrechte durch Systemadministratoren

Dass Systemadministratoren mehr Zugriffsrechte zugewiesen bekommen als normale Benutzer, erscheint logisch. So werden den Systemadministratoren auf der einen Seite die für ihre Arbeit notwendigen Rechte erteilt, auf der anderen Seite ermöglichen die erweiterten Rechte jedoch den Missbrauch von personenbezogenen Daten. Notwendigkeit und Risiken der erweiterten Zugriffsrechte für Systemadministratoren werden in diesem Kapitel behandelt.

2.1.2.1 Notwendigkeit

Die Tätigkeiten von Systemadministratoren erfordern mehr Rechte, als die Rechte von einfachen Benutzern.

So müssen beispielsweise

• Benutzer angelegt werden
• Ordner in Netzlaufwerken für Gruppenarbeit und andere angelegt werden
• mittels Fernwartung Verbindungen zu Servern und Arbeitsplatzcomputern aufgenommen werden
• Programme auf Servern installiert werden
• Zugriffe auf die Datensicherungseinheit erfolgen zum Zwecke der Datensicherung und -wiederherstellung
• Verbindungen zu Virtualisierungs-Hypervisoren wie das vCenter für VmWare ESXi hergestellt werden, um virtuelle Maschinen zu erzeugen, zu bearbeiten, zu betreiben oder zu löschen
• Verbindungen zu Storage Area Networks (SAN) hergestellt werden, um Festplattenbereiche für Server zuzuweisen
• Verbindungen zu e-Mail-Servern wie Microsoft Exchange hergestellt werden, um Postfächer oder öffentliche Ordner zu erzeugen, zu bearbeiten, zu betreiben oder zu löschen

Diese Tätigkeiten sollten durch normale Benutzer nicht vorgenommen werden können, da falsche Einstellungen durch Fehlkonfigurationen erhebliche Auswirkungen auf den Betrieb einer Unternehmung haben können.

2.1.2.2 Risiken

Die Vergabe von erweiterten Rechten an Systemadministratoren erfolgt durch Systemadministratoren selbst oder durch andere. Dieser Tatsache enthält eine große Brisanz, da sich so unter Umständen eine Person mehr Rechte geben kann, als für seine Arbeit notwendig sind. Solche Administratorrechte ermöglichen beispielsweise folgende Aktionen:

• Das Auslesen, Bearbeiten, Löschen, Erstellen und gegebenenfalls weitere Aktionen von Dateien und Ordnern auf
  • Netzlaufwerken für Gruppen
  • Netzlaufwerken für den persönlichen Bereich von Benutzern
  • Festplatten, die im Computer des Benutzers verbaut sind
  • Festplatten oder Wechselspeichermedien, die am Computer extern betrieben werden wie über den USB-Anschluss
• Das Auslesen, Bearbeiten, Löschen, Erstellen und gegebenenfalls weitere Aktionen von Elementen in
  • Postfächern
  • Kalendern
  • Aufgaben
  • Kontakten
  • Notizen von Benutzern, Gruppen und in öffentlichen Ordnern
• Das Überwachen und Aufzeichnen
  • des Bildschirms und von Aktivitäten auf dem Bildschirm von Benutzern
  • des Internetverkehrs durch Benutzer
• Das Verschleiern von missbräuchlichen Aktionen durch den Systemadministrator

Abhilfe für den Missbrauch von personenbezogenen Daten schaffen Systeme, die revisionssicher aufzeichnen und gegebenenfalls eingreifen, wenn Personen unbefugt Zugriff suchen.

2.1.3 Begriffsabgrenzung

Aufgrund der Ungenauigkeit des Begriffs "Systemadministration" wird der Begriff im Hauptteil der Thesis auf die Tätigkeiten eines Systemadministrators im Rechenzentrum definiert.

2.2 Datenschutz

Eine Reihe von Gesetzen, Richtlinien und Urteilen geben Regelungen zum Thema Datenschutz vor. So sind unter anderem die Folgenden für den Datenschutz relevant:

• Grundgesetz (GG)^[3], Stichworte sind hier die Wahrung des Briefgeheimnisses, des Postgeheimnisses und des Fernmeldegeheimnisses
• Bundesdatenschutzgesetz (BDSG)^[4]
• Landesdatenschutzgesetze auf Bundeslandebene^[5]
• Sozialgesetzbuch^[6], Stichwort ist hier der Sozialdatenschutz
• Richtlinie 95/46/EG^[7] zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
• Richtlinie 97/66/EG^[8] über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation
• Richtlinie 2002/58/EG^[9] über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation
• Grundsatzurteile wie das Volkszählungsurteil^[10], Stichwort ist hier das Recht auf informationelle Selbstbestimmung

Das Grundgesetz sieht nicht direkt Regelungen zum Datenschutz vor. Allerdings bekam es durch das Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG) von 1983 die Interpretation der informationellen Selbstbestimmung zugesprochen ^[11]. Das Recht auf informationelle Selbstbestimmung, so die Richter, leite sich aus dem Recht auf freie Entfaltung der Persönlichkeit unter Rücksichtnahme auf das Recht anderer ab ^[12] in Verbindung mit der Unantastbarkeit der Würde des Menschen^[13].

Studien und Aussagen von Datenschutzbeauftragten zufolge lässt die Umsetzung des BDSG vor allem in kleinen und mittelständischen Unternehmen zu wünschen übrig^[14]. Zur Abgrenzung wird die Thesis daher den Fokus auf das BDSG legen. Es folgen eine Definition des Begriffs Datenschutz, die wichtigsten Regelungen des BDSG und mögliche Schnittstellen zum Hauptthema der Thesis.

2.2.1 Beeinträchtigung des Persönlichkeitsrechts

Der Datenschutz gewährleistet, dass ein Bürger das Recht auf informationelle Selbstbestimmung seiner personenbezogenen Daten ausüben kann^[15]. So kann der Bürger über die Preisgabe und Verarbeitung seiner personenbezogenen Daten bestimmen^[16]. Die Rechtsgrundlage bildet das BDSG in der Fassung vom 14.1.2003 (BGBl. I 66) mit späteren Änderungen. Laut BDSG soll der Einzelne davor geschützt werden, "dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird"^[17].

2.2.2 Personenbezogene Daten

Bei personenbezogenen Daten handelt es sich um persönliche oder sachliche Angaben von natürlichen Personen^[18]. Aus diesen Daten können unter Umständen Personen bestimmt werden. Demnach gehören unter anderem die folgenden Angaben zu personenbezogenen Daten:

• Vor- und Nachnamen
• Alter, Gewicht, Größe, Geschlecht
• Blutgruppen
• Vermögensverhältnisse

Des Weiteren gelten folgende Informationen als sogenannte besondere Arten personenbezogener Daten^[19]:

• rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder philosophische Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheit
• Sexualleben

Die personenbezogenen Daten natürlicher Personen gilt es zu schützen.

2.2.3 Erhebung, Verarbeitung und Nutzung

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten sind nur zulässig, wenn ein Gesetz oder eine andere Rechtsvorschrift dies erlaubt beziehungsweise verpflichtet^[20]. Eine Ausnahme bildet hier die Zustimmung des Betroffenen, mithilfe derer auch über Gesetze und Rechtsvorschriften hinaus die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten erlaubt werden. Es gibt weitere Regelungen, die zwischen öffentlichen und nicht-öffentlichen Stellen unterscheiden. So ist es öffentlichen Stellen erlaubt, personenbezogene Daten zu erheben, die sie für die Erfüllung ihrer Aufgaben benötigen^[21]. Zu solchen öffentlichen Stellen zählen beispielsweise:

• Auswärtiges Amt
• Bundesministerium der Finanzen
• Bundesministerium der Justiz
• Bundesministerium für Arbeit und Soziales
• Bundesministerium für Bildung und Forschung
• Bundesministerium für Familie, Senioren, Frauen und Jugend
• Bundesministerium für Gesundheit
• Bundesministerium für Verkehr, Bau und Stadtentwicklung

Die Verarbeitung und Nutzung der erhobenen Daten durch öffentliche Stellen darf jeweils zweckgebunden erfolgen^[22], Ausnahmen bestätigen auch hier die Regel. Ist beispielsweise keine zweckgebundene Erhebung von personenbezogenen Daten vorausgegangen, ist die Verarbeitung und Nutzung zulässig, wenn "es zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist"^[23]. Für nicht-öffentliche Stellen ist die allgemeine Zulässigkeit der Erhebung, Verarbeitung und Nutzung nicht wie bei öffentlichen Stellen gegeben. So dürfen nicht-öffentliche Stellen zur Erfüllung von eigenen Geschäftszwecken Daten erheben und speichern, aber unter anderem nur dann, wenn beispielsweise die Daten ohnehin allgemein zugänglich sind^[24] oder wenn der Betroffene ein Rechtsgeschäft mit der nicht-öffentlichen Stelle eingegangen ist^[25]. Die nicht-öffentliche Stelle muss in jedem Fall den Zweck der Erhebung der personenbezogenen Daten dokumentieren^[26].

