Knapp ein Jahr vor der bundesweiten Zusammenschaltung des Meldewesen am 1. Mai 2015 haben die PIRATEN Thüringen das Innenministerium zur Sicherheit des Verfahrens befragt. Bei einer Sicherheitsüberprüfung in Nordrhein-Westfalen ergab diese schwere Mängel bei bereits angeschlossenen Stellen. Dritte konnten sich ohne große Probleme Zugang zu dem System und den darin gespeicherten Daten verschaffen, da selbst einfachste Sicherheitsvorkehrungen nicht getroffen wurden [1].
Die Anfrage der PIRATEN Thüringen an das Innenministerium nach dem Thüringer Informationsfreiheitsgesetz [2] belegt, dass auch im Freistaat bisher keine Sicherheitsüberprüfung in den einzelnen Behörden stattfindet. Die komplette Anfrage kann hier nachgelesen werden.
»Bei kommerziellen Diensten können Nutzer ihr Passwort regelmäßig selbst ändern, um sich zu schützen. Bei den Meldedaten muss sich der Bürger auf die Behörde verlassen können. Daher sind besonders hier Sicherheitsüberprüfungen unerlässlich«, so Andreas Kaßbohm, stellvertretender Vorsitzender der PIRATEN Thüringen.
Durch die bundesweite Zusammenschaltung des Meldewesens ab dem 1. Mai 2015 wird verschiedenen Behörden ein deutschlandweiter Zugriff auch auf Thüringer Meldedaten gewährt. Sicherheitsmängel in nur einem der angeschlossenen Systeme ermöglichen dann den Zugriff auf Daten aller Meldebehörden.
»Zentrale Sammlungen sensibler personenbezogener Daten lehnen wir ab. Solche Datenhalden wecken Begehrlichkeiten und können nicht effektiv vor Missbrauch geschützt werden. Die bundes- sowie thüringenweite Zusammenführung der Meldedaten betrachten wir als einen Schritt in die falsche Richtung«, ergänzt Kaßbohm.
Anfrage nach dem Thüringer Informationsfreiheitsgesetz (ThürIFG) und Antworten des Thüringer Innenministeriums:
1. Wie ist das oben genannte Szenario bisher umgesetzt, wie soll es umgesetzt werden?
Rechtsgrundlagen des Meldewesens sind das Melderechtsrahmengesetz des Bundes sowie die Meldegesetze der Länder und die jeweiligen Durchführungsverordnungen. Im Zuge der Föderalismusreform 1 im Jahre 2006 wurde das
Meldewesen in die ausschließliche Gesetzgebungskompetenz des Bundes überführt. Bundestag und Bundesrat haben das Gesetz zur Fortentwicklung des Meldewesens mit einem Bundesmeldegesetz als Kernstück am 28. Februar bzw. 1. März 2013 beschlossen. Das Bundesmeldegesetz wurde am 8. Mai 2013 verkündet (BGBI. 1 5. 1084).
Es wird am 1. Mai 2015 in Kraft treten Derzeit ist das Melderecht für den Freistaat Thüringen im Thüringer Gesetz über das Meldewesen (Thüringer Meldegesetz -ThürMeldeG – vom 26. Oktober 2006, GVBI. 2006, 525, zuletzt geändert durch Artikel 4 des Gesetzes vom 21. Dezember 2011 ( GVBI. 5.530) geregelt. Thüringen betreibt bereits
ein landeseinheitliches Verfahren für das Meldewesen in der Zuständigkeit des Landesrechenzentrums, das nach §34 Abs. 2S.4 ThürMeldeG Spiegelregister führt. Dies wird im Zuge der Umsetzung des Bundesmeldegesetzes entsprechend fortentwickelt.
