Next: Computerumgang
Previous: Informationsveranstaltung der WebServer AG
Einleitung
Es begab sich aber zu der Zeit, daß ein Gebot von der Bibliothek ausging,
daß alle Welt neue Ausweise erhalten sollte...
Aber Scherz beiseite, vor einiger Zeit wurden neue Ausweise eingeführt,
die mit der Zeit in allen Hamburger Universitätsbibliotheken gültig sein
werden. Dies ist Teil eines groß angelegten Projektes, das zum Ziel hat,
sowohl
die einzelnen Kataloge als auch die Benutzerdaten in einem gemeinsamen
System zusammenzufassen, um so den einfacheren Zugriff der Benutzer auf die
Bestände der Bibliotheken fremder Fachbereiche zu ermöglichen und die
Verwaltung zu vereinfachen.
Zur Ausstellung dieses Ausweises muß ein neues Antragsformular
ausgefüllt werden, das auf der Rückseite darauf hinweist,
Jens N., einem Studenten der Informatik, erschien dies im Widerspruch zu den
an diesem Fachbereich gelehrten Grundsätzen des Datenschutzes zu stehen.
Seine Vorbehaltserklärung, in der er auf die Einhaltung des Hamburgischen
Datenschutzgesetzes bestand, löste eine anhaltende Diskussion am Fachbereich
als auch in diesen Artikel aus.
Im folgenden werden wir versuchen, die Problematik zu verdeutlichen.
Kennt jemand PICA?
PICA ist nicht nur der Name einer niederländischen Softwarefirma, sondern
auch des Bibliothekssystems, das derzeit in sieben Bundesländern
eingeführt wird.
Das Kernstück des Systems bildet eine zentrale Literaturdatenbank in
Göttingen, in die Bestände der angeschlossenen Bibliotheken
katalogisiert sind. Aus Performancegründen werden
diese Daten teilweise lokal gespiegelt. Dieser Katalog nennt sich OPAC
(Online Public Access Catalogue).
Neben den Literaturdaten müssen auch Benutzerdaten verwaltet werden.
Dies geschieht in lokalen Systemen (in unserem Fall beim Regionalen
Rechenzentrum).
Seit zwei Jahren läuft nun ein Projekt, das es sich zum Ziel gesetzt hat, die
Bibliotheken aller Hamburger Hochschulen dem Verbund anzugliedern.
Neben den Bibliotheken der Uni sind dies z.B. auch die der TU Harburg,
der Universität der Bundeswehr und des HWWA.
Eine zentrale Stellung nimmt dabei für uns das Regionale Rechenzentrum ein.
Hier werden die Benutzerdaten für die Uni verwaltet. Außerdem
wird hier eine lokale Kopie des Campus-Kataloges gehalten.
Eine Möglichkeit auf diesen Katalog zuzugreifen, bietet das WWW unter
http://www.informatik.uni-hamburg.de/bib/Kataloge/hambkat.html2. Hier kann man im Katalog recherchieren. Die Geräte auf dem Stellinger Campus
bieten zusätzlich die Möglichkeit, Bestellungen vorzunehmen.
Alternativ dazu kann man auch das gute alte Telnet bemühen. Der Rechner
hhas11.rrz.uni-hamburg.de bietet unter der Kennung opc4
neben der Recherche auch die Möglichkeit, über das Internet Vorbestellungen
und Verlängerungen vorzunehmen, sowie sich zu vergewissern, welche bereits
abgegebenen Bücher die Bibliothek noch von einem haben will.
Prinzipiell kann man das RRZ auch mit SSH (Secure Shell) erreichen,
allerdings geht dies wohl nur von Rechnern des regionalen Rechenzentrums
aus (z.B. Dial-in-Account auf der Public).
Bedauerlicherweise muß
man das aber selbst herausfinden, da es weder in den Faltblättern der
Bibliothek noch auf deren Webseiten erwähnt wird.
Zur Verwaltung der Benutzerdaten wird
ein Programm verwendet, dessen Oberfläche an DOS-Zeiten erinnert, und über dessen
Bedienungskompfort allenthalben laute Klagen zu hören sind. Die eigentlichen
Daten liegen auch hierbei wieder am RRZ, so daß stets online gebucht wird.
Wo liegt nun das Problem?
Würde man ein Internet-basiertes Buchungssystem im Rahmen einer Studien- bzw.
Diplomarbeit entwickeln, wäre hierbei sicherlich die Sicherheit der
übertragenen personenbezogenen Daten eine wesentliche Herausforderung.
Daß dieser bislang aus dem Weg gegangen wurde, zeigt folgendes
Gedankenexperiment:
Gehen wir doch mal mit einem Notebook in die Bibliothek. Wir brauchen einen
Anschluß an den lokalen Ethernetstrang, dazu stöpseln wir einen der
vorhandenen Rechner einfach um. Nun können wir mit einem
Packetsniffer3
problemlos allen Benutzern sowie den Damen und Herren am Tresen bei ihren
Aktivitäten im System folgen. Lohnenswert wären z.B. Paßwörter oder auch
abgerufene Benutzerdaten.