2.2.4 Betriebsbeauftragter

Werden in einer öffentlichen oder nicht-öffentlichen Stelle automatisiert personenbezogene Daten verarbeitet, also zum Beispiel EDV-gestützt, so muss ein betrieblicher Datenschutzbeauftragter bestellt werden^[27]. Werden personenbezogene Daten in anderer Weise verarbeitet, also nicht-automatisiert, ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn mindestens 20 Personen in der Stelle mit der Verarbeitung der personenbezogenen Daten beschäftigt sind^[28]. Der betriebliche Datenschutzbeauftragte nimmt in der Stelle eine besondere Funktion ein, indem er weisungsungebunden dem Leiter der Stelle unterstellt ist^[29]. Damit soll eine unabhängige Durchführung seiner Arbeit gewährleistet werden. Seine Arbeit besteht im Allgemeinen in der Durchsetzung des BDSG im Betrieb^[30]. Er überwacht darüber hinaus die ordnungsgemäße Verarbeitung der personenbezogenen Daten durch datenverarbeitende Programme und muss daher über die geplante Einführung solcher Programme informiert und in die Planungen eingebunden werden^[31]. Damit dies so gut wie möglich vonstattengeht, soll er Personen der datenverarbeitenden Einrichtung auf die Vorschriften des Datenschutzes sensibilisieren^[32].

2.2.5 Bundesbeauftragter

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wird auf Vorschlag der Bundesregierung vom Bundestag gewählt und vom Bundespräsidenten ernannt^[33]. Er leistet vor dem Bundesminister des Innern einen Amtseid: "Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe."^[34]. Die fünfjährige Amtszeit kann einmalig durch Wiederwahl verlängert werden^[35]. Er ist unabhängig und weisungsungebunden^[36]. Das BDSG legt die Rechtsstellung des BfDI im datenschutzrechtlichen Sinne fest. So soll die Unabhängigkeit des BfDI gewahrt bleiben, in dem ihm während seiner Amtszeit die Ausübung anderer besoldeter Ämter, Gewerbe oder Berufe untersagt ist, ebenso wie die Angehörigkeit eines Aufsichtsrates, eines Verwaltungsrates, einer Regierung oder einer Körperschaft des Bundes oder eines Landes^[37]. Von einem Zeugnisverweigerungsrecht kann der BfDI in Bezug auf Personen und Tatsachen Gebrauch machen, wenn sie in Verbindung mit anvertrauten Informationen stehen^[38]. Akten oder andere Schriftstücke dürfen dann vom BfDI nicht gefordert werden^[39]. Der BfDI berät und kontrolliert Bundesbehörden und öffentliche Stellen des Bundes, um den Datenschutz zu verbessern. Darüber hinaus arbeitet er auch im Bereich des Telekommunikationsgesetzes (TKG) und des Postgesetzes (PostG) sowie des Sicherheitsüberprüfungsgesetzes (SÜG)^[40]. Der Etat des BfDI betrug für das Jahr 2011 8,797 Millionen €^[41]. 81,5 Beschäftigte waren in dieser Einrichtung für das Jahr 2011 beschäftigt^[42]. Seit Dezember 2003 ist der BfDI Peter Schaar^[43].

2.2.6 Schutzmaßnahmen

Damit die Regelungen des BDSG eingehalten werden können, sollen in den öffentlichen und nicht-öffentlichen Stellen technische und organisatorische Maßnahmen getroffen werden, die den Bruch mit dem Gesetz verhindern oder vermeiden^[44]. Die Durchführung und Implementierung dieser Maßnahmen soll jedoch in einem angemessenen Verhältnis zum Nutzen stehen^[45]. Ab wann die Einführung solcher Maßnahmen unverhältnismäßig ist, wird nicht näher ausgeführt. Der Hauptteil der Thesis nimmt die technischen und organisatorischen Maßnahmen genauer in den Fokus.

2.2.7 Auftragsdatenverarbeitung

Im Falle der Beauftragung eines Subunternehmers zur Verarbeitung personenbezogener Daten ist nicht dieser, sondern der Auftraggeber für die Einhaltung der Regelungen des BDSG verantwortlich^[46]. Die Pflichten des Auftraggebers gehen noch weiter: So ist der Subunternehmer vor Beauftragung auf die Einhaltung der Regelungen des BDSG hin zu überprüfen und anschließend sorgfältig auszuwählen^[47]. Nach Beauftragung ist darüber hinaus unter anderem detailliert Folgendes zu dokumentieren:

• Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten^[48]
• technische und organisatorische Maßnahmen zur Wahrung der Regelungen des BDSG^[49]
• "Kontrollrechte des Auftraggebers"^[50]
• Rückgabe von Datenträgern und Löschung von Daten nach Beendigung der Beauftragung^[51]

Dem Auftraggeber kommt also die Verantwortung über die zu verarbeitenden personenbezogenen Daten nicht abhanden. So ist das vieldiskutierte Cloud Computing eine Auftragsdatenverarbeitung im Sinne des BDSG^[52].

2.2.8 Beschäftigungsverhältnisse

Zum Zweck der Entscheidung, Begründung oder Durchführung eines Beschäftigungsverhältnisses dürfen personenbezogene Daten des (gegebenenfalls zukünftigen) Beschäftigten erhoben, verarbeitet und genutzt werden^[53]. Dies ist für den Hauptteil der Thesis durchaus interessant, da hiermit zum Beispiel die Speicherung von Finanz- und Personalinformationen des Beschäftigten in datenverarbeitenden Systemen gewährt wird. Damit enden überwiegend die speziell für Beschäftigte geltenden Regelungen des BDSG. Die lange Zeit des Stillstands "bei der Mordernisierung des Datenschutzrechts" ^[54] hat dazu leider beigetragen. Es gibt jedoch aktuell mehrere Initiativen unter dem Stichwort Arbeitnehmerdatenschutz, um die Rechtslage für Beschäftigte zu stärken. So gibt es einen Gesetzesentwurf der SPD-Fraktion, der in einem eigenen Gesetz die Rechte und Pflichten von Beschäftigten und Arbeitnehmern in Bezug auf den Datenschutz konkretisieren soll^[55]. Auch eine Überarbeitung des Paragraphen 32 des BDSG, der bis dato die Regelungen von Beschäftigungsverhältnissen enthält, kommt offenbar in Betracht. Die Justizministerinnen und Justizminister haben im Herbst 2011 bekräftigt, dass eine umfassende Überarbeitung des Arbeitnehmerdatenschutzes dringend in Angriff genommen werden sollte^[56]. Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit forciert das Thema Arbeitnehmerdatenschutz und versucht seinerseits Druck zur Umsetzung aufzubauen^[57].

2.3 Aufbau der Testumgebung

Die Infrastruktur der Testumgebung besteht aus einer Virtualisierungslösung von VmWare. Das Produkt der Wahl ist in diesem Fall VmWare Workstation, da eine 30tägige Testversion von der Website von VmWare nach Angabe der eigenen Kontaktdaten bezogen werden kann. Mit VmWare Workstation lassen sich sowohl Server als auch Workstations virtualisieren. Es werden jeweils ein Server und eine Workstation installiert, zum Einsatz kommen entsprechend ein Windows 2008 Server und eine Windows 7 Workstation.

2.3.1 Virtualisierung

Nach Download der Evaluierungsversion von VmWare Workstation lässt sich das Paket ohne Probleme installieren. In diesem Fall wurde die Installation mittels Standardeinstellungen durchgeführt (siehe Installationsdokumentation im Anhang). Die Installation der VmWare Workstation Umgebung dauert etwa drei Minuten.

2.3.2 Server

Die Installation des Windows 2008 Servers erfolgt mit absoluten Standard-Einstellungen (siehe Installationsdokumentation im Anhang). Der Name des Servers wird in "Server" geändert. Nach Abschluss der Installation erfolgt die Anlage einer Active Directory Domäne. Dort wird ein Benutzer mit dem Namen DomAdmin angelegt, welcher Domänenadministrator-Rechte erhält. Damit ist es für gewöhnlich möglich, ohne weitere Einstellungen auf alle möglichen Ordner zuzugreifen, selbst wenn diese nicht explizit für ihn freigegeben sind. Desweiteren wird ein Benutzer PersonalUser angelegt, der der Gruppe "Personal" angehört. Es wird ferner ein Ordner "Personal" angelegt, in dem personenbezogene Daten verarbeitet werden. Als Beipieldokument fungiert ein Textdokument mit zweckgebundenen personenbezogenen Daten zur Durchführung eines Beschäftigungsverhältnisses eines Mitarbeiters.