2. Welche staatlichen Stellen bekommen Zugriff auf diese Daten?
Welche staatliche Stellen Zugriff auf diese Daten haben, ergibt sich aus der Thüringer Meldeverordnung (ThürMeldeVO) vom 4. Dezember 2006 ,GVBI. 2006, 562. Als Beispiele für abrufberechtigte Behörden können die
Polizei (~ 8 ThürMeldeVO), das Landesamt für Verfassungsschutz(~ 9 ThürMeldeVc) und die Staatsanwaltschaften, Gerichte und Justizvollzugsbehörden (~10 ThürMeldeVO) genannt werden.
3. Wie sollen die Bürger effektiv geschützt werden?
Den bei den Meldebehörden oder anderen Stellen, die im Auftrag der Meldebehörden handeln, beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (~ 6ThürMeldes).Sie unterliegen dem Meldegeheimnis. In der Thüringer Meldeverordnung sind umfassend Regelungen zur Datensicherheit (~ 30 ThürMeld~VO) sowie zu
Sicherungsmaßnahmen und Protokollierung des Abrufs von Daten aus Spiegelregistern des Landesrechenzentrums (~ 3 ThürMeldeVO) getroffen worden.
4. Wurden/Werden die Zugriffsstellen einem Sicherheitsaudit unterzogen wie in NRW?
Im Landesrechenzentrum werden verfahrensbezogen regelmäßig Sicherheitsaudits durchgeführt, allerdings nicht von externen Auditoren.
5. Welche Lehren werden bei einem wahrscheinlich ähnlichen Ergebnis ergriffen?
Unabhängig von der Durchführung oder dem Ergebnis eines solchen Sicherheitsaudits werden im Rahmen regelmäßiger und kontinuierlicher Verbesserungsprozesse die lT-Sicherheit und der Datenschutz betrachtet und die Ergebnisse umgesetzt.
Quellen:
[1] http://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument?Id=MMST16/1358
[2] http://landesrecht.thueringen.de/jportal/portal/t/52h6/page/bsthueprod.psml;jsessionid=E2C7BB7DF238221702FF0E4516FC3AC2.jpj4?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-InfFrGTH2012rahmen&doc.part=X&doc.price=0.0#focuspoint
Knapp ein Jahr vor der bundesweiten Zusammenschaltung des Meldewesen am 1. Mai 2015 haben die PIRATEN Thüringen das Innenministerium zur Sicherheit des Verfahrens befragt. Bei einer Sicherheitsüberprüfung in Nordrhein-Westfalen ergab diese schwere Mängel bei bereits angeschlossenen Stellen. Dritte konnten sich ohne große Probleme Zugang zu dem System und den darin gespeicherten Daten verschaffen, da selbst einfachste Sicherheitsvorkehrungen nicht getroffen wurden [1].
Die Anfrage der PIRATEN Thüringen an das Innenministerium nach dem Thüringer Informationsfreiheitsgesetz [2] belegt, dass auch im Freistaat bisher keine Sicherheitsüberprüfung in den einzelnen Behörden stattfindet. Die komplette Anfrage kann hier nachgelesen werden.
»Bei kommerziellen Diensten können Nutzer ihr Passwort regelmäßig selbst ändern, um sich zu schützen. Bei den Meldedaten muss sich der Bürger auf die Behörde verlassen können. Daher sind besonders hier Sicherheitsüberprüfungen unerlässlich«, so Andreas Kaßbohm, stellvertretender Vorsitzender der PIRATEN Thüringen.
Durch die bundesweite Zusammenschaltung des Meldewesens ab dem 1. Mai 2015 wird verschiedenen Behörden ein deutschlandweiter Zugriff auch auf Thüringer Meldedaten gewährt. Sicherheitsmängel in nur einem der angeschlossenen Systeme ermöglichen dann den Zugriff auf Daten aller Meldebehörden.
»Zentrale Sammlungen sensibler personenbezogener Daten lehnen wir ab. Solche Datenhalden wecken Begehrlichkeiten und können nicht effektiv vor Missbrauch geschützt werden. Die bundes- sowie thüringenweite Zusammenführung der Meldedaten betrachten wir als einen Schritt in die falsche Richtung«, ergänzt Kaßbohm.
