Sicherheitslücken im Amt

Im März dieses Jahres fand die Landesbeauftragte für Datenschutz, Dagmar Hartge, deutliche Worte: Daten Arbeitssuchender gelangten rechtswidrig an Dritte, tragbare Computer der Verwaltung kamen abhanden und Meldedaten von Brandenburgern waren öffentlich zugänglich. So wurden in einem Grundsicherungsamt offene Posteingänge, Leistungsbescheide, ausgefüllte Überweisungsträger und komplette Leistungsakten ungesichert und für jeden zugänglich auf dem Flur gelagert. Es sei zu einfach, die heftig diskutierten Skandale lediglich „als fahrlässige, organisatorische Missstände zu betrachten“, schrieb Hartge in ihrem Tätigkeitsbericht.

Die „gravierenden Defizite“ bei der Umsetzung des Brandenburgischen Datenschutzgesetzes, die die Landesbeauftragte in ihrem Tätigkeitsbericht aufzeigt, haben den Verband der Sicherheitswirtschaft „Security and Safety made in Berlin-Brandenburg“, kurz: SeSamBB, nicht wirklich überrascht. „Nur 25 Prozent der Kommunen besetzen zurzeit die Position eines Datenschutzbeauftragten. Bei mehr als 60 Prozent der Verwaltungen liegt kein IT-Sicherheitskonzept vor, welches die Gefahren, Risiken und vor allem Maßnahmen zur IT-Sicherheit beschreibt“, sagt SeSamBB-Geschäftsführer Hans-Wilhelm Dünn. Zugleich kritisiert er die vor wenigen Tagen veröffentlichte Stellungnahme der Landesregierung, in der keinerlei Rückschlüsse gezogen worden seien und die grundsätzliche Kritik der Landesbeauftragten auf Einzelfälle reduziert wurde. „So können wir bis zur nächsten Panne warten“, kommentiert Dünn die Reaktion aus Potsdam.

Zwar sind Datenschutzbeauftragte für Städte und Gemeinden gesetzlich vorgeschrieben, die Praxis aber zeigt, dass sie den Job nur nebenbei erledigen und weniger als zehn Prozent ihrer täglichen Arbeitszeit dafür aufwenden. Verantwortliche für die IT-Sicherheit sind noch seltener in den Verwaltungen anzutreffen, weil sie kein Muss, sondern lediglich eine Empfehlung sind. „Viele sagen: Wir können uns das nicht leisten. Unser Vorschlag ist: Mehrere Kommunen teilen sich einen solchen IT-Beauftragten“, sagt Hans-Wilhelm Dünn. Die Landräte könnten das federführend übernehmen, meint Stephan Goericke, stellvertretender Vorstandschef von SeSamBB.

Der vom Brandenburger Wirtschaftsministerium geförderte Verein hat auf Wunsch vieler Kommunen bereits einen IT-Sicherheitsleitfaden erarbeitet, mit dem die Städte und Gemeinden sich selbst überprüfen können. Der wird inzwischen auch von anderen Bundesländern nachgefragt. Darüber hinaus bringt SeSamBB Kommunen und Unternehmen zum Thema Datenschutz und Sicherheit auf Regionalkonferenzen in Wittstock (Ostprignitz-Ruppin) und Cottbus an einen Tisch. Die Landesbeauftragte für Datenschutz hofft auf ein schnelles Umdenken, um die erkannten Sicherheitslücken abzubauen. Bevor ein neues Verfahren in den Verwaltungsstuben Einzug hält, sei ein Sicherheitskonzept notwendig.

Städten und Gemeinden fehlt es nach Ansicht von SeSamBB an qualifiziertem Personal. „Sie brauchen Hilfe, sie müssen geschult werden“, empfiehlt Stephan Goericke. Jedes Sicherheitsrisiko gehe zu Lasten des Bürgers und verhindere die Vertrauensbildung in effektive Informationstechnologien.

Der SeSamBB-Leitfaden für Kommunen listet immer wieder anzutreffende Fehlerquellen in den Verwaltungen auf. Informationssicherheit wird oft nur als Kostentreiber und Behinderung gesehen. Bei Neuanschaffungen werden Sicherheitseigenschaften eines Systems vernachlässigt oder gar nicht bedacht. Jeder Benutzer sollte nur auf jene Datenbestände zugreifen und jene Programme ausführen dürfen, die er für seine tägliche Arbeit auch wirklich benötigt. Sind interne Daten dem Internet zugänglich, muss damit gerechnet werden, dass Schwachstellen von Hackern aufgespürt und missbraucht werden.