Beitrag erschienen bei der Flaschenpost.
Am 13.8.14 schloss der Landesrechnungshof (LRH) in Kiel seine Prüfergebnisse zum Thema “IT bei Kreisen -Datenverarbeitung in Schleswig-Holsteins Kreisen und Städten” ab – 156 Seiten stark ist der Bericht. Oft kontrolliert wurde in den letzten Jahren nicht, denn aus dem Dokument geht hervor, dass die letzten Prüfungen 1999 und 2004 stattfanden. Das Ergebnis ist vernichtend: Mängel wurden vor allem in den Bereichen IT-Strategie, Datenschutz, IT-Sicherheit, Beschaffungen sowie Projektarbeit festgestellt. “Mehrere Kreise haben zudem auf kontinuierliche Reinvestitionen verzichtet und von der Substanz gelebt. Der LRH räumt ein, dass der Konsolidierungsdruck für die Kreise erheblich ist und der IT-Bereich dabei kein Tabu sein darf. Allerdings müssen die Kreise verstärkt dem Ansatz „Sparen mit IT“ folgen und nicht wie bisher „an IT sparen“”, urteilt der LRH.
Danach wurde das ungeliebte Dokument in einigen Kreisen zur Verschlusssache erklärt. Am 4.1.15 veröffentlichte die Piratenpartei die Ergebnisse des Prüfberichts, um die Bürgerinnen und Bürger über die Missstände aufzuklären.
Keine guten Nachrichten für Bürgerinnen und Bürger
Dass einige Kreise die Ergebnisse der Prüfung nicht von sich aus veröffentlichen möchten, ist kein Wunder. Kreisverwaltungen arbeiten mit hochsensiblen Bürgerdaten, z.B. im Jugendamt, im Sozialamt oder im Jobcenter und dies mit vorsintflutlicher Technik ohne großes Verständnis für Datensicherheit. Wortwörtlich fasst der Landesrechnungshof die Lage folgendermaßen zusammen: “Ein Großteil der Informationen, mit denen die öffentliche Verwaltung arbeitet, sind personenbezogene Daten der Bürger. Diese sind sowohl einfachen Charakters, wie beispielsweise Meldedaten, als auch sensiblen Charakters, wie Gesundheits-, Sozial- und Steuerdaten. Das unvermittelte Bekanntwerden dieser Informationen kann für die betroffenen Bürger mitunter weitreichende Konsequenzen haben. Bereits in den vorangegangenen Prüfungen des LRH 1999 und 2004 wurden schwerwiegende Mängel bezüglich Datenschutz und Datensicherheit in den Kreisen festgestellt. Die Empfehlungen des LRH fanden nur in wenigen Fällen Beachtung. Viele der Mängel bestehen nach wie vor und haben sich in Teilen weiter verstärkt.”
Veraltete Technik und mangelndes Know-how wird zur Gefahr für sensible Daten
Alte Hardware steht in den Kreisen Dithmarschen, Herzogtum Lauenburg, Ostholstein, Plön und Schleswig-Flensburg in den Büros. Dort ist ein überdurchschnittlich hoher Bestand am Computern verzeichnet, die 4 Jahre alt oder älter sind. Neuere Geräte: Fehlanzeige! Dafür fehlt in etlichen Kreisen das Geld.
Die Computer selbst sind mit Microsoft-Betriebssystem ausgestattet. Oft arbeiten die Kreise mit dem veralteten Windows XP, für das es keine Sichterheitsupdates und keine Aktualisierungen mehr gibt. Der LRH fasst die prekäre Lage folgendermaßen zusammen: “Die Gefahr für Windows-XP-Systeme wächst mit jedem Update der Nachfolgebetriebssysteme, da im Zuge der Updates Sicherheitslücken veröffentlicht werden, die u.U. auch in Windows XP enthalten sein könnten.”
Zudem gibt es kein dokumentiertes Datenschutzmanagement, weil das Personal dafür fehlt, und zum Teil sind die IT-Sicherheitskonzepte nicht vorhanden oder wurden im Jahr 1999 erstellt und sind seitdem nur fragmentarisch aktualisiert worden. Außerdem existieren kaum Möglichkeiten zur Vorabkontrolle neuer Software, meist wird sie im laufenden Betrieb getestet, fand der LRH heraus.
Missstände zeigen sich auch in Bezug auf die Zugriffsrechte: “In mehreren Kreisen wurden während der örtlichen Erhebung umfassende Zugriffsrechte für sämtliche Benutzer auf Verzeichnisse mit sensiblen Daten festgestellt. In den Verzeichnissen wurden neben privaten Dateien von Mitarbeitern insbesondere Transferdateien zwischen Fachverfahren und dem jeweiligen Finanzverfahren vorgefunden. In solchen Transferdateien, die i.d.R. aus Zahlläufen resultieren, befinden sich Kontoverbindungen mitsamt Summen sowie konkreten Verwendungszwecken in Form von Massendaten.”
