Mülheim. Angesichts aufgedeckter Sicherheitslücken in 15 NRW-Kommunen hat Mülheim seine Netzwerke geprüft. „Guter Schutz“ lautet das Resümee aus der Verwaltung. Meldedaten würden ohnehin nicht verkauft. Sie räumt allerdings ein, nicht vor hoher krimineller Energie gefeit zu sein.
Mülheimer Bürger und Unternehmen bräuchten sich keine Sorgen um ihre Daten machen, die bei der Stadt gespeichert sind, heißt es aus dem Rathaus. „Die Datensicherheit bei der Stadtverwaltung ist gegeben“, sagt deren Sprecher Volker Wiebels. Er reagiert damit auf die jüngste WAZ-Berichterstattung über unsichere kommunale Datennetze in NRW.
Ein Computerfachmann hat 15 kommunale Netze überprüft und etliche „niedrige Sicherheitsschwellen“ festgestellt. Mülheim sei zwar nicht getestet worden, so Wiebels, unterschiedliche technische und organisatorische Sicherheitsmaßnahmen der Verwaltung seien jedoch ein „guter Schutz“ gegen Angriffe aus dem Internet sowie gegen Attacken vor Ort.
„Gegen hohe kriminelle Energie ist kein Netz gefeit.“
Dazu zählen etwa „Firewalls, Virenscanner, Angriffsfrühwarnsysteme oder USB-Absicherungen“. Zudem sind in öffentlich zugänglichen Sitzungsräumen (etwa im Ratssaal) Netzwerkzugänge besonders geschützt. Lediglich bekannten Computern wird direkter Zugriff auf das städtische Internet gewährt. Dagegen sind Internetzugänge für Bürger (etwa im Medienhaus oder im Sozialamt) an eigenständige Netzwerke angeschlossen. Ergänzend gelten für Mitarbeiter der Stadt Richtlinien und Vorschriften zum Umgang mit Mails, Passwörtern und dem Internet. „Eine hundertprozentige Sicherheit gibt es allerdings nicht“, räumt Volker Wiebels ein. „Gegen hohe kriminelle Energie ist kein Netz gefeit.“
Reichen all diese Maßnahmen? Ja, findet IT-Sicherheitsexperte Markus Zechel. „Die Mülheimer müssen keine Angst um ihre Daten haben.“ Zwar fehle ihm die Detailkenntnis der städtischen Datenverwaltung, doch „man sollte der Stadt einen Vertrauensvorschuss geben, dass alles sicher ist. Analog zu Banken.“ Zumindest bis zu Anhaltspunkten, dass etwa Meldedaten in falsche Hände geraten sind. Ein Anzeichen könnte zum Beispiel eine Flut unerwünschter Werbeprospekte sein.
„Wir verkaufen keinesfalls Meldedaten“
Doch nicht nur Hackerangriffe und Cyberkriminelle sind verantwortlich dafür, dass sich private Informationen über Mülheimer Bürger und Unternehmen verbreiten. Einige Daten gibt die Verwaltung ganz bereitwillig an dritte Parteien – aber nur unter bestimmten Voraussetzungen. „Wir verkaufen keinesfalls Meldedaten. Grundsätzlich nicht“, betont Stadtsprecher Wiebels. Aber die Verwaltung leiste anderen Behörden natürlich Amtshilfe. Zudem gebe sie „einfache Meldedaten“ bei „Nachweis eines berechtigten Interesses“ an Privatpersonen und Unternehmen heraus. Etwa, wenn eine Rechnung zurückkommt oder wenn jemand ein Grundstück kaufen möchte und erfahren möchte, wer die Nachbarn sind.
Vertrauen erhöhen durch Sicherheitszertifizierung
IT-Sicherheitsexperte Markus Zechel (Migosens GmbH in Mülheim) plädiert für einen Vertrauensvorschuss an die Stadt, dass sie die Sicherheit der Daten gewährleistet. „Verwaltungen können sich aber beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen, um das Vertrauen zu erhöhen.“
Ganz so einfach sei dies jedoch nicht, sagt eine BSI-Sprecherin. Zwar unterstütze das Bundesamt auch Kommunen und Unternehmen, sei aber vornehmlich für Bundeseinrichtungen zuständig. Das Zertifikat „IT-Grundschutz“ sei zwar ein Aushängeschild, doch es zu bekommen ist „aufwendig und teuer“. Dass sich komplette Verwaltungen zertifizieren, kommt daher nicht vor. Vielmehr lassen sich einzelne Einrichtungen – zum Beispiel Steuerämter oder Rechenzentren – zertifizieren. „Man darf aber nicht schließen, dass eine Verwaltung nicht sicher ist, nur weil sie nicht zertifiziert ist.“
Dass Bürger oder Unternehmen im Falle eines Datendiebstahls überhaupt von der betroffenen Stadt informiert werden, ist allerdings fraglich. Nach Auskunft des BSI gibt es nämlich derzeit auf kommunaler Ebene keine gesetzliche Meldepflicht.