2.3.3 Workstation

Die Installation der Windows 7 Workstation erfolgt mit absoluten Standard-Einstellungen (siehe Installationsdokumentation im Anhang). Die Installation der Workstation dauert in etwa 15 Minuten. Der Name der Workstation wird in "Workstation" geändert, damit ein leichtes Wiederfinden der Workstation in der späteren Active Directory gewährleistet ist. Nach Abschluss der Installation erfolgt die Aufnahme in die erstellte Active Directory Domäne, um eine Unternehmensumgebung so gut wie möglich zu simulieren. Es steht noch die Verbindung eines Netzlaufwerkes auf den Server aus, mit dessen Hilfe der Zugriff auf freigegebene Unternehmensordner simuliert wird. An der Workstation ist es nun möglich, sich als DomAdmin und PersonalUser anzumelden.

2.3.4 DLP-Software

Als DLP-Software wird die DLP-Lösung von Trend Micro genutzt. Diese soll als dritte Methode neben dem Einsatz von ACL und EFS untersucht werden. Die Wahl ist auf das Produkt von Trend Micro gefallen, da dort auf einfache Weise eine Evaluationskopie nach Angabe der eigenen Kontaktdaten zu bekommen ist. Das Installationsmedium der Serverkomponenten besteht aus einer CD-Abbild-Datei. Das Medium wird in eine neue virtuelle Maschine eingelegt, mittels derer eine CentOS 4.6 Linux-Installation vorgenommen wird. Während der Setup-Routine werden die Einstellungen für die DLP-Lösung abgefragt und die DLP-Lösung mitinstalliert (siehe Installationsdokumentation im Anhang). Der Rechnername wird auf "DLP" gesetzt, um einen leichten Zugriff aus der und auf die Gesamtumgebung zu ermöglichen. Nach Abschluss der etwa 5 minütigen Installation lassen sich die servseitigen DLP-Komponenten über den Aufruf einer Web-Konsole administrieren. Die Web-Konsole ist in diesem Fall von jedem Rechner im selben Netzwerk über den Aufruf der Web-Site http:// DLP:8080/dsc zu öffnen. Für die Anmeldung an der Web-Konsole gibt es einen Nutzer "admin", dessen Kennwort während der Installation vergeben wird. Um Clients administrieren zu können, werden auf den Client die clientseitigen Komponenten installiert. Während der Installation wird die IP-Adresse des DLP-Servers mitgegeben, sodass sich der Client direkt nach der Installation mit dem Server in Verbindung setzen kann.

3 Systemadministration unter Einhaltung von Datenschutz

3.1 Technischer Vergleich

"80% der Informationen im Unternehmen sind ohnehin frei zugänglich. Von den verbleibenden 20% Firmeninterna sind etwa 5% die Kronjuwelen, der Wissensvorsprung eines Unternehmens", meint Herbert Kurek vom Bundesamt für Verfassungsschutz^[58]. Im Anwendungsfall sind die sprichwörtlichen "Kronjuwelen" unter anderem die Personaldaten der Mitarbeiter, die in der Personalabteilung verarbeitet werden (siehe Abbildung 1 mit dem Inhalt des Testdokuments). Dies gilt möglicherweise in höherem Maße für Zeitarbeitsfirmen oder Firmen, die sich auf Headhunting spezialisiert haben. Im Folgenden soll untersucht werden, mit welchen Lösungen datenschutzrelevante Daten von Mitarbeitern, welche in der Personalabteilung verarbeitet werden, nicht durch Systemadministratoren eingesehen werden können.

3.1.1 Access Control Lists

Im Unternehmensbereich kann in Windows-Netzwerken zur Verwaltung von Rechten und Zugriffen auf Access Control Lists (ACL) zurückgegriffen werden (siehe Abbildung 2). In ACL werden Benutzer oder Gruppen mit dem Eintrag "verweigern" oder "zulassen" angegeben, wobei verweigerte Rechte zuerst interpretiert werden. Die folgenden Rechte werden im Regelfall verwaltet:

• Vollzugriff: Beinhaltet alle möglichen Rechte inklusive dem Recht, selbst Rechte zu erteilen.
• Ändern: Beinhaltet alle möglichen Rechte exklusive dem Recht, selbst Rechte zu erteilen.
• Lesen, Ausführen: Beinhaltet das Recht, Dateien zu lesen und auszuführen.
• Ordnerinhalt anzeigen: Beinhaltet das Recht, sich den Ordnerinhalt anzeigen zu lassen, Dateien dürfen jedoch nicht gelesen, ausgeführt oder geändert werden.
• Lesen: Beinhaltet das Recht, Dateien zu lesen. Diese dürfen jedoch nicht ausgeführt werden. So darf beispielsweise eine Stapelverarbeitungsdatei zum Lesen des Quelltextes eingesehen werden, das Ausführen der Datei im Ordner wird jedoch verhindert. Dem Kopieren der Datei an einen anderen Ort und dem dortigen Ausführen wird mittels dieses Rechts nichts entgegengesetzt.

Werden mittels ACL Rechte auf bestimmte Ordner gesetzt, so wird standardmäßig der neue Rechteeintrag auf alle Unterordner und alle Dateien, die sich in diesen Ordner befinden, vererbt. Die Vererbung kann jedoch manuell unterbrochen werden, indem diese in den erweiterten Sicherheitseinstellungen eines Ordners ausgesetzt wird. Von Ordnern weiter oberhalb in der Hierarchie kann wiederum erzwungen werden, dass alle auf den oberen Ordner gesetzten Rechte nach unten vererbt werden, auch auf Ordner, die manuell die Vererbungskette unterbrochen hatten. Da der Systemadministrator im Standardfall auf jeden Ordner Administratorrechte hat, fällt das Verhindern von Zugriffen auf personenbezogene Daten schwer. Dies hat mehrere Gründe:

• Werden der Gruppe der Administratoren die Rechte auf einen Ordner komplett verweigert, so kann der Ordner gegebenenfalls nicht mehr verwaltet werden, da dann unter Umständen kein Nutzer mehr das Recht hat, Rechte zu setzen.
• Werden der Gruppe der Administratoren über die erweiterten Sicherheitseinstellungen für Ordner spezielle Rechte gewährt, um nur das Auslesen und Setzen von Rechten zu regeln, kann der Systemadministrator sich kurzzeitig erweiterte Rechte geben, personenbezogene Daten einsehen, sich anschließend die erweiterten Rechte wieder entziehen und es wäre nicht ohne Weiteres nachvollziehbar, was geschehen ist.
• Wird zur Nachverfolgung die Überwachung von Ordnern in den erweiterten Sicherheitseinstellungen aktiviert, so können Änderungen von ACL und Änderungen von Überwachungsrichtlinien festgestellt und nachgelesen werden. Diese Meldungen erscheinen jedoch im Sicherheitsprotokoll des Dateiservers (siehe Abbildung 3), auf welches wiederum meist nur der Administrator Zugriff hat. Darüber hinaus darf der Administrator alle Protokolle löschen, womit keineswegs von einer revisionssicheren Protokollierung gesprochen werden kann.
• Werden Dateien und Ordner in die Datensicherung eingebracht, können die Daten gegebenenfalls vom Systemadministrator in der Datensicherungseinheit ausgelesen werden. Dies führt dazu, dass die Berechtigungen, die in den ACL des Ursprungsordners festgelegt wurden, nicht mehr beachtet werden. Da die Datensicherungssoftware möglichst jede Datei und jeden Ordner in die Datensicherungseinheit überführen soll, benötigt der Datensicherungsprozess auf allen Dateien und Ordnern zumindest Leserechte. Es ist denkbar, dass sich der Systemadministrator die Anmeldung des Dienstekontos der Datensicherungssoftware zu Eigen macht, um Zugriff zu personenbezogenen Daten zu bekommen.

