Die Stadt hat unzählige sensible Daten ihrer Bürger elektronisch gespeichert: Das fängt beim Personenregister an, reicht von Kontoverbindungen, Einkommensnachweisen und Schüler-Leistungsdaten über Baupläne, Ausschreibungsunterlagen und nicht-öffentliche Ratsdokumente bis zu Alias-Identitäten von Personen im Zeugenschutzprogramm. Wer Zugriff auf das System bekommt, kann immensen Schaden anrichten. Wie begehrt die Daten sind, zeigen alleine die Versuche sie abzugreifen: Die Stadt registriert mehrere Hacker-Angriffe pro Tag, wie Sprecherin Susanne Stölting auf NRZ-Nachfrage erklärt: „Die Abwehr dieser Angriffe gehört zum täglichen Geschäft und erfolgt in der Regel automatisch.“
Wie sicher die Daten bei den Kommunen sind, beschäftigte zuletzt auch den Innenausschuss im Landtag. Was dort bei einer Experten-Anhörung zur Sprache kam, sind aus Sicht der Duisburger SPD-Landtagsabgeordneten Sarah Philipp „sehr beunruhigende Dinge“.
Innerhalb von zwei bis acht Stunden hatten beauftragte Spezialisten um den IT-Forensiker Tobias Morsches vollständigen Zugriff auf alle relevanten Systeme erhalten, sensible Daten seien gar nicht oder nur schlecht geschützt gewesen, Geldkonten seien frei zugänglich gewesen, und um Passwörter zu erraten, hätten meist drei Versuche ausgereicht. Die Tester konnten sogar in den Behörden ungehindert Geräte an freien Netzwerkdosen installieren und hätten monatelang unerkannt Zugriff auf die Systeme gehabt. „Die allgemeine Sicherheitslage in der öffentlichen Verwaltung ist kritisch“, erklärte Morsches nachdem er zwölf NRW-Kommunen sogenannten „Penetrationstests“ unterzogen hatte.
Ob auch Duisburg dabei war, dürfen die Tester nicht verraten, selbst die Stadt weiß es nicht. Im Rathaus gibt es keinen eigenen IT-Sicherheitsbeauftragten, das Thema liegt in der Obhut des neuen Hauptamtes, zumindest der beunruhigende Bericht des IT-Forensikers ist dort bekannt. Doch welche Schlüsse zieht man daraus? „Die Stadt Duisburg überprüft regelmäßig die IT-Sicherheit und lässt sich dabei von externen Prüfern beraten“, heißt es dazu lediglich aus dem Rathaus. Wie oft das geschieht und zu welchem Ergebnis die Prüfer dabei kommen, will die Stadt „aus sicherheitsrelevanten Gründen“ nicht sagen.
Hacker-Angriffe auf Kommunen sorgen immer wieder für Schlagzeilen. Erst in der vergangenen Woche hatten sich Unbekannte über eine Sicherheitslücke auf den Server der Dortmunder Wirtschaftsförderung geschlichen und von dort 700.000 Mails verschickt.
Unverschlüsselter Email-Verkehr
Nach Angaben des IT-Forensikers Morsches schneiden kleine Kommunen bei der Sicherheit oft deutlich besser ab als größere Städte. Einheitliche Standards gibt es offenbar nicht. „Der IT-Planungsrat von Bund und Ländern hat eine Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung herausgegeben. Für Bund und Länder ist er verpflichtend, für die Städte wird er mit Rücksicht auf die kommunale Selbstverwaltung aber nur empfohlen“, erklärt die Abgeordnete Philipp. Nach ihrer Einschätzung sei das Thema Datensicherheit seit der NSA-Affäre zwar deutlich in den Fokus gerückt. „Ich denke aber, dass in vielen Behörden das Bewusstsein noch nicht ausreichend vorhanden ist, wie sensibel man mit diesem Thema umgehen muss.“ Für Philipp stellt sich ohnehin noch eine andere Frage: „Im Zweifel merken die Kommunen ja nicht einmal, dass sich jemand erfolgreich in die Systeme gehackt hat. Das fällt ja nur auf, wenn plötzlich irgendwo anders Daten oder Mails auftauchen.“
Das Gutachten des IT-Forensikers dürfte den Beweis liefern, der sich monatelang unerkannt durch die kommunalen Daten gewühlt hatte und klar sagt: „In den meisten Fällen werden Angriffe nicht erkannt.“ Für „unverzichtbar“ hält er auch eine effektive Verschlüsselung bei der Datenübertragung, selbst bei der Email-Kommunikation mit dem Bürger. Die Stadt lässt den „normalen“ Email-Verkehr mit dem Bürger unverschlüsselt. Denn: „Sensible Daten werden üblicherweise per Papier übermittelt“, heißt es aus dem Hauptamt.
Hinzu kommt der „Faktor Mensch“
Die Übertragung sensibler Daten zwischen den Behörden dagegen geschehe „mit hoher Verschlüsselung“ und richte sich nach den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Insgesamt aber, erklärt Stadtsprecherin Stölting, sei „ein hundertprozentiger Schutz in öffentlichen Verwaltungen nicht realisierbar.“
Letztlich sieht Morsches aber auch den „Faktor Mensch“ als Schwachstelle bei der Datensicherheit, entweder wegen eines unzureichenden Sicherheitsbewusstseins oder durch den alltäglichen Stress. Nach Angaben der Stadt sei jedenfalls jeder Mitarbeiter in den Datenschutz eingewiesen worden und habe auch eine entsprechende Erklärung unterschrieben. Wie das Sicherheitsempfinden mitunter in der Praxis aussieht, haben Bürger in einem Bezirksamt miterlebt. Dort klebte im frei zugänglichen Bereich des Bürgerservices am Drucker und an einem Monitor ein kleiner gelber Klebezettel. Vermerkt war darauf das Passwort.