Grundlagen und Sicherheit

Anwendungen mit Sicherheit und Verfügbarkeit nutzen

Einführung

Digitale Verfahren sollen bei der notariellen Tätigkeit zur Vorbereitung und Abwicklung von Rechtsgeschäften wertvolle Unterstützung leisten. Hierbei spielen Sicherheit und Verfügbarkeit eine zentrale Rolle, um eine vertrauenswürdige Umgebung sicherzustellen.

Was ist die Zielsetzung von Informations-Sicherheit und worin liegt der Nutzen?

Wesentliche Attribute der notariellen Tätigkeit sind Vertrauenswürdigkeit, Sorgfalt und Zuverlässigkeit. Dementsprechend gehören folgende Punkte zu den wesentlichen Zielen:

Arbeitsfähig sein - Verfügbarkeit

Um arbeitsfähig und auskunftsfähig zu sein und bei Bedarf Zugriff auf Daten und Verarbeitungs-Funktionalität zu haben, muss die Verfügbarkeit der Anwendungen, der zugrundeliegenden IT-Systeme sowie der Daten- und Kommunikations-Verbindungen auf angemessenem Stand gegeben sein. Dementsprechend wird selbstverständlich professionelles Equipment und der zugehörige Service benötigt. Wichtig sind daher folgende Punkte:

  • Transparenz und einfache, solide Strukturen mit klar abgegrenzten Kompetenzbereichen, auch bei den zugehörigen Dienstleistungen.
  • Datensicherung und Redundanz in wichtigen Bereichen, laufende Aktualisierung und Wartung sowie Verwenden von Standards.
  • Umfassende Maßnahmen zur IT-Sicherheit und zum Schutz gegen Fehler in Bezug auf das gesamte System unter Einbeziehung der Anwender.

Die Kontrolle behalten - vertrauenswürdig und rechtssicher

Daten sind wertvoller Rohstoff für eine neue Industrie! im Gegensatz zur Papierwelt können sie sehr schnell tausendfach kopiert und ausgewertet werden. Heute verschlüsselte Daten werden gesammelt, um sie morgen zu entschlüsseln und zu verwerten. Notarinnen und Notare haben volle Kontrolle über Daten, deren Verarbeitung und den Zugriff auf die Daten. Dies gilt wie bisher im Papierverfahren für alle digital gespeicherten Daten, die Verarbeitung sowie die digitale Kommunikation mit Beteiligten und Gerichten. Zu wesentlichen Grundsätzen der Informationssicherheit gehören:

  • Daten werden gemäß ihrer Art vertraulich behandelt, bei Speicherung, bei Verarbeitung und Kommunikation. Nur berechtige Personen oder Maschinen haben Zugriff.
  • Für Integrität der Daten wird gesorgt. Sie bleiben vollständig und dürfen nicht unbemerkt verändert werden, sei es durch bewusste Manipuliation oder Fehlfunktion.
  • Authentizität bei Daten in Bezug auf die Quelle ist gegeben sowie auf die Identität von Personen, Programmen oder Geräten, die auf Daten zugreifen, sie verarbeiten oder miteinander kommunizieren.
  • Personen-bezogene Daten werden gemäß DSGVO geschützt.

Anwendungen beherrschen und effizient einsetzen.

Mit zunehmender Vielfalt von Anwendungen und ihrer Vernetzung ist ein effizienter Einsatz nicht ohne Weiteres gegeben. Voraussetzung ist, die Anwendungen und die zugrunde liegende Infrastruktur im Wesentlichen zu verstehen und zu beherrschen. Digitale Verfahren basieren auf Anwendungen, die nützliche Funktionen für die notarielle Tätigkeit bei Vorbereitung und Abwicklung von Rechtsgeschäften bereitstellen sollen. Geeignete Anwendungen basieren teils auf allgemeiner Standard-Bürosoftware, teils auf fachspezifischen Programmpaketen spezialisierter Anbieter. Sie werden extern vernetzt, z.B. mit Anwendungen im Rechenzentrum der Bundesnotarkammer und dienen zur Kommunikation mit Gerichten, Behörden und Beteiligten.

Das Heft in der Hand behalten - Kompetenz erwerben und Abhängigkeiten vermeiden

Ausgehend von der Formulierung fachlicher Anforderungen und Rahmenbedinungen für die benötigten Anwendungen gibt es auf Anbieterseite Leistungsbeschreibungen für Services, die unter Berücksichtigung von Priorisierung (muss, kann), möglicher Optionen und Kosten betrachtet und in Einklang gebracht werden. Eine sachgerechte Einschätzung setzt voraus, dass alle wesentlichen Teile der Leistungsbeschreibung in einer für Nicht-Techniker gut verständlichen Sprache beschrieben werden - auch die den Anwendungen zugrunde liegende Infrastruktur-Technik, da diese als Fundament entscheidend für die Stabilität, Verfügbarkeit und Sicherheit ist.

