Behörden programmieren ihr eigenes Chaos

Seit Jahren weist der Landesrechnungshof auf Sicherheitsmängel der öffentlichen Computernetze hin. Doch passiert ist bisher wenig. Ein Zusammenbruch der Verwaltungsrechner durch einen Virus könnte hohe Kosten verursachen

Die Computernetze der öffentlichen Verwaltung sind offenbar nur unzureichend gegen Virenangriffe geschützt. Das geht aus einer Untersuchung des Landesrechnungshofs hervor, die der taz vorliegt. Neben der Überprüfung des Internet-Nutzungsverhaltens bei den Beschäftigten der Verwaltungen (taz berichtete gestern) führen die Rechnungsprüfer seit Jahren immer wieder auch Prüfungen zur IT-Sicherheit der behördlichen Dienstcomputer durch. Hierbei wurden bereits in der Vergangenheit regelmäßig Unsicherheiten und Fehleinschätzungen seitens (taz berichtete gestern) der geprüften Verwaltungen festgestellt.

Doch geschehen ist in dieser Hinsicht bisher offenbar kaum etwas. „Die IT-Sicherheitsprüfungen des Rechnungshofes in den letzten Jahren belegen, dass eigene Kontrollen in den Behörden nicht oder nur höchst selten in anlassbezogenen Ausnahmefällen durchgeführt werden“, heißt es hierzu in dem Bericht, der Mitte Mai veröffentlicht werden soll.

Augenscheinlich werden die Virengefahren oder sonstige mögliche Störungen der Betriebssysteme durch unbefugte Downloads – etwa auf Pornoseiten – in den öffentlichen Ämtern und Verwaltungen erheblich unterschätzt. Derartige Seiten wurden bei der zwischen 2004 und 2006 durchgeführten Rechnungshofprüfung allerdings gleich „in beachtlicher Menge“ gezählt. Insbesondere kinderpornografische oder sodomitische Webseiten, wie sie ebenfalls in mindestens zwei Fällen bemerkt wurden, sind nach Auskunft von Web-Designern und System-Administratoren bei Hackern besonders beliebt. Die Gefahr, dabei unbemerkt bösartige Viren oder so genannte Spyware zur heimlichen Ausforschung von Computern mit herunterzuladen, sei hier „extrem hoch“.

Immer wieder wird auch das Landeskriminalamt offiziell über das Auftauchen von Spam-Mails pornografischen Inhalts auf Dienstrechnern informiert. Da dies aber auf dem offiziellen und langwierigen Dienstweg geschieht, ist es dann jedoch schon für kriminalpolizeiliche Ermittlungen meist zu spät – hinsichtlich einer eventuellen Systemverseuchung ohnehin.

Betrieben wird die landesweite IT-Infrastruktur durch das „IT-Dienstleistungszentrum“ (ITDZ) in Wilmersdorf. Dessen Leistungen sind ausschließlich nach innen auf die Bedürfnisse und Belange der Landesbehörden ausgerichtet. Da die Berliner Behörden untereinander vernetzt sind, könnte ein Zusammenbruch dieser Struktur somit Kosten in kaum zu beziffernder Höhe zur Folge haben.

Um einen ordnungsgemäßen und sicheren IT-Einsatz zu gewährleisten, fordern die Prüfer daher „zu erarbeitende IT-Sicherheitskonzepte, allgemeine Dienstanweisungen und sonstige Regelungen“. Doch die gibt es durch entsprechende Empfehlungen des Bonner Bundesamtes für Sicherheit in der Informationstechnik (BSI) im Grunde bereits. 1991 aus dem Zusammenschluss der Zentralstelle für Sicherheit in der Informationstechnologie und der Zentralstelle für Chiffrierwesen des deutschen Auslandsgeheimdienstes Bundesnachrichtendienst gegründet, ist das rund 400 Mitarbeiter starke BSI als obere Bundesbehörde im Geschäftsbereich des Bundesinnenministeriums angesiedelt und heute für alle Fragen der IT-Sicherheit zuständig.

Neben seinem IT-Grundschutzhandbuch, dem sogenannten Grünbuch, veröffentlicht das BSI regelmäßig Studien, Richtlinien, Infoblätter und Ähnliches. Dieses Grünbuch wurde im Prinzip bereits Ende der 90er-Jahre auch für die öffentliche Verwaltung Berlins für verpflichtend erklärt. Nur befolgt werden die Regelungen offenbar nicht. Der Landesrechnungshof fordert daher von Innensenator Ehrhart Körting (SPD) dringend, endlich „mit dem ITDZ grundlegende Filterregelungen“ zu klären. Anderenfalls, so heißt es unter IT-Sicherheitsexperten, sei „ein absolutes Chaos auf den öffentlichen Rechnern der Stadt nur noch eine Frage der Zeit“.

Otto Diederichs