An dieser Stelle wird klar, dass ein unverschlüsseltes Ablegen von Dateien im Unternehmensnetzwerk dazu führen kann, dass der Systemadministrator diese unbehelligt einsehen, modifizieren und vervielfältigen kann, ohne dass der Benutzer etwas davon mitbekommt. Würden Dateien beim Zugriff auf die Datensicherungseinheit in irgendeiner Form unbrauchbar für den Systemadministrator werden, wäre dem Ziel bereits etwas entgegengekommen. Auch der Umweg über andere Benutzerkonten oder das einfache Setzen von erweiterten Rechten kann nicht ausgeschlossen werden. So lange der Zugriff auf Ordnerinhalte dazu führt, dass der auf den Ordner Berechtigte die Dateien lesen kann, ist dem Missbrauch leider nicht komplett entgegenzuwirken. Es benötigt daher eine übergeordnete Ebene, die dem Systemadministrator erlaubt, Dateien zu kopieren, zu löschen und zu ersetzen. Gleichzeitig darf er aber den Inhalt nicht lesen können, wenn die Daten nicht für ihn vorgesehen sind beziehungsweise Mitarbeiter einer Abteilung die entsprechenden Dateien und Ordner als vertraulich markieren.

3.1.2 Encrypting File System

Es gibt Stimmen, die eine Verschlüsselung von personenbezogenen Daten für unabdingbar erklären^[59]. Eine Methode der Verschlüsselung von Daten ist Encrypting File System (EFS). Diese Methode ist in Windows seit der Version 2000 integriert. Mithilfe von Benutzerzertifikaten können Ordner und Dateien verschlüsselt werden. Damit mehrere Benutzer auf verschlüsselte Daten zugreifen können, können auf Benutzerebene weitere Benutzerkonten für den Zugriff angegeben werden. Durch die Integration in Windows ist das anschließende Öffnen, Bearbeiten und Speichern der mit EFS verschlüsselten Dateien sehr einfach und für den Benutzer transparent. Gegebenenfalls erscheint die Datei oder der Ordner in einem grünen Schriftzug, um die Verschlüsselung zu markieren. Die Nutzung von EFS erscheint somit als sichere Methode, um Personen, für die die Informationen nicht bestimmt sind, vom Inhalt der verschlüsselten Dateien fernzuhalten. Interessant wird der Verschlüsselungsaspekt aber noch in einer anderen Art und Weise: Da über ACL geregelt wird, wer welche Ordner einsehen und deren Inhalt lesen kann, steht der Arbeit des Systemadministrators nichts im Wege. Er kann nämlich trotz fehlenden Zertifikats im Falle einer Datenrücksicherung eine fehlende oder defekte Datei wiederherstellen, da er am Zielordner Administratorenrechte hat. Der Inhalt ist jedoch für den Systemadministrator aufgrund des fehlenden Zertifikats verborgen. Was passiert aber, wenn kein Benutzer mehr vorhanden ist, der in der Zertifikateliste auf Dateiebene eingetragen ist? Für diesen Fall hat Microsoft eine spezielle Rolle für Benutzer vorgesehen, den Wiederherstellungs-Agenten. Ist kein Wiederherstellungs-Agent definiert, wird die Verschlüsselung von Dateien oder Ordnern mit EFS verweigert. Was mit dem Wiederherstellungs-Agenten als Sicherheitsmerkmal konzipiert ist, birgt allerdings auch die Gefahr, dass der Wiederherstellungs-Agent personenbezogene Daten in mit EFS verschlüsselten Dateien oder Ordnern misbrauchen kann. In entsprechend großen Unternehmensumgebungen, in denen Benutzer und Computer mittels einer Active Directory (AD) verwaltet werden, können zum Verwalten der ausgebenen Benutzerzertifikate die Zertifizierungsdienste auf dem Server installiert werden. Sind die Zertifizierungsdienste installiert, dürfen entsprechend berechtigte Benutzer ein Benutzerzertifikat anfordern. Die Anforderung kann beispielsweise über eine Website erfolgen. Es gibt mehrere Typen von Zertifikaten. Das in diesem Fall relevante Zertifikat ist das Zertifikat aus der Vorlage Basis-EFS. Damit versetzt man den Benutzer in die Lage, Dateien und Ordner mit EFS zu verschlüsseln. Auf der Zertifizerungsstelle können Zertifikate überwacht werden: Es kann unter anderem eingesehen werden, welche Zertifikate ausgestellt wurden (siehe Abbildung 4), an wen, von welchem Typ die Zertifikate sind und wann die Zertifikate ablaufen. Es können auch Zertifikate gesperrt werden, womit die Aktion, für welche das Zertifikat vorgesehen ist, also zum Beipiel das Verschlüsseln und Entschlüsseln von Dateien und Ordnern, nicht mehr ausführbar ist. Das Zertifikat ist damit ungültig geworden und der Benutzer kann ein neues anfordern, wenn er denn dazu berechtigt ist. Die Verschlüsselung von EFS basiert auf einem asynchronen Verfahren. Das heißt, dass der Schlüssel, mit dem eine Datei verschlüsselt wird, ein anderer ist, als der Schlüssel mit dem eine Datei wieder entschlüsselt wird. Der Schlüssel zum Verschlüsseln wird "öffentlicher" Schlüssel genannt, der Schlüssel zum Entschlüsseln "privater" Schlüssel. Ist also jemand darauf aus, den Inhalt von verschlüsselten Dateien zu entschlüsseln, muss er an den privaten Schlüssel gelangen. Dieser ist im Benutzerzertifikat enthalten. Die Möglichkeit, das Benutzerzertifikat über einen Wiederherstellungs-Agenten wiederherzustellen, birgt somit ein erhebliches Sicherheitsrisiko. Ist im Anwendungsfall der Systemadministrator als Wiederherstellungs-Agent für eine verschlüsselte Datei angegeben, so kann dieser also an das Benutzerzertifikat desjenigen kommen, der die Datei entschlüsseln darf. Mit dem Benutzerzertifikat ist der Systemadministrator somit in der Lage, die Datei zu entschlüsseln. Es ist jedoch ein komplizierter Weg, bis das Benutzerzertifikat in die Hände des Systemadministrators gelangt. Ist der Systemadministrator darüber hinaus bisher nicht Wiederherstellungs-Agent, kann er seinen Benutzer zu diesem mithilfe der Zertifizierungsstelle und Einstellungen in der Default Domain Policy erklären. Zukünftig verschlüsselte Dateien werden somit auch den Systemadministrator als Wiederherstellungs-Agenten integrieren, womit der Systemadministrator jeden Schutz umgehen kann. Somit wäre es denkbar, dass der Systemadministrator beispielsweise die folgenden Schritte tut, um unbemerkt personenbezogene Daten zu missbrauchen:

1. Den eigenen Benutzer zum Beispiel mithilfe der Default Domain Policy zum Wiederherstellungs-Agenten erklären.
2. Einen Benutzer der Personalabteilung anrufen mit der Bitte, in eine bestimmte Datei zu schauen und diese erneut abzuspeichern.
3. Der Systemadministrator ist nun Wiederherstellungs-Agent in der soeben abgespeicherten Datei.
4. Mithilfe der Funktionen für Wiederherstellung, die die Zertifizierungsdienste bieten, kann er an das Benutzerzertifikat des Benutzers kommen, der die Datei zuletzt gespeichert hat.
5. Mithilfe des Zertifikats des Benutzers kann der Systemadministrator die Datei entschlüsseln.
6. Die Änderungen der Default Domain Policy werden rückgängig gemacht.
7. Der Benutzer wird erneut angerufen mit der Bitte, die Datei erneut zu prüfen und zu speichern.
8. Der Systemadministrator wird somit nicht mehr als Wiederherstellungs-Agent in der Datei geführt.
9. Das Zertifikat für den Wiederherstellungs-Agenten wird für ungültig erklärt.