Anfrage nach dem Thüringer Informationsfreiheitsgesetz (ThürIFG) und Antworten des Thüringer Innenministeriums:
1. Wie ist das oben genannte Szenario bisher umgesetzt, wie soll es umgesetzt werden?
Rechtsgrundlagen des Meldewesens sind das Melderechtsrahmengesetz des Bundes sowie die Meldegesetze der Länder und die jeweiligen Durchführungsverordnungen. Im Zuge der Föderalismusreform 1 im Jahre 2006 wurde das
Meldewesen in die ausschließliche Gesetzgebungskompetenz des Bundes überführt. Bundestag und Bundesrat haben das Gesetz zur Fortentwicklung des Meldewesens mit einem Bundesmeldegesetz als Kernstück am 28. Februar bzw. 1. März 2013 beschlossen. Das Bundesmeldegesetz wurde am 8. Mai 2013 verkündet (BGBI. 1 5. 1084).
Es wird am 1. Mai 2015 in Kraft treten Derzeit ist das Melderecht für den Freistaat Thüringen im Thüringer Gesetz über das Meldewesen (Thüringer Meldegesetz -ThürMeldeG – vom 26. Oktober 2006, GVBI. 2006, 525, zuletzt geändert durch Artikel 4 des Gesetzes vom 21. Dezember 2011 ( GVBI. 5.530) geregelt. Thüringen betreibt bereits
ein landeseinheitliches Verfahren für das Meldewesen in der Zuständigkeit des Landesrechenzentrums, das nach §34 Abs. 2S.4 ThürMeldeG Spiegelregister führt. Dies wird im Zuge der Umsetzung des Bundesmeldegesetzes entsprechend fortentwickelt.
2. Welche staatlichen Stellen bekommen Zugriff auf diese Daten?
Welche staatliche Stellen Zugriff auf diese Daten haben, ergibt sich aus der Thüringer Meldeverordnung (ThürMeldeVO) vom 4. Dezember 2006 ,GVBI. 2006, 562. Als Beispiele für abrufberechtigte Behörden können die
Polizei (~ 8 ThürMeldeVO), das Landesamt für Verfassungsschutz(~ 9 ThürMeldeVc) und die Staatsanwaltschaften, Gerichte und Justizvollzugsbehörden (~10 ThürMeldeVO) genannt werden.
3. Wie sollen die Bürger effektiv geschützt werden?
Den bei den Meldebehörden oder anderen Stellen, die im Auftrag der Meldebehörden handeln, beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (~ 6ThürMeldes).Sie unterliegen dem Meldegeheimnis. In der Thüringer Meldeverordnung sind umfassend Regelungen zur Datensicherheit (~ 30 ThürMeld~VO) sowie zu
Sicherungsmaßnahmen und Protokollierung des Abrufs von Daten aus Spiegelregistern des Landesrechenzentrums (~ 3 ThürMeldeVO) getroffen worden.
4. Wurden/Werden die Zugriffsstellen einem Sicherheitsaudit unterzogen wie in NRW?
Im Landesrechenzentrum werden verfahrensbezogen regelmäßig Sicherheitsaudits durchgeführt, allerdings nicht von externen Auditoren.
5. Welche Lehren werden bei einem wahrscheinlich ähnlichen Ergebnis ergriffen?
Unabhängig von der Durchführung oder dem Ergebnis eines solchen Sicherheitsaudits werden im Rahmen regelmäßiger und kontinuierlicher Verbesserungsprozesse die lT-Sicherheit und der Datenschutz betrachtet und die Ergebnisse umgesetzt.
Quellen:
[1] http://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument?Id=MMST16/1358
[2] http://landesrecht.thueringen.de/jportal/portal/t/52h6/page/bsthueprod.psml;jsessionid=E2C7BB7DF238221702FF0E4516FC3AC2.jpj4?pid=Dokumentanzeige&showdoccase=1&js_peid=Trefferliste&documentnumber=1&numberofresults=1&fromdoctodoc=yes&doc.id=jlr-InfFrGTH2012rahmen&doc.part=X&doc.price=0.0#focuspoint