Amtlicher Leichtsinn? - Wie einfach sich eine Behörde ihre Computer klauen lässt
Die Polizei hatte mehrfach gewarnt, aber nichts ist geschehen. Der Serverraum des Landratsamtes Bad Hersfeld war nicht ausreichend gegen Einbruch gesichert. Ein leichtes Spiel also für die die Einbrecher.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Tatort Osthessen. Als die Mitarbeiter des Landratsamts des Landkreises Hersfeld-Rotenburg morgens zur Arbeit erscheinen, geht nichts mehr. Keine Mails, kein Internet, kein Drucken. Selbst die Bildschirme der KFZ-Zulassungsstelle oder die Geldautomaten der Zahlstelle des Sozialamtes sind am Morgen des 1.2.2011 tot.
Wenig später ist klar: Das Landratsamt in Bad Hersfeld wurde Opfer eines Einbruchs. Doch nicht Vermögenswerte wurden gestohlen. Die Einbrecher haben zehn der zwanzig Server aus dem Rechnerraum im Keller des Amtes gestohlen. Und wie es aussieht, hat es das Amt den Tätern nicht besonders schwer gemacht.
Kein Alarm?
Der Serverraum im Keller des Landratamts ist alarmgesichert. Blöd nur: Wenn es Alarm gibt, verschickt das Alarmsystem eine Email – allerdings werden diese Meldungen nur hausintern versendet. Kommt der Einbrecher nachts, dann ist niemand im Büro, um diese Mails zu lesen. Der Alarm läuft ins Leere. Und die Einbrecher kamen nachts um 2:00 Uhr. Das Alarmsystem hatte aber so oder so keine Chance. Denn die Diebe nahmen die Server samt Alarmmeldung einfach mit.
Brisante Daten gestohlen?
Auf den gestohlenen Festplatten waren brisante Daten gespeichert. Wie man uns sagt, ein Querschnitt, von dem was so ein Landratsamt alles bearbeitet. Also auch sensible Daten der Brüger? Diese Daten seien verschlüsselt – so beruhigt man im Landratsamt. Doch widersteht der Schlüssel den Angriffen der Einbrecher? Hatten es die Täter gezielt auf bestimmte Daten abgesehen?
Für uns kein Interview
Dem c’t magazin wollte man im Landratsamt keine Auskünfte mehr geben, unser Interview-Wunsch wurde abgelehnt. Dabei hätten wir gern einiges gewusst. Etwa, welche Daten tatsächlich auf den Servern gespeichert waren oder welcher finanzielle Schaden dem Steuerzahler entstanden ist. Oder – vielleicht am wichtigsten – wie das Landratsamt gegen derlei Gefahren abgesichert war.
Ungenügende Sicherheit
Der ermittelnden Kriminalpolizei war die ungenügende Sicherung der Zugänge zum Serverraum bekannt. Bereits vor dem Einbruch hatte man in mehreren Beratungen und Begehungen auf die viel zu laschen Sicherheitsvorkehrungen hingewiesen. Passiert war aber – darauf weist die ermittelnde Kriminalpolizei hin – nichts. Weiterhin waren etwa die meisten Zugänge zum Serverraum durch einfachste Schlösser und Holztüren gesichert, die mit etwas grober Gewalt aufgebrochen werden konnten.
Dabei wissen IT-Spezialisten längst von den sogenannten „IT-Grundschutz-Katalogen“. Diese Kataloge sind vom „Bundesamt für Sicherheit in der Informationstechnik“ entwickelt worden und schlagen sehr detailliert vor, wie sensible Daten mit einfachsten und leicht umzusetzenden Mitteln vor Diebstahl und Missbrauch geschützt werden können. Doch auch auf die Frage, ob diese Grundschutz-Kataloge umgesetzt wurden, wollte uns der Landrat des Landkreises Hersfeld-Rotenburg nicht antworten.