Das IT-Labor der niedersächsischen Datenschutzaufsicht

Seit 2016 baut die Datenschutzaufsicht Niedersachsen kontinuierlich ihr IT-Labor aus, das inzwischen von einem Team aus vier Personen betreut und genutzt wird. Es verfügt über einen umfassenden technischen Apparat aus Servern, Computern und Forensikwerkzeugen. Die Kolleginnen und Kollegen agieren als interne Dienstleister für die juristischen Fachreferate: Mit Hilfe des IT-Labors führt unsere Behörde eigenständig IT-forensische Beweissicherung bei Beschwerden, Datenschutzpannen und anlasslosen Prüfungen durch. Darüber hinaus entwickelt das Team der IT-Forensik eigene Testverfahren.

Das Team unseres IT-Labors ist gut vernetzt mit den Kolleginnen und Kollegen anderer Landesdatenschutzbehörden. Durch die intensive Zusammenarbeit und den kontinuierlichen Erfahrungsaustausch auf nationaler und europäischer Ebene wirken wir auf die Entwicklung gemeinsamer Standards in der forensischen Untersuchung von Datenschutzverstößen hin.

IT-Security- und Datenschutzanalysen

Im Jahr 2023 setzten wir unser Projekt der proaktiven Prüfung von Microsoft- Exchange-Servern fort. Im IT-Labor identifizierten wir unter Nutzung von Internet-Wide-Scanning-Datenbanken in einem teilautomatisierten Prozess Verantwortliche aus Niedersachsen, deren Server trotz der bereits seit 2021 publizierten Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiterhin bekannte kritische Microsoft-Exchange- Sicherheitslücken aufwiesen. Beim Betrieb von E-Mail-Systemen, die mit solchen kritischen Schwachstellen behaftet sind, besteht ein sehr hohes Datenschutzrisiko. Sollte ein Angriff diese Schwachstellen ausnutzen, führt das mit einer sehr großen Wahrscheinlichkeit zur Verletzung des Schutzes personenbezogener Daten.

Wir unterzogen jedes so ermittelte System in unserem IT-Labor einer zusätzlichen Verifikation, um veraltete oder falsch positive Einträge in den Internet- Wide-Scanning-Datenbanken auszuschließen. Dazu haben wir bei den ermittelten Verantwortlichen mit Hilfe eines Schwachstellenscanners die E-Mail-Server in Echtzeit geprüft und im zutreffenden Fall damit aktuelle Nachweise darüber erstellt, dass die von den Verantwortlichen zum Zeitpunkt unserer Prüfung betriebenen Microsoft-Exchange-Server diese Sicherheitslücken auch wirklich aufgewiesen haben.

Nach der Benachrichtigung der betroffenen Verantwortlichen stand unser IT-Labor bei Bedarf den federführenden juristischen Fachreferaten unserer Behörde beratend zur Seite. Zum Abschluss der datenschutzrechtlichen Prüfungen testeten wir, ob die zuvor ermittelten Lücken tatsächlich von den Verantwortlichen nach unserer Aufforderung geschlossen, also die Schwachstellen in den Exchange-Servern behoben worden sind.

Das IT-Labor war darüber hinaus intensiv an weiteren Projekten wie der Prüfung von Medienwebseiten beteiligt. Auch bei der Analyse der von Microsoft bereitgestellten Auftragsverarbeitungsverträge unterstützte das IT-Labor bei der Bewertung der in diesem Zusammenhang relevanten technisch- organisatorischen Maßnahmen. Auf dieser dargelegten generischen Grundlage müssen Verantwortliche die konkretisierenden Detailfestlegungen zu technischen und organisatorischen Maßnahmen mit Microsoft aushandeln.

Im operativen Tagesgeschäft haben unsere IT-Expertinnen und -Experten neben der Projektarbeit allein im Berichtszeitraum 2023 technische Prüfungen im Rahmen von über 60 datenschutzrechtlichen Verfahren durchgeführt.

Im Juni 2023 nahmen Mitarbeitende unseres IT-Labors am EDPB-bootcamp teil. An diesem zweitägigen Arbeitstreffen in Brüssel wurden mehrere von europäischen Datenschutzaufsichtsbehörden entwickelte und in der Praxis bereits von uns eingesetzte Tools wie der „Web Evidence Collector“ sowie Audit-Anwendungen vorgestellt und im Rahmen eines Workshops gemeinsam erprobt.

Zusammen mit weiteren nationalen und europäischen Aufsichtsbehörden sowie dem Europäischen Datenschutzbeauftragten beteiligten wir uns an der Expertengruppe „Mobile Audit Exchange“, die ein europaweit abgestimmtes Vorgehen für technische Untersuchungen der auf Smartphones installierten Apps erarbeitet.

Darüber hinaus prägte der intensive Austausch mit den technischen Bereichen einiger Datenschutzaufsichtsbehörden anderer Länder sowie die Nutzung von Schulungsangeboten der Niedersächsischen Polizeiakademie die Arbeit des vergangenen Jahres. Die Mitarbeiter des IT-Labors haben zu mehreren Anlässen den Aufbau sowie die technische Ausstattung des IT-Labors vorgestellt und sich intensiv über aktuelle Prüfungsabläufe und -techniken mit den Kolleginnen und Kollegen anderer Datenschutzaufsichten ausgetauscht.

Durch die „Mobile Audit Exchange“-Expertengruppe sind wir auf die Arbeit von Datenanfragen.de e. V. sowie pts-project.org aufmerksam geworden. Diese Gruppen beschäftigen sich mit Analysemöglichkeiten von Apps auf Smartphones für die beiden auf dem Markt dominierenden Smartphone-Betriebssysteme Android und iOS. Die für die Analyse notwendigen Tools sind Open-Source-Projekte. In Zusammenarbeit mit anderen deutschen Datenschutzaufsichtsbehörden arbeiten wir aktuell daran, die sich damit eröffnenden Möglichkeiten in die Prüfverfahren unseres IT-Labors zu integrieren.

Unser Ziel ist es, möglichst von allen Datenschutzaufsichtsbehörden mitgetragene einheitliche Prüfverfahren zu entwickeln und umzusetzen, sodass auch der Austausch von Prüfergebnissen einfacher wird. Zusätzlich gewinnen die Analyse und die Bewertung von technischen Sachverhalten durch die Digitalisierung praktisch aller Lebensbereiche immer mehr an Bedeutung, sodass auch die Anforderungen an die Methoden der IT-Forensik ständig steigen.

Unsere IT-Labor-Mitarbeiterinnen und -Mitarbeiter haben durch ihre Prüfaktivitäten bereits vielfältige Erfahrungen gesammelt und Fachwissen aufgebaut. Der etablierte nationale und EU-weite Austausch über Konzepte, Tools und Methoden der IT-Laborarbeit wird auch in Zukunft die Fortentwicklung und den Ausbau unseres IT-Labors bereichern und damit unser personelles und finanzielles Engagement in diesem Bereich ergänzen.