Somit hat der Systemadministrator so gut wie unbemerkt eine verschlüsselte Datei einsehen können. Als Rest seiner Taten bleibt lediglich ein ungültiges Zertifikat für den Wiederherstellungs-Agenten. Die Daten der Zertifizierungsstelle können jedoch nur von Systemadministratoren eingesehen werden, was unter Umständen sehr selten vorkommen kann. Das EFS ist damit zwar ein sicheres Mittel, Daten vor den Augen anderer zu verstecken. Mit ein wenig krimineller Energie kann der Systemadministrator jedoch die Sicherung umgehen. Dazu ist viel Arbeit notwendig und auch die Spuren lassen sich nicht komplett verwischen. Für eine Lösung, die kostenfrei und transparent für Nutzer mitgeliefert wird, taugt EFS somit deutlich mehr als das reine Vertrauen auf ACL. Darüber hinaus hat EFS den Vorteil, dass Daten, welche auf verloren gegangenen mobilen Speichermedien liegen, vom Finder nicht ohne einen immensen Aufwand eingesehen werden können. Theoretisch ist es jedoch möglich, mittels einer sogenannten Brute Force Attacke den Schlüssel durch Ausprobieren technisch zu ermitteln. Bei besonders langen Schlüsseln wie im Fall von EFS dürfte aber deutlich mehr Zeit verbraucht werden als ein Menschenleben lang ist. Ein weiteres nicht zu unterschätzendes Manko des alleinigen Nutzens von EFS ist die Notwendigkeit der aktiven Markierung von Dateien und Ordnern als vertraulich durch den Benutzer. Es kann sich nicht darauf verlassen werden, dass alle erforderlichen Dateien und Ordner auch wirklich verschlüsselt werden. Es kann dem Benutzer mitunter auch nicht zugemutet werden, gezielt Dateien und Ordner zu verschlüsseln, da das Risiko, wichtige Dateien zu übersehen zu hoch ist. Es gibt weitere Argumente, die gegen das ausschließliche Verschlüsseln durch Benutzer sprechen, sie

• haben unter Umständen keine Lust dies zu tun
• wissen nicht, dass sie es tun sollen
• haben vergessen, dass sie es tun sollen
• haben eventuell schlechte Erfahrungen gemacht, da sie beim Verschlüsseln andere Benutzerzertifikate vergessen haben einzubeziehen und wurden dafür gerügt
• wissen nicht, dass sich schützenswerte Inhalte in bestimmten Dateien und Ordnern befinden
• wissen nicht (mehr), wie die Vorgehensweise zum Verschlüsseln von Dateien und Ordnern ist
• und so weiter...

Wirklich sinnvoll erscheint durch die vorangegangenen Überlegungen, eine zumindest teilweise Automatisierung eines Verschlüsselungsprozess zu nutzen. Für den Fall, dass Benutzer Dateien und Ordner manuell als schützenswert erachten, sollte einer manuellen Verschlüsselung nichts im Wege stehen.

3.1.3 Data-Loss-Prevention

Data-Loss-Prevention (DLP) ist ein Sammelbegriff für Lösungen, die sich dem Schutz vor Datenverlust verschreiben. Im Anwendungsfall wird exemplarisch das Produkt Trend Micro Data Loss Prevention verwendet. Es handelt sich bei dem Produkt um eine Client-Server-Lösung. Der serverseitige Teil besteht aus einem Linux-Server-Betriebssystem der CentOS Distribution. Dort installiert ist die von Trend Micro Virtual Appliance genannte Software-Sammlung zum Administrieren der Clients. Der Client kann in diesem Fall sowohl der Windows-Server mit dem Gruppenlaufwerk als auch die Workstation sein. Auf dem Client wird dazu eine clientseitige Komponente installiert, die in dem Fall "DLP for Endpoint" heißt. Damit ergibt sich die komplette virtuelle Infrastruktur (siehe Abbildung 5). Nachdem der Client mit Angabe der IP-Adresse des Servers installiert wurde, meldet sich der Client beim Server (siehe Abbildung 6). Ab diesem Zeitpunkt kann der Client administriert werden.

3.1.3.1 Aufbau

3.1.3.1.1 Einstufungen

Eingestufte Daten werden von Trend Micro "Digital Assets" genannt. Anhand von vier Möglichkeiten können mit der DLP-Lösung Daten eingestuft werden:

1. Fingerabdrücke: Hierbei werden für Dateien in angegebenen Ordnern Fingerabdrücke ermittelt, im Anwendungsfall auf dem Personal-Ordner des Gruppenlaufwerks, und an den Server gesandt. Wird später auf die Fingerabdrücke mit der Regel "beim Zugriff loggen" verwiesen, werden die Fingerabdrücke beim Kopieren der Datei an andere Orte beibehalten, sodass theoretisch auch am neuen Ort dieselben Regeln gelten. Fingerabdrücke können geplant erstellt werden, sodass regelmäßig die Daten des Personal-Ordners nachverfolgt werden können. Für den Anwendungsfall wird die Möglichkeit der Fingerabdruckerstellung genutzt.
2. Muster: Hierbei werden für den Inhalt von Dateien Textfragmente mit Mustern verglichen, die auf dem DLP-Server hinterlegt sind. Über Muster können unter anderem Kreditkartennummern, elektronische Transfer-Identifikations-Nummer (eTIN) oder auch Sozialversicherungsnummern erkannt werden. Gibt es für die Muster Validierungsmechanismen, so können diese zusätzlich eingesetzt werden, um sicherzugehen, dass es sich bei einer Nummer wirklich um eine Kreditkartennummer handelt. Für den Anwendungsfall wird die Möglichkeit der Mustererkennung genutzt.
3. Schlüsselworte: Hierbei werden für den Inhalt von Dateien Textfragmente mit Schlüsselwörtern verglichen. Es können dann für bestimmte Schlüsselwörter wie "Gehalt", "eTIN" oder "Sozialversicherungsnummer" bestimmte Aktionen beim Schreiben der Dateien hervorgerufen werden. Für den Anwendungsfall wird die Möglichkeit der Schlüsselworterkennung genutzt.
4. Dateiattribute: Hierbei werden Dateiattribute von Dateien ausgewertet. So können bei bestimmten Dateiformaten wie Excel- oder Word-Dokumenten beim Aufruf bestimmte Aktionen ausgeführt werden, wie das Blocken für bestimmte Nutzer. Diese Möglichkeit des Einstufens von Daten ist für den Anwendungsfall nicht von Belang.

3.1.3.1.2 Regelvorlagen

In den Regelvorlagen, bei Trend Micro "Compliance Templates" genannt, werden die zuvor erwähnten Einstufungen zusammengeführt. So wird im Anwendungsfall eine Vorlage mit dem Namen "personalrelevante Informationen" erstellt, die die folgenden Einstufungen zusammenfasst:

• Dokument enthält eine eTIN
• Dokument enthält eine Kreditkartennummer
• Dokument enthält personalrelevante Schlüsselwörter
• Dokument lag einmal im Personal-Ordner, hierbei wird die Fingerabdruck-Technik genutzt

Anhand der Vorlage wird im weiteren Verlauf eine Firmenrichtlinie definiert. Werden Dokumente bearbeitet, die einem Punkt der Regelvorlage entsprechen, können weitere Aktionen bestimmt werden.

3.1.3.1.3 Firmenrichtlinien

In den Firmenrichtlinien, bei Trend Micro "Company Policies" genannt, werden Regelvorlagen mit bestimmten Aktionen verknüpft. Dazu wird zuerst ein Ziel definiert, auf was die Aktion gerichtet ist. Im Anwendungsfall wird die Gruppe der Domänen-Administratoren als Ziel definiert. Als Ausnahme wird der Dienstbenutzer für die Datensicherung genannt, damit die Datensicherung weiterhin in der Lage ist zu funktionieren. Im nächsten Schritt werden die Übertragungswege gewählt, auf welchen die Aktion ausgeführt werden soll. So können beispielsweise e-Mail-Verkehr und Instant Messaging bezüglich der Regelvorlage überwacht werden, oder wie im Anwendungsfall die Übertragung über ein Netzwerk mit dem SMB-Protokoll. Im weiteren Verlauf wird die Regelvorlage "personalrelevante Informationen" mit der Firmenrichtlinie verknüpft, womit alle Dateien und Texte, die durch die Regelvorlage erkannt werden, mit einer Aktion belegt werden können. Somit fehlt noch die Aktion, welche ausgeführt werden soll. Es kann der Zugriff erlaubt oder verwährt werden. Darüber hinaus wird der Vorfall in jedem Fall auf dem DLP-Server mitgeschrieben beziehungsweise geloggt. Optional kann der Benutzer eine Meldung bekommen, dass eine Aktion geblockt oder wenigstens geloggt wird. Im dem Fall, dass das Blockieren vorgesehen ist, ist es optional möglich, dem Benutzer eine Erklärung in einem Textfeld abzufordern, warum er gerade dieses Dokument bearbeiten will. Im Anschluss erhält er jedoch den gewünschten Zugriff, was möglicherweise nicht zum gewünschten Ergebnis führt.