  • Notarin und Notar können die wesentlichen Punkte bezüglich rechtssicherer Verfahrensweise, Informationssicherheit und effizientem Einsatz bei Betrieb des IT-Systems, der Anwendungen und begleitenden Dienstleistungen nachvollziehen und überprüfen (Qualitätssicherung).
  • Gut ausgebildete Nutzer können die Anwendung effektiv bedienen, vermeiden Fehler und Sicherheitsrisiken (Weiterbildung).
  • Es werden nur Komponenten aus sicheren Quellen verwendet und nur das, was für die dienstliche Nutzung erforderlich ist. Private Anwendungen werden ausschließlich strikt getrennt auf privaten Geräten genutzt. Anwendungen müssen integer bleiben, werden also entsprechend vor Manipulation geschützt und laufend aktualisiert.
  • Abhängigkeiten von Technologien und Dienstleistern im Blick behalten und möglichst vermeiden. Erfahrungsaustausch auf Anwenderseite mit Gleichgesinnten ist selbstverständlich hilfreich.

Gestaltung von IT-Systemen

Grundlegendes

IT-Systemen liegt wie Gebäuden eine Architektur und Statik zugrunde, die zweckmäßig ausgerichtet für ein sinnvolles und stabiles Zusammenwirken der eingesetzten Komponenten sowie für gute Bedienbarkeit sorgt. Das Notar-IT-System umfasst im Wesentlichen Arbeitsgeräte zur Ein- und Ausgabe von Daten und Server für Datenhaltung und Anwendungen. Diese sind miteinander und mit der Außenwelt vernetzt (Beteiligte, Gerichte, Bundesnotarkammer usw.). Ergänzend sind diverse Sicherheitseinrichtungen, die Datensicherung sowie begleitende Dienstleistungen zur Installation, Wartung, Überwachung und Entstörung zu nennen.

Die Architektur - Rechner-Strukturen und Design

Eine gute Systemarchitektur zu schaffen und diese im Laufe des "Lebenszyklus" zu erhalten, erfordert Geschick und Erfahrung. Zudem müssen die Besonderheiten der notarieller Tätigkeit berücksichtigt werden. Wie der Bauherr beim Hausbau, wird man bei Beschaffung und Ausgestaltung des IT-Systems die wesentlichen architektonischen Aspekte gemeinsam mit den Dienstleistern diskutieren, damit das Produkt am Ende den Anforderungen an die Nutzung und den Vorstellungen bezüglich Zweckmäßigkeit, Wartung und Entstörung genügt. Ein geschickter Architekt berücksichtigt bereits beim Design wesentliche Anforderungen der effizienten und rechtssicheren Nutzung, der Informationssicherheit und Transparenz (z.B. Anwenden von Security-By-Design-Prinzipien). Sie sind somit implizit gegeben und müssen nicht durch Zusatzeinrichtungen erfüllt werden.

Übersicht behalten - teile und beherrsche

Um ein System zu beherrschen und die Übersicht zu behalten, ist eine Aufteilung des Gesamtsystems in Teilsysteme sinnvoll. Dabei werden Aspekte verwandter Sicherheits- und Zugriffs-Anforderungen in Bezug auf Anwendung, Datenspeicherung, Einsatz von Systemressourcen und Vernetzung herangezogen. Dies ist dann gelungen, wenn Notarin, Notar und Mitarbeiter die Kriterien der Aufteilung nachvollziehen können und das Zusammenspiel der Teilbereiche im Wesentlichen verstehen.

  • Möglichst wenige Abhängigkeiten der Segmente untereinander, Austauschbarkeit oder zeitweises Abschalten von Teilen, ohne dass das Gesamtsystem betroffen ist.
  • Server mit vertraulichen Daten und sensiblen Anwendungen nicht nur gegenüber dem Internet sondern auch gegenüber den Arbeitsplatzrechnern, Kopierern, Druckern und Scannern abgrenzen. Vom Notar-IT-System abzugrenzen wären auch die Telefonanlage, Terminalserver oder Webapplikations-Server sowie E-Mail-Server und File-Sharing-Server mit Zugang aus dem Internet.
  • Strikt zu trennen sind insbesondere private Geräte, Gäste-WLANs und an das Internet angeschlossene Haustechnik (Heizung, Regelungstechnik, Überwachung, Sonstiges). Bei Bürogemeinschaften ist unter Umständen eine Segmentierung zwischen den Systembereichen der Parteien und ggf. gemeinsam genutzte Bereiche sinnvoll.