Das heißt, Zugriffsberechtigungen hat also in vielen Kreisen jeder Mitarbeiter, der Einfachheit halber auf alle Daten. Hinzu kommt, dass allzu häufig die Behörden mit einer Auswahl an Benutzernamen und Passwörtern arbeiten, die allen Mitarbeitern bekannt sind und nicht den Sicherheitsanforderungen entsprechen.
PCs ohne Bildschirmschoner in unverschlossenen Büros sowie die Möglichkeiten, Passwörter zurückzusetzen runden das katastrophale Bild ab. Diese Missstände werden fraglos irgendwann zu Datenmissbrauch und Datendiebstahl führen, da sogar Besucher unbeobachtet auf die Daten zugreifen könnten! Datenschutzbeauftragte gibt es in den Kreisen ebenfalls nicht. Letzteres fordert der Landesrechnungshof zeitnah, denn die mangelnde technische Ausstattung trifft auf zu geringes Know-how der Mitarbeiter, die sich größtenteils seit Jahren nicht mehr fortgebildet haben.
Piraten fordern mehr Datensicherheit!
Die Piratenpartei hat aufgrund der Vielzahl an Mängeln im Bereich Datenschutz die Kreise aufgefordert, ihre Einzelprüfungsergnisse zu veröffentlichen und den Landesdatenschutzbeauftragten eingeschaltet. Die schlimmen Zustände in den Kreisverwaltungen müssen nämlich schleunigst beseitigt werden. Dafür gibt es viele Möglichkeiten, die nicht teuer sind, z.B. verstärkte Zusammenarbeit der Kreise, um Synergieeffekte zu nutzen, gemeinsame Durchführung von Fortbildungen oder man könnte sich einen Datenschutzbeauftragten teilen, um Gelder zu sparen. Finanzielle Investitionen werden den Kreisen trotzdem nicht erspart bleiben, denn im Laufe diese Jahres muss der Datenschutz trotz leerer Kassen deutlich verbessert werden.
Das Beispiel aus Schleswig-Holstein gibt Hinweise darauf, dass in diesem Bereich “Anfragen” katastrophale Zustände enthüllen könnten.
Und wie sieht es in euren Kommunen, Städten und Kreisen aus?
Prüfungsmitteilung des Landesrechnungshofs “IT bei den Kreisen” (Auszug): http://www.patrick-breyer.de/wp-content/uploads/2014/12/LRHITbeidenKreisen.pdf
“Dort ist ein überdurchschnittlich hoher Bestand am Computern verzeichnet, die 4 Jahre alt oder älter sind”
Das sehe ich nun wirklich nicht als Problem in der Verwaltung. Ich habe als Informatiker meinen PC von 2004 auch erst 2014 durch einen neuen ersetzt, weil ich mehrere virtuelle Maschinen laufen lassen wollte. Wobei ich auch ein Betriebssystem mit weniger Hardwareanforderungen habe und wegen der schlechten HW damals auf vim umgestiegen bin (gottseidank!). Aber sind die Verwaltungsprogramme wirklich so hardwarelastig (entweder umfangreich oder schlecht programmiert), dass sie auf ca. 5 Jahre alten PCs nicht mehr flüssig funktionieren?
“PCs ohne Bildschirmschoner in unverschlossenen Büros”
Würde ich lieber korrekt als “Bildschirmsperre” bezeichnen, denn einen Bildschirmschoner hat bei uns im Unternehmen auch niemand. Jedoch sperrt jeder Mitarbeiter seinen PC, wenn er den Arbeitsplatz verlässt.
Wobei die Bildschirmsperre ja auch gar nicht erforderlich ist, wenn sowieso alle Mitarbeiter alle Passwörter kennen und auf alle Dokumente Zugriff haben :>
Im privaten Gebrauch kann jeder seine alten Computer nutzen, wie er/sie es für richtig hält, aber von einer Behörde erwarte ich auch in Zeiten leerer Kassen zumindest den erkennbar guten Willen, etwas für die Datensicherheit der Bürger zu tun. Die alten PCs und das veraltete Betriebssystem sind in dem Zusammenhang ein Sicherheitsrisiko (mehr Details dazu stehen im verlinkten Bericht des LRH, es handelt sich also nicht meine persönliche Meinung, sondern das Resultat einer umfänglichen Prüfung). Bezüglich der Fachterminologie habe ich die Begriffe des Prüfberichts gewählt, um Lesern mit weiterführenden Interessen Orientierung zu bieten. Von deiner Begründung, wenn Missstand A besteht, ist Missstand B auch egal, halte ich nicht allzu viel, denn wozu soll die Argumentation dann führen?