|
|
Rundschreiben der Senatorin für Finanzen Nr. 04/2019
Addendum zur Internet-Richtlinie der Freien Hansestadt Bremen
Verteiler: Alle Dienststellen mit Schulen
Aufgrund der anhaltenden und hochdynamischen Bedrohungslage im Bereich der Cyber- und Informationssicherheit muss die Senatorin für Finanzen Anpassungen bei der zentralen Protokollierung von Internetzugriffen veranlassen.
Die Richtlinie für die Bereitstellung und Nutzung von Internet/Intranet Zugängen sieht unter 8 (4) vor, alle Zugriffe (auch private) auf das Internet zentral mit vollständigen IP-Adressen der abrufenden Netze (aber nicht die IP-Adressen der Arbeitsplatz-PCs) zu protokollieren. Nur unter besonderen Voraussetzungen soll es möglich sein, die arbeitsplatzbezogenen Teile der IP-Adresse zu protokollieren, um Verstöße gegen die Internet-Richtlinie verfolgbar zu machen.
An diesem Grundsatz wird unverändert festgehalten.
Die stark gewachsene Gefahr von Cyberangriffen erfordert jedoch eine Anpassung der Protokollierung aus Gründen der Informationssicherheit. Als die Internet-Richtlinie 2004 in Kraft trat, war die große Bedeutung der Protokollierung für die Informationssicherheit noch nicht erkennbar.
Die Vorgabe der Internet-Richtlinie, nur die netzbezogenen Teile der IP-Adresse aufzuzeichnen, rechnerbezogene IP-Adressen somit nicht aufzuzeichnen, ist angesichts der sich ständig ändernden Angriffsarten auf die IT-Infrastruktur Bremens nicht mehr vertretbar. Diese Vorgabe verhindert das Auffinden infizierter Geräte, begünstigt dadurch die Ausbreitung von Schadsoftware und stellt so auch ein nicht hinnehmbares Risiko für den Datenschutz dar.
Soweit die FHB IT-Dienste für Andere erbringt, z.B. im Rahmen der von der Internet-Richtlinie eingeräumten Möglichkeiten der privaten Nutzung, ist sie u.a. verpflichtet, notwendige Maßnahmen nach dem Stand der Technik für die Aufrechterhaltung der Betriebssicherheit durchzuführen. Dazu gehört auch die Speicherung der Protokollinformationen. Diese erfolgt im Rahmen der Verhältnismäßigkeit.
Nach höchstrichterlicher Rechtsprechung dürfen Diensteanbieter die von ihren Nutzern verwendeten IP-Adressen bis zu sieben Tage speichern, wenn dies zur Behebung von Störungen und Abwendung von Gefahren notwendig ist.
Die Freie Hansestadt Bremen, vertreten durch die Senatorin für Finanzen, hat Dataport als zentralen Dienstleister für den Internetzugang mit dieser Maßnahme beauftragt. Dabei wird der durch die aktuelle Rechtsprechung gesicherte Speicherzeitraum von 7 Tagen nicht ausgeschöpft, sondern wurde auf die Dauer von 6 Tagen festgesetzt.
Die Senatorin für Finanzen
Referat 40
Rudolf-Hilferding-Platz 1
28195 Bremen
E-Mail: ism-fhb@finanzen.bremen.de