Das Büro-System - interne Nutzung

Das IT-System des Notarbüros besteht aus miteinander vernetzten Geräten, der darauf betriebenen Anwendungen zur Verarbeitung und Speicherung der Daten sowie den Einrichtungen für die Verwaltung und Absicherung des Systems.

  • Arbeitsplatz-Rechner, Drucker, Scanner, Kartenleser und dergleichen werden von Anwendern am Arbeitsplatz oder an zentraler Stelle gemeinsam genutzt. Server, die im Hintergrund die zentralen Anwendungen und die Datenhaltung bedienen, sind in gesonderten Räumen untergebracht. Die Netzwerk-Infrastruktur verbindet Geräte und Anwendungen miteinander. Sie besteht aus Komponenten zur Vermittlung der Datenverbindungen sowie Kabel oder Funkstrecken zur Datenübertragung.
  • Datenhaltung und Verabeitung erfolgen je nach System-Design teils auf Servern, teils auf Arbeitsplatz-Rechnern. Neben strukturiert in einer Datenbank als integraler Bestandteil der Notar-Fachsoftware verwalteten Daten werden Dokumente mit Standard-Bürosoftware bearbeitet und im Datei-Service gespeichert.
  • Zugriffs-Berechtigungen auf Anwendungen und Daten werden für Benutzer und Dienste individuell bei jeder Anwendung oder an zentraler Stelle verwaltet. Verzeichnisse zur Verwaltung von Benutzern und Berechtigungen, zur Adressierung (z.B. Domainnamen-Service DNS) sowie der Zugriff mit sogenannten Administrator-Rechten sind besonders zu schützen.
  • Eine jederzeit brauchbare Datensicherung ist oft die letzte Rettung gegen teilweisen oder totalen Datenverlust. Dazu kommen Sicherheitseinrichtungen zum Schutz aller Daten, Programme und Geräte (Virenschutz, Endpoint-Security, ...).

Vernetzung mit dem Notarnetz, dem Internet und externen Geräten

Digitale Verfahren für die notarielle Tätigkeit benötigen neben dem IT-System für die Büro-interne Daten-Verarbeitung die externe Vernetzung mit dem Notarnetz und dem Internet. Hierüber laufen die externen Datenverbindungen für den elektronischen Rechtsverkehr, zu den Beteiligten und Behörden sowie für die allgemeine Kommunikation und ggf. zur Einbindung von Heimarbeitsplätzen und mobilen Geräten.

  • Das Notar-IT-System wird mit einer Notarnetzbox an das Notarnetz angeschlossen. Die Box wird individuell konfiguriert, passend für das betreffende Notar-IT-System bereitgestellt.
  • Für den Internet-Anschluss wird eine geeignete Leitung eines Internetproviders (zum Anschluss an das Internet spezialisierter Dienstleister) benötigt. Mit dem Internet-Anschluss ist das Notar-IT-System quasi direkt mit Millionen Geräten weltweit verbunden und somit einer Reihe von Risiken ausgesetzt. Ergänzend muss also am "Grenz"-Übergang eine entstprechend spezialisierte Einrichtung betrieben werden (Firewall, Einbruch-Vermeidung und Erkennung, E-Mail-Schutz-Einrichtungen...). Der Markt bietet für die Internetsicherheit eine große Anzahl von Lösungen. Spezielles Fachwissen und Erfahrung ist bei Auswahl, Konfiguration und Betrieb, zur regelmäßigen Wartung und laufenden Überwachung der Schutzeinrichtungen unbedingt notwendig.
  • Wie bei Gebäuden darf die Sicherung sich nicht auf das Hauptportal beschränken sondern muss quasi alle Türen, Fenster und sonstige versteckten Kanäle mit einbeziehen. Für externe Arbeitsplätze, mobile Geräte von außen, für E-Mail-Verkehr und Fernwartung sind geeignete Zugänge in Kombination mit entsprechenden Sicherheitsmaßnhamen vorzusehen.
  • Eine aussagekräftige Einschätzung des erreichten Sicherheitsniveaus wird mit Methoden der Qualitätssicherung erreicht.

Mobil unterwegs und Home-Office

Die mobile Kommunikation mit Beteiligten und Mitarbeitern über Smartphone sowie der Zugriff auf Anwendungen oder Daten im Heimbüro und außerhalb des Büros mit Notebook ist auch im Umfeld notarieller Tätigkeit grundsätzlich kein Problem, wenn entsprechend solide und sichere Technik eingesetzt wird und die entsprechende Regeln bei der Nutzung beachtet werden.

