Balve/Hemer/Siegen. Balver IT-Experte warnt im Fall SIT vor Bauernopfer. Er nimmt stattdessen die Politik in die Pflicht.
Am Anfang schien es das Desaster eine Folge einer Macht mit Superkraft zu sein. Doch nach Systemabsturz des überkommunalen Dienstleisters Südwestfalen IT (SIT) mit Sitz in Hemer und Siegen war Spurensuche angesagt. Das Wuppertaler Unternehmen r-tech fand die Ursache. Die Fachwelt staunte, und die Bürgerschaft war genervt. Statt vielfacher Sicherheit wurde offenbar ein einziges schlichtes Passwort genutzt: leicht zu knacken. Die Hackergruppe Akira, so hieß es, sei auf derlei Angriffe spezialisiert. War umgekehrt, bei der SIT, ein Daten-Depp am Werk? Ein Experte mit jahrzehntelanger Erfahrung warnt vor einem Bauernopfer.
Seinen Namen will er in der Öffentlichkeit nicht lesen. Aber sein Lebenslauf verrät: Dieser Mann kennt sich aus.
Eines stellt er beim Kaffee am heimischen Eichentisch klar: „Sicherheit gibt es in der Informationstechnik nicht. Ich kann mich anstrengen, wie ich will – wenn jemand einen bezahlten Hacker drauf ansetzt, findet der eine Lücke. Ob ich ein Passwort nicht gut genug definiert habe, ist gar nicht entscheidend. Hacker haben ganz andere Sicherheitslücken gefunden. Ich muss ein Einfallstor finden. Und die Hacker haben ein Einfallstor gefunden, dass viel gravierender ist als ein schlechtes Passwort.“
Das ist keine Behauptung; das ist Fakt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf seiner Homepage darauf hin, dass pro Tag rund 250.000 neue Varianten von Schadprogrammen entdeckt werden. Was folgt daraus?
„Man muss wissen, dass man angreifbar ist“, entgegnet der Fachmann. Irgendwann komme ein Angriff: „Entweder brennt mir das Rechenzentrum ab, oder mir fehlt der Strom. Was mache ich dagegen? Ich mache jeden Tag eine Datensicherung. Ich habe sie am Vorabend gesichert, da sind die Hacker nicht drangekommen. Dann lagere ich die Festplatten aus – allein für den Fall, dass mir das Rechenzentrum abbrennt. Außerdem habe ich zwei große Schiffsdiesel im Keller mit reichlich Öltanks. Die kann ich nehmen, wenn der Strom ausfällt.“
Gerade Kommunalverwaltungen, meint der IT-Kundige, müssen daran interessiert sein, dass der Betrieb für die Bürgerschaft weiterlaufe. Deshalb seien auch Sicherungskopien kleinerer Datenmengen hilfreich: „damit ich bei einer Panne nicht alles nacharbeiten muss“.
Wer komplett auf Nummer sicher gehen wolle und viel Geld habe, stelle neben sein Rechenzentrum noch ein kaltes Rechenzentrum. Dort könnten die Sicherungskopien aufgespielt werden, „und dann rufe ich die Kunden an und sage: Sorry, das Aufspielen hat vier Stunden gedauert.“ Beim Zusammenbruch der Südwestfalen IT sind inzwischen drei Monate ins Land gegangen. Ende: offen.
Nachdem der Hackerangriff auf die SIT offenbar geworden sei, habe es geheißen, es sei ein Notfall-Konzept in Arbeit. Der Fachmann: „Ich habe mir die Frage gestellt, warum gab es das nicht schon eher?“
Deshalb sieht der Experte nicht die Person in der Verantwortung, die die Passwort-Panne verursacht hat. Stattdessen nimmt er die Aufsichtsgremien ins Visier. Die Südwestfalen IT ist ein überkommunaler Zweckverband, finanziert durch seine Mitglieder per Verbandsumlage. Der Zweckverband wird zunächst vom Verwaltungsrat kontrolliert. Die Stadt Balve ist dort nicht vertreten, wohl aber in der Zweckverbandsversammlung: „Ich frage mich: Hat je einer aus der Politik nach einem Notfall-Konzept gefragt? Hat sich jemand dafür interessiert, was passiert, wenn etwas passiert? Daran muss man Zweifel haben.“
Der Computer-Kenner hätte erwartet, dass ein Notfall-Konzept bei Gründung der SIT in Auftrag gegeben worden wäre, Ergebniskontrolle inklusive. Das aber ist, wie es scheint, weder von der Geschäftsführung noch von den Kontrollgremien gemacht worden.
„Aber Leute zu prügeln: Das bringt keinen Sinn“, betont der Balver, „es geht darum, aus den Fehlern zu lernen.“ Und das werde inzwischen auch gemacht.
Schäden indes seien vorhanden – auch wenn bei dem Hackerangriff offenbar keine Daten abgeflossen seien. Dabei gehe es keineswegs nur um längere Wege und mehr Zeitaufwand. Es gebe auch materielle Schäden. „Da hat ein heimischer Unternehmer ein Fahrzeug auf den Standort Dortmund anmelden müssen. Ich habe ihm gesagt, Du kannst den Wagen doch demnächst wieder auf MK ummelden. Da hat der Mann geschluckt und gesagt: Nee, dann habe ich doch zwei Zulassungen in meinem Kraftfahrzeugbrief, und dann ist das Auto gleich 5000 Euro weniger wert.“