3.1.3.2 Merkmale

Die folgenden Merkmale zeigen sich nach intensiven Tests der Umgebung mit aktiver DLP-Lösung:

• Die Funktion des Blockierens bezieht sich unter bestimmten Umständen nur auf das Schreiben und Bearbeiten von Dokumenten, auf das Kopieren in die Zwischenablage und Einfügen aus der Zwischenablage. Das Lesen von Dokumenten mit personalrelevantem Inhalt durch den Systemadministrator wird nicht in jedem Fall verhindert. Hat der Systemadministrator das Dokument vor Einführung der DLP-Lösung selbst erstellt, hat er auch weiterhin lesenden Zugriff. Wird das Dokument nach der Einführung der DLP-Lösung erstellt, hat der Systemadministrator auch keinen lesenden Zugriff mehr, obwohl er über die ACL-Einträge dazu in der Lage sein müsste.
• Das Kopieren von Dateien mit personalrelevantem Inhalt auf eine andere Windows-Freigabe wird zwar blockiert, nicht aber das Kopieren auf den eigenen Rechner, womit der Bearbeitung am eigenen Rechner nichts im Wege steht. Auch hier bezieht sich das Gewähren des Kopierens nur auf Dokumente, die vor der Einführung der DLP-Lösung erstellt wurden.
• Die clientseitigen Komponenten, die die Firmenrichtlinien des DLP-Servers interpretieren, sollten an mehreren Stellen installiert sein. So ist die Installation am Windows-Server schon insofern ausreichend, als dass darauf gespeicherte personalrelevante Dokumente nicht mehr von Systemadministratoren über die Freigabe gelesen werden können. Zusätzlich sollten die clientseitigen Komponenten auch an den Workstations installiert werden, um eine Überwachung des Zwischenspeicherns zu ermöglichen und den Systemadministrator daran zu hindern, personalrelevante Daten an irgendeiner Stelle zu speichern. Sind auf der Workstation die clientseitigen Komponenten nicht installiert, ist ein ungehindertes Bearbeiten und Kopieren von Dateien mit personalrelevantem Inhalt möglich, soweit die entsprechenden Dateien nicht von der Windows-Freigabe kommen. Die Notwendigkeit, die clientseitigen Komponenten an allen Workstations installieren zu müssen, bringt Probleme mit sich. So sollte ein Softwareverteilungsmechanismus existieren, der automatisch neue Rechner in der Domäne erkennt und dort die jeweils aktuellsten clientseitigen Komponenten installiert. Auch eine Deinstallation der clientseitigen Komponenten sollte erkannt werden, um eine Reinstallation vorzunehmen. Sollte ein Benutzer in irgendeiner Form dazu in der Lage sein, dass die clientseitigen Komponenten beim Systemstart nicht gestartet werden, ist das System nicht mehr in der Lage, relevante Inhalte auf der jeweiligen Workstation zu schützen. Mit administrativen Rechten kann der Systemadministrator an seiner Workstation die clientseitigen Komponenten deinstallieren. Sind die clientseitigen Komponenten am Windows-Server installiert, sind jedoch die Maßnahmen, den Systemadministrator am Ausspähen von Personalinformationen zu hindern, für die Freigabe bereits wirksam. Somit bleibt das Sicherheitsrisiko durch die Deinstallation der clientseitigen Komponenten am Windows-Server. Werden im Anschluss personalrelevante Informationen ausgespäht und die clientseitigen Komponenten wieder installiert, ist im Log der DLP-Lösung kein Eintrag zu finden.
• Mit administrativem Zugang zur Web-Konsole der DLP-Lösung kann der Systemadministrator die Firmenrichtlinien vorübergehend aussetzen, die personalrelevanten Informationen verarbeiten und die Firmenrichtlinien wieder in Kraft setzen. Dies wird jedoch geloggt, ein Löschen der Logs ist über die Web-Konsole nicht möglich. Zu bedenken ist, dass sich bei Tagesbetrieb unter Umständen viele Einträge im Log befinden können, wodurch das Verändern von Firmenrichtlinien gegebenenfalls nicht wahrgenommen wird.
• Wird ein Verstoß gegen die Firmenrichtlinien festgestellt, wird dies geloggt. Der Log-Eintrag beinhaltet jedoch die personalrelevanten Daten in Klarschrift anstatt der Art des Verstoßes (siehe Abbildung 7). Somit kann der Systemadministrator mit seinem administrativen Zugang zur Web-Konsole der DLP-Lösung die Daten lesen, selbst wenn er den Verstoß selbst nicht begangen hat. Wie bei einer solch sicherheitssensiblen Software-Lösung zu diesen Mitteln gegriffen werden kann, darf nur vermutet werden.
• Da die Sicherheitsmaßnahmen nur auf bestimmte Protokolle wirken, gibt es eine weitere Schwachstelle: Meldet sich der Systemadministrator am Windows-Server direkt an, beispielsweise vor Ort oder über das Remote Desktop Protokoll (RDP), liegen der zu schützenden Daten nicht mehr im Netzwerk sondern lokal am Windows-Server. Hier kann der Systemadministrator ohne Probleme die Dateien des Gruppenlaufwerks ausspähen. Vermutlich liegt das daran, dass der Lese- und Schreibverkehr der Festplatte an sich durch die DLP-Lösung nicht überwacht wird. Es sollte daher nach einer Möglichkeit gesucht werden, die den Systemadministrator beim Anmelden am Windows-Server hindern.

Werden die vorangegangenen Hinweise beachtet, kann mit der DLP-Lösung durchaus gearbeitet werden. Vor Allem der Automatismus des Selbsterkennens von neu erstellten Dokumenten ist ein Alleinstellungsmerkmal gegenüber den beiden anderen Methoden. Es ist von der Personalabteilung somit kein manuelles Eingreifen zum Markieren als vertraulich nötig. Auch dem Zusammenarbeiten mehrerer Benutzer der Personalabteilung steht nichts im Wege, da nicht wie bei der Nutzung von EFS manuell angegeben werden muss, welcher Benutzer auf welches Dokument Zugriff haben darf. Dass der Systemadministrator administrativen Zugriff auf die Web-Konsole der DLP-Lösung hat, sollte vermieden werden. An dessen Stelle sollte ein betrieblicher Datenschutzbeauftragter gesetzt werden und dem Systemadministrator der Zugriff entzogen werden. Die Installation und Deinstallation der clientseitigen Komponenten ist nur mit den Installationsdateien ohne Probleme möglich. Somit erscheint es sinnvoll, den Systemadministrator möglichst nicht in die Installation einzubeziehen, sondern die Installation durch externe Berater durchführen zu lassen, eventuell in Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte sollte darüber hinaus in die Pflicht genommen werden, die Log-Einträge der DLP-Lösung regelmäßig zu kontrollieren und Verstöße nachzuverfolgen. Entsprechend der gesetzlichen Regelungen sollten Verstöße gegebenenfalls an die Landes- beziehungsweise den Bundesbeauftragten für den Datenschutz gemeldet werden.

3.2 Kaufmännischer Vergleich

3.2.1 Allgemein

Kaufmännisch betrachtet haben die drei Lösungen unterschiedliche Faktoren, welche zu berücksichtigen sind. Die Nutzung von ACL ist quasi im Windows-Server-Betriebssystem integriert. Daher kann diese Möglichkeit ohne weitere Kosten genutzt werden. EFS kann auch ohne weitere Kosten genutzt werden. Die DLP-Lösung kostet Geld und wird nach Endpunkten lizenziert, welche die clientseitigen Komponenten bekommen und somit administrierbar sind. In einem Telefonat mit einem Vertriebler von Trend Micro war zu erfahren, wie die Preise in etwa zu kalkulieren sind. Von 1 bis 25 Endpunkten liegt der Preis einer Lizenz bei 55€ und die Wartung im Jahr bei 16,53€. Im Preis ist die Lizenz für die Installation der Virtual Appliance abgegolten, also der serverseitigen DLP-Komponenten. Damit ist die DLP-Lösung von Trend Micro in kleinen bis mittelgroßen Unternehmen eine scheinbar günstige Lösung, um eine DLP-Lösung zu nutzen. Im Vergleich zu den beiden anderen Lösungen kostet die DLP-Lösung jedoch als einzige Geld. Über die Einführungskosten hinaus sollte auch bedacht werden, dass gegebenenfalls Schulungen für Systemadministratoren, Benutzer und betriebliche Datenschutzbeauftragte von Nöten sind. Auch diese Schulungen können Geld kosten. Je weniger sich Benutzer nach der Implementierung einer Lösung mit neuen Abläufen befassen müssen, umso höher könnte die Akzeptanz der neuen Lösung sein. Hohe Akzeptanz kann wiederum dazu führen, dass an anderen Stellen kein Geld verloren geht, beispielsweise bei der Arbeitseffizienz der Benutzer. Das BDSG fordert das Einführen von technischen und organisatorischen Schutzmaßnahmen, die den Bruch mit dem Gesetz verhindern oder vermeiden^[61]. Diese sollen jedoch ein angemessenes Kosten-Nutzen-Verhältnis haben^[62]. Alle drei untersuchten Lösungen scheinen bezüglich der Kosten angemessen zu sein. Dementsprechend gibt vermutlich der bessere Nutzen den Hinweis auf die bessere Lösung.

