Blick in den Mainzer Landtag. Überall ist eine Computer-Matrix zu sehen. (Foto: dpa Bildfunk, Getty Images/gopixa, Montage: SWR)

Reaktion auf Rechnungshofbericht Datenschützer: IT-Sicherheit in Rheinland-Pfalz vernachlässigt

Als Spitze des Eisbergs bezeichnet der Verein "Digitalcourage" die vom Rechnungshof aufgelisteten Sicherheitsmängel. Daten der Ministerien und damit der Bürger seien vor Angriffen nicht geschützt, kritisiert Friedemann Ebelt.

SWR Aktuell: Wie bewerten Sie das Prüfungsergebnis grundsätzlich?

Friedemann Ebelt: Die Ergebnisse zeigen, wie marode es um behördliche Infrastruktur im Land bestellt ist. Offensichtlich wurden jahrelang IT-Sicherheit und Datenschutz vernachlässigt. Damit haben die Verantwortlichen nahezu aller staatlichen Organe auch die Bürgerinnen und Bürger verwundbar gemacht. Wenn keine Schäden eintreten, muss von Glück gesprochen werden.

Sicherheitslücken und unkontrollierte Weitergabe von Daten an Dritte sind die Folge einer allgemeinen Gier nach sensiblen Daten, die leider allzu oft politisch gefördert wird.

Jetzt kommt es darauf an, dass richtig reagiert wird. Es muss weiter in die Tiefe geprüft werden und IT-Sicherheit und Datenschutz müssen gesetzgeberisch und praktisch komplett neu aufgebaut werden. 

Malu Dreyer (Foto: dpa Bildfunk, Autor: Andreas Arnold)
Unter den gesuchten Geräten war auch eins von Ministerpräsidentin Malu Dreyer (SPD) Autor: Andreas Arnold

Der Rechnungshof listet mehrere Sicherheits- und Datenschutzmängel auf. Welche sind ihrer Einschätzung nach am gravierendsten und warum?

Wir müssen davon ausgehen, dass zurzeit nur die Spitze des Eisberges zu sehen ist, denn untersucht wurde nur der Zustand mobiler Endgeräte. Das ist kein umfassender Datenschutz- und Sicherheitstest, der Gefahren, Risiken und Angriffsszenarien analysiert.

"Wir müssen davon ausgehen, dass zurzeit nur die Spitze des Eisberges zu sehen ist."

Extrem kritisch ist die Einbindung von Geräten, denen nicht vertraut werden kann, in die IT-Infrastruktur des Landes. Bürger müssen sich klar machen: Das betrifft neben der Staatskanzlei alle Ministerien, darunter die Ministerien für Finanzen und Justiz, inklusive der Ministerinnen und Minister.

Das Gesamtbild ist skandalös, denn die Geräte, die Beamte und Angestellte Tag und Nacht mit sich herumtragen, sind ausgestattet mit Bewegungssensoren, Kameras und Mikrofonen. Sie können Standorte in Echtzeit übermitteln. Sie können weitergeben, wer wann mit wem kommuniziert hat oder wer sich für welche Krankheiten oder politischen Themen interessiert. 

Es ist bittere Realität, dass den meisten Geräte-Herstellern, Betriebssystemen und Apps nicht vertraut werden kann. Darum ist es fatal, wenn der Staat Tür und Tor zu seiner Infrastruktur öffnet.

Die Sicherheit und Vertraulichkeit der Verwaltungsprozesse und letzten Endens auch der Schutz persönlichster Daten von Bürgerinnen und Bürgern wird von den Verantwortlichen blind den Geräte- und Softwareherstellern überlassen. 

Was sagt das über eine Landesverwaltung aus, bei der so viele Mängel in der Nutzung von IT-Endgeräten festgestellt werden?

Es ist nicht erklärlich, dass die Mängel erst jetzt bekannt wurden. Das deutet auf ein strukturelles Versagen der Verantwortlichen.

Die Landesverwaltung hat fahrlässig gearbeitet und sie steuert auf den nächsten Fehler zu. Eine "Produktstrategie" soll jetzt die Lösung bringen. Die Verantwortlichen sollten sich aber nicht mit Produkten beschäftigen, sondern sich mit Technologien auseinandersetzen und wirksame Maßnahmen für organisatorischen und technischen Datenschutz und Datensicherheit treffen. 

"Die Landesverwaltung hat fahrlässig gearbeitet und sie steuert auf den nächsten Fehler zu."

Der gewählte Ansatz erweckt den Eindruck, dass die Verantwortlichen die Probleme "wegkaufen" wollen, anstatt die für einen dauerhaft sicheren Betrieb nötige Kompetenz ins Haus zu holen.

Was bedeutet es für den Datenschutz und die Sicherheit konkret, wenn in einer Landesverwaltung Dienstgeräte in der beschriebenen Form im Einsatz sind?

Gegenwärtig lässt sich nicht sagen, ob Daten gezielt abgegriffen oder manipuliert wurden sind, aber es lässt sich auch nicht ausschließen. Fakt ist, dass Teile der Kommunikation zwischen Staat und Bürgern an mehreren Stellen unter Beobachtung von Dritten stand und gegebenenfalls auch noch steht. Beispielsweise hat die Prüfung ergeben, dass Geräte mit veralteter Software, die Daten an Dritte weitergeben, zum Beispiel Zugriff auf dienstliche E-Mail-Postfächer hatten. 

"Die Landesverwaltung hat sich freiwillig und sehenden Auges hacken lassen."

Unserer Einschätzung nach muss davon ausgegangen werden, dass unter den vorgefunden Bedingungen Kriminelle, aber auch Geheimdienste sehr leichtes Spiel gehabt hätten, um Schadprogramme einzuschleusen. Die Folge solcher Attacken können Erpressungen sein, die Stilllegung der kompletten Infrastruktur oder die Veröffentlichung oder die Manipulation beispielsweise von Finanzdaten. 

Wie schwierig wäre es für einen Hacker gewesen, bei den Smartphones und Tablets der Landesverwaltung - in der Konfiguration, wie der Rechnungshof sie vorgefunden hat - Daten abzugreifen?

Wenn Stichproben sagen, dass 82 Prozent der Apps Bewegungsprofile erstellen und das Benutzerverhalten aufzeichnen, 66 Prozent der Apps unverschlüsselte Daten an Dritte weiterleiten und einige Apps mit Zugriff auf das Mikrofon Spracheingaben weiterleiten, dann ist die Landesverwaltung bereits gehackt. Die Landesverwaltung hat sich freiwillig und sehenden Auges hacken lassen. Anders gesagt: Die Verantwortlichen haben zugelassen, dass Dritte in die Systeme von Landesregierung und Ministerien eingebrochen sind. Dasselbe passiert, wenn in Behörden beispielsweise Microsoft Windows, Google Services, WhatsApp und Co. genutzt werden.

Friedemann Ebelt von Digitalcourage (Foto: Digitalcourage e.V.)
Friedemann Ebelt Digitalcourage e.V.

Das Interview führte Gernot Ludwig.

STAND