Nächster Hack „eine Frage der Zeit“: Kaum eine Berliner Behörde erfüllt Vorgaben der IT-Sicherheit

Es war eine Art Super-GAU für die Berliner Justiz, eigentlich aber für das gesamte Verwaltungswesen in der Stadt. Das Kammergericht, höchste Instanz der ordentlichen Gerichtsbarkeit in Berlin, infiltriert vom unter Experten als hochgradig gefährlich geltenden Computervirus „Emotet“. Das gesamte Netzwerk des Gerichts unwiderruflich beschädigt und reif für die Müllpresse.

Darüber hinaus stand – zumindest für einige Tage – den Urhebern des Angriffs der komplette und in Teilen sensible Datenbestand des Kammergerichts zum Download zur Verfügung. Warum sie darauf und die in ähnlichen Fällen durchaus übliche Lösegeldforderung verzichteten, ist bis heute ungeklärt. Genau wie die Frage danach, wer die Attacke eigentlich ausgelöst hatte.

Klar dagegen ist: Um die IT-Sicherheit im Land Berlin steht es auch heute, rund 18 Monate nach der im September 2019 bekannt gewordenen Attacke, kaum besser. Das ist Ergebnis einer parlamentarischen Anfrage des FDP-Digitalexperten Bernd Schlömer, die dem Tagesspiegel exklusiv vorliegt. 

Noch immer arbeiten zahlreiche Behörden und Verwaltungseinheiten nicht nur mit veralteter Technik, sondern unter unzureichender Einhaltung elementarer Sicherheitsstandards. Für Schlömer, den ehemaligen Vorsitzenden der Piratenpartei Deutschland, ist es daher „nur eine Frage der Zeit, bis der nächste Hack die Verwaltung lahm legt.“

Konkret wollte der Oppositionsabgeordnete von IT-Staatssekretärin Sabine Smentek (SPD) wissen, wie viele Behörden – egal ob Senatsverwaltungen, Bezirksämter oder auch die Polizei - die sogenannte Informationssicherheitsrichtlinie des Senats ganz oder zumindest teilweise umgesetzt haben. Hinter der Richtlinie verbergen sich die Kernaspekte der Sicherheitsstrategie. Sie sei „von zentraler Bedeutung“, heißt es in der Antwort Smenteks, weil ohne sie kein „Informationssicherheitsmanagementprozess“ (ISMS) aufgebaut werden kann.

[Wenn Sie alle aktuellen Nachrichten live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

Genau das wiederum ist Vorgabe des sogenannten E-Government-Gesetzes zur Digitalisierung der Verwaltung. Das 2016 beschlossene Gesetz indes wird an vielen Stellen vom Land Berlin gebrochen, prominentestes Beispiel ist die verschobene Einführung der elektronischen Akte. 

Die Folge: Wo kein ISMS aufgebaut werden kann, fehlt die vorgesehene Standard-Absicherung der Informationssicherheit nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik.

Betroffen sind fast alle Berliner Behörden

Betroffen davon sind nicht einzelne, sondern der Antwort Smenteks zufolge fast alle Behörden im Land Berlin. Statt alle jene aufzuzählen, die die Vorgabe nicht erfüllen, entschied sich Smentek für den umgekehrten Weg - der Einfachheit halber.

© Doris Spiekermann-Klaas

Die Vorgabe zu 75 Prozent umgesetzt haben demnach: Das IT-Dienstleistungszentrum Berlin (100%), das Bezirksamt Reinickendorf (78,34%), das Landesamt für Gesundheit und Soziales (82,45%), das Landes Arbeitsgericht (82,18%), der Polizeipräsident Berlin (87,29%), das Sozialgericht (86,94%), die Justiz Vollzugsanstalten (81,20%) und die Senatsverwaltung für Wirtschaft Energie und Betriebe (81,76%). Neben zahlreichen anderen fehlt damit sogar die Innenverwaltung, Arbeitgeberin Smenteks und für die IT-Steuerung im Land zuständig.

Dem Senat fehlen Sanktionsmöglichkeiten

„Alle anderen Behörden haben diesen Wert nicht erreicht“, heißt es in der Antwort Smenteks lapidar. Alle anderen Behörden brechen die ihnen auferlegten gesetzlichen Verpflichtungen, könnte es auch heißen. „Der Senat hat keine Sanktionsmöglichkeiten“, erklärt Smentek noch und weist daraufhin, dass finanzielle Sanktionen nicht als sinnvoll zu betrachten sind, „wenn bekannt ist, dass vor allem die finanziellen Mittel der Behörden nicht ausreichen, um die Informationssicherheitsleitlinie umzusetzen.“

Immerhin: Die Ursachen für die anhaltenden Probleme scheinen erkannt. „Eine weitere Stärkung der Informationssicherheit wird durch die Migration der verfahrensunabhängigen Informations- und Kommunikationstechnik erreicht. Die Migration führt zu einer Reduktion mannigfaltiger IKT-Instanzen in den Behörden“, erklärt Smentek.

[In unseren Leute-Newslettern berichten wir wöchentlich aus den zwölf Berliner Bezirken. Die Newsletter können Sie hier kostenlos bestellen: leute.tagesspiegel.de]

Will sagen: Wenn endlich einzelne Behörden, Bezirksämter und auch Senatsverwaltungen ihren Widerstand gegen die Zentralisierung der IT unter dem Dach des ITDZ aufgeben, „wird eine regelmäßige Verifizierung des Informationssicherheitsniveaus erfolgen“. Bislang wiederum sind die Abwehrreflexe dagegen – aus Sorge vor dem Verlust eigener Handlungsfähigkeit – immens. Auch hier gerät das E-Government-Gesetz an seine Grenzen.

Hinzu kommen Smentek zufolge fehlende finanzielle Ressourcen. Die aktuell zur Verfügung stehenden würden von den Berliner Behörden zu 100 Prozent ausgeschöpft, erklärt sie und fügt hinzu: „Dies bedeutet, dass für eine Stärkung der Informationssicherheit eine Aufstockung der Ressourcen erfolgen muss.“

Bernd Schlömer sieht ebenfalls zweierlei Probleme. Zum einen würden „zu wenige Berliner Behörden mitziehen“, zum anderen bleibe der Ressourceneinsatz hinter den eigentlichen Notwendigkeiten zurück. Schlömer fordert, den IT-Sicherheitsbeauftragten „unabhängig von der IT-Staatssekretärin aufzustellen“ und damit zu stärken. Außerdem sollten mindestens zehn Prozent des IT-Budgets für Sicherheit ausgegeben werden und „endlich eine Offensive für regelmäßige Sensibilisierung und Aufklärung über die Gefahren“ aufgelegt werden.