3.2.2 Scoring-Matrix

Im Folgenden wird eine Scoring-Matrix erstellt, die anhand von acht Kriterien die drei untersuchten Methoden vergleichend bewertet. Dazu wird versucht, alle technischen und kaufmännischen Merkmale der Lösungen zu berücksichtigen. Gemäß der Bedeutung der Kriterien wird eine Gewichtung vorgenommen. So erhält das Kriterium Effizienz eine Gewichtung von 25% an der Gesamtbewertung, die Betriebskosten der Lösung hingegen nur eine Gewichtung von 5%. So soll den Kriterien mehr Raum gegeben werden, die besser dem Zweck dienen als andere Kriterien. Somit werden kaufmännische Kriterien weniger stark gewichtet als technische Kriterien. Kriterien mit einer höheren Gewichtung stehen weiter oben in der Matrix. Die Bewertung erfolgt nach persönlicher Einschätzung des Autors von 1 - sehr schlecht bis 10 - sehr gut.

3.3 Bewertung

Unter Berücksichtigung der technischen Merkmale und Möglichkeiten erscheint die alleinige Nutzung von ACL zur Verhinderung von Missbrauch personenbezogener Daten durch den Systemadministrator als unzureichende Lösung. Sie ist zwar leicht einzusetzen, weist aber so gravierende Mängel auf, dass davon abzuraten ist. Vielversprechend und preislich interessant erscheint hingegen die Nutzung von EFS. So gibt es einen relativ hohen Aufwand, um die Lösung zu implementieren und zu betreiben, jedoch ist das Ergebnis überzeugend. Vor allem, wenn es zur ungehinderten Datenverbreitung kommt, ist eine mit EFS verschlüsselte Datei nicht mit angemessenem Aufwand zu entschlüsseln. Der Missbrauch durch den Systemadministrator ist deutlich erschwert, trotzdem kann er seiner Arbeit ohne Einschränkung nachgehen. Allenfalls gibt es konzeptionelle Schwächen von EFS. Die möglicherweise gravierendste ist die Notwendigkeit des manuellen Eingriffs durch Benutzer, um Dateien zu verschlüsseln. An diesem Punkt könnte der Einsatz von EFS scheitern, da nicht davon ausgegangen werden kann, dass Benutzer weder dazu technisch in der Lage sind, noch wissen, welche Arten von Informationen zu schützen sind. An dieser Stelle setzt die Nutzung von DLP-Lösungen an. Mittels automatischer Filterregeln werden Dokumente und Ordner automatisiert vom Systemadministrator abgeschottet. Bei konsequenter Umsetzung ist seine Arbeit nicht gestört, zum Beispiel wenn der Dienstbenutzer für die Datensicherung als Ausnahme definiert ist. Sollte es jedoch zur ungehinderten Datenverbreitung kommen, sind die betroffenen Dateien nicht verschlüsselt und frei einsehbar. Die hier untersuchte DLP-Lösung bietet in der hier untersuchten Form keinen erweiterten Schutz für den Havariefall. Gegebenenfalls können DLP-Lösungen anderer Hersteller diese Lücke füllen und eine Verschlüsselung mit einbeziehen. Damit würde eine DLP-Lösung die gewünschten Ergebnisse liefern. Die vom BDSG geforderten technischen Maßnahmen zur Verhinderung von Datenmissbrauch dürften aber von den beiden Lösungen EFS und DLP erfüllt sein. Darüber hinaus gehende organisatorische Maßnahmen können die technischen Maßnahmen wie beschrieben unterstützen beziehungsweise ihre Umsetzung erst ermöglichen. So wäre eine organisatorische Maßnahme, Rollen, die im Netzwerk von sich selbst kontrolliert werden und sich die eigenen Rechte geben zu verbieten^[63]. Allerdings sind die Regelungen des BDSG teilweise überholt, was es den hier ermittelten Lösungen erleichtert, diese momentan zu erfüllen. Weiterreichende Regelungen könnten dazu führen, dass die beiden Lösungen erweitert werden müssen.

4 Schlussbetrachtung

Datenschutz ist ein komplexes Thema. Mit dieser Arbeit werden in Bezug auf eines der Datenschutzgesetze, dem BDSG, mögliche Auswirkungen auf die Systemadministration aufgezeigt. Die Auswirkungen sind gravierend, werden in der Praxis jedoch zu selten umgesetzt. Für Stellen, die datenschutzkonforme Systemadministration einführen wollen, gibt es einige Lösungen, die implementiert werden können. Einige sind tatsächlich für datenschutzkonforme Systemadministration geeignet, andere weniger. Schließlich lässt sich zusammenfassen, dass es durchaus Lösungen gibt (in dieser Untersuchung EFS und DLP), die den Anforderungen des BDSG genügen. Die Lösung mit EFS ist sogar als Boardmittel im Funktionsumfang des Windows-Betriebssystems enthalten. Anhand technischer und kaufmännischer Kriterien wurden zwei Lösungen, die für das BDSG ausreichend sind, ermittelt. Die Kosten für Umsetzung und Betrieb der in dieser Arbeit als ausreichend erachteten Lösungen sind erfreulicherweise gering. Auf der anderen Seite sind die Regelungen und Forderungen des BDSG teilweise überholt, was das Ergebnis dieser Arbeit einschränkt. Zukünftige Versionen des BDSG, ein potentielles europäisches Datenschutzrecht oder ein zukünftiges Arbeitnehmerdatenschutzgesetz könnten die hier gut bewerteten Lösungen in einem anderen Licht erscheinen lassen. Mögliche weitergehende Lösungen sind weiterentwickelte DLP-Lösungen mit erweitertem Funktionsumfang. Nicht verhindert durch die hier untersuchten Lösungen werden der Missbrauch von Daten mit oder in Datenbanken, Anwendungen, Papierakten, e-Mail-Postfächern, Fernwartungsprogrammen und möglicherweise weiteren Feldern. Hier besteht die Möglichkeit, weitere Forschungen anzustellen. Leider gibt es an zu vielen Stellen die Möglichkeit, einem Systemadministrator mit krimineller Energie Raum zu schaffen. Zu hoffen bleibt, dass das dem Systemadministrator im Voraus entgegengebrachte Vertrauen, welches er zur Ausübung seiner Tätigkeit für gewöhnlich erhält, nicht ausnutzt, sondern verantwortungsvoll für seine Arbeit gebraucht.

5 Fußnoten

1. ↑ Vgl. ArbG Köln 4 Sa 1257/09 und ArbG München 11 Sa 54/09
2. ↑ S. Jürgens (2004)
3. ↑ S. GG
4. ↑ S. BDSG
5. ↑ S. z.B. DSG MV
6. ↑ S. SGB X, Zweites Kapitel
7. ↑ S. Richtlinie 95/46/EG
8. ↑ S. Richtlinie 97/66/EG
9. ↑ S. Richtlinie 2002/58/EG
10. ↑ S. BVerfG Karlsruhe Volkszählungsurteil
11. ↑ S. BVerfG Karlsruhe Volkszählungsurteil
12. ↑ S. GG Artikel 2 Absatz 1
13. ↑ S. GG Artikel 1 Absatz 1
14. ↑ Vgl. Klotz (2009)
15. ↑ Vgl. Wichert et al. (2011)
16. ↑ Vgl. ebd.
17. ↑ S. BDSG §1 Abs. 1
18. ↑ S. BDSG §3 Abs. 1
19. ↑ S. BDSG §3 Abs. 9
20. ↑ S. BDSG §4 Abs. 1
21. ↑ S. BDSG §13
22. ↑ S. BDSG §14 Abs. 1
23. ↑ S. BDSG §14 Abs. 2 S. 6
24. ↑ S. BDSG §28 Abs. 1 S. 3
25. ↑ S. BDSG §28 Abs. 1 S. 1
26. ↑ S. BDSG §28 Abs. 1 S. 4
27. ↑ S. BDSG §4f Abs. 1
28. ↑ S. ebd.
29. ↑ S. BDSG §4f Abs. 3
30. ↑ S. BDSG §4g Abs. 1
31. ↑ S. BDSG §4g Abs. 1 S. 1
32. ↑ S. BDSG §4g Abs. 1 S. 2
33. ↑ S. BDSG §22 Abs. 1
34. ↑ S. BDSG §22 Abs. 2
35. ↑ S. BDSG §22 Abs. 3
36. ↑ S. BDSG §22 Abs. 4
37. ↑ S. BDSG §23 Abs. 2
38. ↑ S. BDSG §23 Abs. 4 S. 1
39. ↑ S. BDSG §23 Abs. 4 S. 2
40. ↑ Vgl. BMI (2011)
41. ↑ Vgl. ebd.
42. ↑ Vgl. ebd.
43. ↑ Vgl. ebd.
44. ↑ S. BDSG §9
45. ↑ S. ebd.
46. ↑ S. BDSG §11 Abs. 1
47. ↑ S. BDSG §11 Abs. 2
48. ↑ S. BDSG §11 Abs. 2 S. 2
49. ↑ S. BDSG §11 Abs. 2 S. 3
50. ↑ S. BDSG §11 Abs. 2 S. 7
51. ↑ S. BDSG §11 Abs. 2 S. 10
52. ↑ Vgl. Weichert (2010)
53. ↑ S. BDSG §32 Abs. 1
54. ↑ S. Schaar (2010)
55. ↑ Vgl. SPD (2009)
56. ↑ Vgl. MJ Sachsen-Anhalt (2011)
57. ↑ S. Caspar (2011)
58. ↑ S. Treser (2009)
59. ↑ Vgl. Schonschek (2009)
60. ↑ in Anlehnung an Trend Micro (2010)
61. ↑ S. BDSG §9
62. ↑ S. ebd.
63. ↑ Vgl. Schonschek (2009)

