Die kommunalen IT-Systeme müssen besser geschützt werden.


28. November 2017

IT in Rathäusern

Sicherheitslücken gefährden digitale Verwaltung

Die IT-Sicherheitssysteme der Kommunen sind nicht sicher! Ein Test zeigt, dass vertrauliche Informationen einfach im Internet stehen, Passwörter viel zu leicht zu knacken sind und auch Laien kleine Sicherheitslücken ausnutzen können...

 

 

Die IT-Sicherheitssysteme unserer Kommunen sind leicht zu knacken!

Das ergab eine gemeinsame Untersuchung von ZEIT ONLINE  und dem Sicherheitsexperten Martin Tschirsisch. Er fand in einem Test in allen IT-Systemen Sicherheitslücken.

Durch einige Tricks konnte der Sicherheitsexperte auf Sitzungsprotokolle, Tagesordnungen, Ausschreibungsverfahren und Beschlüsse zugreifen und sogar Dokumente manipulieren. Das Problem dabei: Um auf vertrauliche Daten zuzugreifen, hätte man nicht einmal die Expertise von Tschirsisch gebraucht. Eigentlich hätte fast jeder die Sicherheitslücken finden und ausnutzen können.

 

Die größten Sicherheitslücken der kommunalen IT-Systeme

 

  • In der Kreisstadt Rheinstetten beispielsweise testete der Experte das IT-System auf seine Sicherheit und konnte auf ein Dokument zugreifen, das er oder die Öffentlichkeit eigentlich nicht hätten sehen dürfen. Hierfür wendete Tschirsisch keine ausgeklügelten Tricks an, sondern öffnete einfach irgendein öffentliches Papier am Bildschirm und änderte in der Adresszeile des Browsers die Dokumentennummer. Diese kleinen Spielereien genügten – und Tsirsisch bekam Zugriff auf eine Ausschreibung.  Um die haben sich drei Firmen beworben, deren Angebote sich nur um mehrere Zehntausend Euro unterscheiden. Doch: Welches Unternehmen wie viel geboten hat, muss geheim bleiben. Ansonsten könnten andere Firmen gegen das Verfahren klagen.

 

  • Das Programm Allris wird bei mehr als 400 Institutionen eingesetzt und enthält ebenfalls große Sicherheitslücken: Meldete sich derselbe Benutzer von verschiedenen Computern aus gleichzeitig an, wurde kein Alarm ausgelöst. Zusätzlich wurde eine Berliner Behörde getestet, in der die Bezirksverordneten nur ein Standard-Passwort benutzten, sodass Tschirsisch nur ein Passwort knacken musste, um sich damit direkt in mehrere Accounts einzuloggen. Die Betroffenen jedoch bemerkten den Betrug gar nicht.

 

  • Ein weit verbreitetes Problem in den kommunalen IT-Programmen sind sogenannte SQL-Injections: Bei einer Datenbank, die über das Internet verknüpft ist, können Hacker über den Internetbrowser bestimmte Befehle einschleusen.

 

  • Ebenfalls eine große Sicherheitslücke: Cross-Site-Scripting-Browser. Hier wird der Browser selbst angegriffen und die Hacker bekommen mehr Informationen als vorgesehen.

 

  • Die Anwender in den Kommunen vergessen häufig, ihr Passwort zu ändern oder Dokumente als nicht-öffentlich zu markieren. Damit machen sie es den Hackern besonders einfach: Diese brauchen nur ein einziges Passwort zu knacken, mit dem sie dann den ganzen Account übernehmen können.

 

„Digitale Verwaltung“ – Wirken sich die Sicherheitslücken auf dieses Ziel aus?

 

Nicht immer haben die IT-Sicherheitslücken direkte Folgen, etwa wenn die Hacker Zugriff auf Unterlagen bekommen, die sowieso ins Internet gestellt worden wären.

Doch überdies konnte Tschirsisch zeigen, dass auch vertrauliche Sitzungsprotokolle, Ausschreibungsunterlagen und Beschlüsse zur Beförderung von namentlich genannten Beamten nicht sicher vor Angriffen sind. Besonders verheerend: Tschirsisch konnte sogar auf KfZ-Anmeldungen und Personalausweisunterlagen zugreifen und sie in einigen Fällen sogar manipulieren. Obwohl sich die Bürger darauf verlassen, dass ihre Beschwerden vertraulich behandelt werden, konnte Tschirsisch im Test komplette Beschwerden samt Anschrift des Absenders einsehen.

 

 

IT-Sicherheitsprobleme sind schon altbekannt

 

Es ist bei weitem nicht das erste Mal, dass IT-Sicherheitslücken in Verwaltungen publik werden. In früheren Fällen wurden bereits Personenregister geöffnet. Darüber hinaus konnten die Systeme der Ordnungsämter, Finanzverwaltungen und Alarmierungs- und Leitsysteme der Feuerwehr manipuliert werden.

 

Letzte Woche dann der Schock: Wieder gibt es IT- Sicherheitsprobleme. Wieder ein Imageschaden für die Kommunen. Doch im schlimmsten Fall bleibt es nicht bei diesem. Denn das Problem könnte sich auch auf die Zukunftsvision „Digitale Verwaltung“ ausweiten, also darauf die Akten zu digitalisieren und kommunale Angebote ins World Wide Web zu verlagern. Denn je stärker Deutschland anstrebt, die Verwaltungen zu digitalisieren, desto mehr sind die Bürger darauf angewiesen, dass ihre persönlichen Daten sicher sind. Die Bürger müssen also auf die Integrität des Staates vertrauen können. Wird ihr Vertrauen aber erheblich erschüttert, werden digitale kommunale Angebote von ihnen gar nicht oder weniger angenommen werden.

 

 

Wie sieht die Lösung für die IT-Sicherheitsprobleme aus?

 

Damit sich solche Vorfälle nicht wiederholen, kämen Vorgaben für Sicherheitsstandards von öffentlichen Stellen in Betracht. Diese jedoch gelten nur für die Verwaltungen des Bundes und für den Datenaustausch zwischen Bund und Ländern. Im Ergebnis bedeutet das, dass der Bund den Kommunen in dieser Lage nicht helfen kann. Lediglich die Länder dürfen den Kommunen hier Vorgaben machen.

 

Und selbst wenn es Vorgaben gibt, muss jemand überprüfen, ob sie auch eingehalten werden – schlagen die ZEIT ONLINE- Redakteure als Lösungsansatz vor. Sie fordern, dass junge Programmierer die kommunale IT-Software neu schreiben und sicherer gestalten. Aber auch, dass die Anwender, also die kommunalen Vertreter sich in Zukunft ein größeres IT-Verständnis, zum Beispiel durch Schulungen, aneignen müssten.

 

Für die Autoren der Zeitung jedenfalls steht fest, dass Deutschland gerade im Hinblick auf die digitale Verwaltung nicht weiter an der IT-Sicherheit sparen darf. Sonst hätte das fatale Auswirkungen…