Dies steht konkret im Widerspruch zum Datenschutzgesetz4, das die Sicherung des Transportweges, z.B. durch Verschlüsselung,
vorschreibt.
Dies ist aber noch nicht alles. Bei unserer Recherche stießen wir auf ein weiteres
Problem. Das System ist offenbar so angelegt, daß jede Leihstelle
auf alle Daten Zugriff hat. Das klingt zum einen verständlich, weil ja
jede Ausweisinhaberin in potentiell jeder Bibliothek Bücher entleihen
können soll. Zum anderen stellt sich aber die Frage, ob die Bibliothek
am UKE unbedingt wissen muß, ob und wieviele ,,Kernigan & Richie's``
wer in Stellingen ausgeliehen hat.
Es ist zu überlegen, ob ein solcher freier Fluß von
personenbezogenen Daten nicht das Erforderlichkeitsprinzip verletzt.
Es gibt - je nach Quelle - etwa 505, etwa 1006 oder gar 1467
Bibliotheken, die das Projekt allein in Hamburg einmal umfassen soll.
Während bislang 5-10 Personen mit den studibezogenen Daten an
zentraler Stelle hantierten, ist die Anzahl derer, die jetzt darauf
zugreifen können, ins schier unermeßliche gestiegen8.
Was können die Verantwortlichen dagegen tun?
Wir haben zwei Probleme aufgezeigt, die verschiedene Lösungen erfordern.
Gegen sniffen hilft, gut zu verschlüsseln. Für das Webinterface wäre
der Einsatz von SSL (Secure Socket Layer) zu erwägen. SSL wird von den
meisten WWW-Browsern unterstützt, auch serverseitig ist es relativ leicht
einzubinden. Auch SSL kann geknackt werden, es verursacht jedoch ungleich
mehr Aufwand, als einfach an der Leitung mitzuhören.
Für die meisten Telnet-Verbindungen ist eine SSL-Unterstützung allerdings
nicht verfügbar. Es existiert mit SSH (Secure Shell) jedoch eine recht gute
Alternative. Wie oben erwähnt, wird es auch vom RRZ-Rechner unterstützt.
Es gibt Freeware-Implementationen für Linux, Dos, Windows und OS/2, die für
diesen Zweck geeignet sind. Leider sind diese Programme in der Bibliothek
nicht installiert, so daß man von daheim nun prinzipiell sicherer auf seine
Bibliotheksdaten zugreifen kann als in den Räumlichkeiten der Bibliothek selbst.
Auch wenn das gerne geglaubt wird, hilft Verschlüsseln nicht gegen alles.
Wenn 200 oder 500 Bibliothekare und Hilfskräfte Zugriff auf das System nehmen
können, so wird SSL oder SSH sie nicht daran hindern, dieses Recht zu mißbrauchen.
Eine wichtige Forderung des Datenschutzes ist es daher, daß nur Zugriff auf jene
Daten gewährt wird, die für die Erfüllung einer Aufgabe notwendig sind
9.
Es ist sicherlich erforderlich, daß eine Bibliothekarin feststellen kann, ob
ein Benutzer berechtigt ist, ihre Bibliothek zu benutzen. Auch muß sie abfragen
können, ob er in ihrer Bibliothek noch Bücher ausstehen hat. Welche Bücher
er dagegen in anderen Bibliotheken ausgeliehen hat, ist für sie unerheblich.
Es wäre auch zu überlegen, ob die Angaben zur Person (Name, Wohnort, etc.)
wirklich in mehr als einer Bibliothek abfragbar sein müssen.
Die beschriebenen Maßnahmen - insbesondere im letzten Punkt - sind sicherlich
nicht ohne gravierende Eingriffe in das System zu realisieren. Allerdings sind
Transportsicherung und Erforderlichkeitsprinzip in den Datenschutzgesetzen
verbindlich gefordert.
Wie geht's weiter?
Im Anmeldeformular wird eine Verschlüsselung versprochen,
deren Realisierung seit einem halben Jahr aussteht. Wir warten weiter ...
Am Fachbereich wird seit Januar die Einsetzung eines Datenschutzbeauftragten
diskutiert. Mittlerweile arbeitet Prof. Brunnstein an einer
Aufgabenbeschreibung, diese soll auch die Frage klären, welche Kompentenzen
dieser erhalten soll, eine Frage die wohl noch nicht endgültig ausdiskutiert
ist.
Andreas Lessig, Jens Nedon
In der FBR-Sitzung am 17. Juni wurde Prof. Brunnstein zum Datenschutzbeauftragten gewählt. Anm. d. Red.
bits-Redaktion
10/06/1998