6 Anhänge

6.1 Abbildungsverzeichnis

Abb.-Nr.	Abbildung
1	Inhalt des vertraulichen Dokuments im Anwendungsfall
2	Beispiel einer Access Control List im Anwendungsfall
3	Erfolgreiche Überwachung von ACL-Änderungen
4	Beispiel einer Liste über ausgestellte Zertifikate im Anwendungsfall
5	Übersicht einer möglichen DLP-Infrastruktur, in rot angezeigt sind die Stellen, die in der virtuellen Umgebung nachgebaut sind
6	Übersicht der Clients in der Web-Konsole der DLP-Lösung im Anwendungsfall
7	Übersicht der Richtlinienverletzungen, welche von der DLP-Software erkannt wurden

6.2 Abkürzungsverzeichnis

Abkürzung	Bedeutung
ACL	Access Control List
AD	Active Directory
BfDI	Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
DLP	Data Loss Prevention
EFS	Encrypting File System
eTIN	electronic Taxpayer Identification Number
RDP	Remote Desktop Protocol
SAN	Storage Area Network
SMB	Server Message Block

6.3 Literaturverzeichnis

BMI (2011)	o.V., Bundesministerium des Innern (Hrsg.): Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BMI, Bonn 2011
Buchner et al. (2010a)	Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Datenschutz International, Gabler - Springer Fachmedien, Augabe 8/2010, 34. Jahrgang, Wiesbaden 2010
Buchner et al. (2010b)	Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Cloud Computing, Gabler - Springer Fachmedien, Augabe 10/2010, 34. Jahrgang, Wiesbaden 2010
Buchner et al. (2011)	Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Informationelle Selbstbestimmung, Gabler - Springer Fachmedien, Augabe 10/2011, 35. Jahrgang, Wiesbaden 2011
Caspar (2011)	Caspar, Prof. Dr. Johannes: Arbeitnehmerdatenschutz - Im Spannungsfeld zwischen informationeller Selbstbestimmung und betrieblicher Kontrolle, in: Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Informationelle Selbstbestimmung, Gabler - Springer Fachmedien, Augabe 10/2011, 35. Jahrgang, Wiesbaden 2011, Seiten 687 - 693
Jürgens (2004)	Jürgens, Uwe: Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften), 9.11.2004, https://www.datenschutzzentrum.de/systemdatenschutz/bibliothek/sb20.pdf (26.08.2011, 9:30)
Klotz (2009)	Klotz, Michael: Datenschutz in KMU - Lehren für IT-Compliance, Stralsund Information Management Team, Stralsund 2009
MJ Sachsen-Anhalt (2011)	o.V., Ministerium für Justiz und Gleichstellung des Landes Sachsen-Anhalt: Herbstkonferenz der Justizministerinnen und Justizminister - Arbeitnehmerdatenschutz, Berlin 2011, http://www.sachsen-anhalt.de/fileadmin/Elementbibliothek/Bibliothek_Politik_und_Verwaltung/Bibliothek_MJ/jumiko/hk_I_5_arbeitnehmerdatenschutz.pdf
Schaar (2010)	Schaar, Peter: Ein Datenschutzrecht für das 21. Jahrhundert, in: Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Informationelle Selbstbestimmung, Gabler - Springer Fachmedien, Augabe 8/2010, 34. Jahrgang, Wiesbaden 2010, Seite 518
Schonschek (2009)	Schonschek, Oliver: So regeln Sie die zwiespältige Rolle der Administratoren im Datenschutz, 30.04.2009, http://www.datenschutz-praxis.de/fachwissen/fachartikel/so-regeln-sie-die-zwiespaltige-rolle-der-administratoren-im-datenschutz/ (26.08.2011, 9:30)
SPD (2009)	o.V., Fraktion der Sozialdemokratischen Partei Deutschlands (Hrsg.): Entwurf eines Gesetzes zum Datenschutz im Beschäftigungsverhältnis (Beschäftigtendatenschutzgesetz – BDatG), Berlin 2009, http://dipbt.bundestag.de/dip21/btd/17/000/1700069.pdf
Treser (2009)	Treser, Tanja: Schwachstelle Mensch, in: FOCUS Magazin, FOCUS Magazin Verlag, München 2009, Ausgabe 1/2009, Seiten 104 bis 105
Trend Micro (2010)	o.V., Trend Micro (Hrsg.): Data Loss Prevention - Administrator's Guide, Seite 7, Tokyo 2010
Weichert (2010)	Weichert, Thilo: Cloud Computing und Datenschutz, in: Buchner, Benedikt / Fox, Dirk / Mester, Britta Alexandra / Reimer, Helmuth (Hrsg): Datenschutz und Datensicherheit: Cloud Computing, Gabler - Springer Fachmedien, Augabe 10/2010, 34. Jahrgang, Wiesbaden 2010
Wichert et al. (2011)	Wichert, Joachim / Übersohn, Gerhard: Datenschutz, in: Gabler Wirtschaftslexikon: Das Wissen der Experten, 2011, http://wirtschaftslexikon.gabler.de/Definition/datenschutz.html (28.11.2011, 17:30)

6.4 Rechtsquellenverzeichnis

BDSG	Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14.01.2003 (BGBl. I S. 66), zuletzt geändert durch Gesetz vom 14.08.2009 (BGBl. I S. 2814) m.W.v. 01.09.2009 bzw. 01.04.2010
DSG MV	Landesdatenschutzgesetz von Mecklenburg-Vorpommern vom 24. Juli 1992 (GVOBl. M-V S. 487), in Kraft am 15. August 1992, geändert durch Artikel 2 des Gesetzes vom 7. Juli 1997 (GVOBl. M-V S. 282), in Kraft am 24. Juli 1997, GS Meckl.-Vorp. Gl. Nr. 204-1
GG	Grundgesetz, vom 23. Mai 1949 (BGBl. S. 1), zuletzt geändert durch das Gesetz vom 21. Juli 2010 (BGBl. I S. 944)
Richtlinie 95/46/EG	Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Amtsblatt Nr. L 281 vom 23.11.1995, S. 0031 - 0050
Richtlinie 97/66/EG	Richtlinie 97/66/EG des Europäischen Parlaments und des Rates vom 15. Dezember 1997 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation, Amtsblatt L 24 vom 30.1.1998, S. 1–8
Richtlinie 2002/58/EG	Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), Amtsblatt Nr. L 201 vom 31.07.2002, S. 0037 - 0047
SGB X	Zehntes Buch Sozialgesetzbuch - Sozialverwaltungsverfahren und Sozialdatenschutz

6.5 Rechtsprechungsverzeichnis

ArbG Köln 4 Sa 1257/09	Landesarbeitsgericht Köln, Aktenzeichen 4 Sa 1257/09, Köln 14.05.2010 http://www.justiz.nrw.de/nrwe/arbgs/koeln/lag_koeln/j2010/4_Sa_1257_09urteil20100514.html
ArbG München 11 Sa 54/09	Landesarbeitsgericht München, Aktenzeichen 11 Sa 54/09, München 08.07.2009 http://www.arbg.bayern.de/imperia/md/content/stmas/lag/muenchen/entscheidungen_2009/kammer11/11sa54_09.pdf
BVerfG Karlsruhe Volkszählungsurteil	Bundesverfassungsgericht, Aktenzeichen 1 BvR 209, 269, 362, 420, 440, 484/83, Karlsruhe 15.12.1983 http://www.telemedicus.info/urteile/88-1-BvR-209.html