Grundsätze zur Sicherheit

Geräte, die außerhalb des Büros und der dort vorhandenen Schutz-Einrichtungen genutzt werden, eröffnen Hintertüren zu vertraulichen Daten und werden unter Umständen zu Überträgern von Viren, Trojanern und Schadcode in das Büro-IT-System. Daher müssen die extern genutzten Geräte und die zum Zugriff auf Dienste und Daten im Büro vorgesehen Zugänge im Büro-IT-System abgesichert werden.

  • Extern genutzte Geräte mit dem gleichen Schutzniveau absichern wie Geräte im Büro oder als grundsätzlich unsicher deklarieren und nur eingeschränkte Datenverbindungen mit Überprüfung des Datenverkehrs vorsehen. Private Geräte grundsätzlich nicht dienstlich nutzten und private nicht mit dienstlicher Nutzung vermischen. Auch der Anschluss an WLAN-Hotspots und an das private Heimnetzwerk kann unkalkulierbare Risiken bergen und ist als kritisch zu sehen.
  • Alle Zugänge von extern in das IT-System des Büros sind abzusichern und zu überwachen, unter anderem Zugriffe auf die sensiblen E-Mail-Postfächer oder auf Terminal-Server und Geräte zur Fenbedienung. Kommunikationspartner von Datenverbindungen beidseitig durch sichere Authentifizierung identifizieren und die Datenübertragung durch das Internet verschlüsseln, beispielsweise durch VPN-Verbindungen mit sicherer Mehrfaktor-Authentifizierung.
  • Darauf achten, dass kein Schadcode bei Anschluss des extern genutzten Gerätes auf das Büro-IT-System übetragen werden kann, beispielsweise beim Einsatz eines Büro-WLANs, um für Geräte-Updates oder größere Downloads das eingeschränkte Datenvolumen von Mobiltarifen zu schonen.

Nutzung von Anwendungen

Abgesehen von sicherheitstechnischen Aspekten ist zu berücksichtigen, dass die Anwendbarkeit bei externer Nutzung von Fachanwendungen und Daten im Büro immer von der aktuell zur Verfügung stehenden Übertragungsqualität abhängt.

  • Die Datenverbindung ist deutlich "langsamer" gegenüber der im Büro mittels internem schnellen Netzwerk verbundenen Geräten. Bei Verwendung von Web-Anwendungen ist dies unproblematisch, bei Anwendungen die nur für das lokale Netzwerk vorgesehen sind, ist der direkte Zugriff zäh bis unbrauchbar. Hier kann man sogenannte Remote- oder Virtual-Desktop-Server (Fernbedienung von Büro-Computern) einsetzten.
  • E-Mail-, Groupware-Server für E-Mail, Kalender und Kontaktdaten werden entweder über Weboberfläche genutzt oder mit Datensynchronisation betrieben, so dass die Daten auch im Offline-Betrieb auf dem Mobilgerät zugänglich sind.

Begleitende Dienstleistungen

Nach vorangegangener Beratung, Planung, Installation und Inbetriebnahme des Systems sind weitere Dienstleistungen für einen stabilen und sicheren Betrieb wichtig und notwendig. Nicht zu vergessen ist, dass technische Einrichtungen "nicht ewig leben", vielmehr im IT-Bereich relativ kurze Lebenszyklen haben. Ebenfalls unbedingt zu berücksichtigen ist, dass ein Dienstleister unter Umständen ganz plötzlich, unglücklich "wegbrechen" kann, so dass das System von einem anderen Systembetreuer übernommen werden muss. Dies ist schwierig, wenn das bestehende System schlecht dokumentiert ist.

  • Regelmäßige Wartung und die Aktualisierung von Komponenten (u.a. Software-Updates) aber auch der Austausch von Hardware-Komponenten, die nicht mehr dem aktuell benötigten Leistungsbedarf entsprechen oder von Herstellerseite nicht mehr unterstützt werden.
  • Entstörungsservice (ggf. Express-Service für kritische Komponenten) und der Support bei diversen auftretenden Fragen und Problemen. Für sicherheitskritische Bereiche ist eine laufende Überwachung vorzusehen.
  • Bereits bei den Anforderungen zur Beschaffung eines Systems berücksichtigen, dass dieses bzw. die Daten und Anwendungen möglichst unproblematisch auf ein Nachfolgesystem migriert werden können. Aktuelle System-Dokumentation auch über vorgenommene Änderungen, um einem (leider oft vorzufindenden) intransparenten und verwirrenden Zustand vorzubeugen und auch anderen Personen die Entstörung, Wartung und Erweiterung des Systems problemlos zu ermöglichen.
XS
SM
MD
LG