Staatsschutz-Server offen: Gravierendes Datenleck bei Brandenburger Polizei
Schwerwiegende IT-Sicherheitspanne beim LKA Brandenburg: Ein Server des Staatsschutzes mit Geheimpapieren war wohl öffentlich zugänglich.
(Bild: Sergei Gutnikov CC BY-SA 3.0)
Brandenburg hat mit einem massiven Datenleck zu kämpfen. Ein Server der Staatsschutzabteilung des Landeskriminalamts (LKA) war offenbar lange Zeit öffentlich zugänglich. Darauf lagen Berichten zufolge unter anderem Geheimpapiere, Ermittlungsergebnisse und Passwörter. Den schwerwiegenden IT-Sicherheitsvorfall entdeckte ein Nutzer durch Zufall.
Laut der Zeitung Tagesspiegel erreichte ein Bürger bei der Nutzung eines öffentlichen Hinweisportals der Polizei im Internet für Zeugen eines tödlichen Brandes mit einem weiteren Klick einen eigentlich geheimen Netzwerkspeicher des Staatsschutzes. An diesen war das Hinweisportal angebunden. Der IT-affine Entdecker gab seine Erkenntnisse daraufhin an die Behörden weiter.
Die Brandenburger Polizei meldete die Sicherheitslücke am 20. September der Landesdatenschutzbeauftragten Dagmar Hartge und dem Innenministerium. "Der Vorfall wird derzeit als schwerwiegender Verstoß gegen datenschutzrechtliche Vorgaben und technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten gewertet", sagt das Innenressort. Die Prüfungen dauerten an, die Behörde möchte sich zu technischen Fragen noch nicht äußern.
"Vergessene" Hardware: Keine Firewall, keine Updates
Bislang zeichnet sich ab, dass der mit dem Hinweisportal verbundene Server jahrelang vom polizeilichen Staatsschutz betrieben wurde. Der Server soll von der internen Security-Abteilung weder ĂĽberprĂĽft noch freigegeben worden sein. Entsprechend ist fraglich, ob das System Sicherheits-Updates erhalten hat. Der Rechner war offenbar trotzdem ans Internet angebunden, wenn auch ohne Firewall.
Das WLAN und ein Netzwerkspeicher mit Passwörtern für Verbindungen zu einem Server des Bundeskriminalamts (BKA) waren laut Tagesspiegel kaum geschützt. Demnach kappte das BKA nach der Entdeckung den Datenaustausch mit dem Staatsschutz des LKAs aus Sorge, Informationen könnten abgefischt werden.
Für die Polizei war dem Bericht zufolge rasch klar: Unbefugten wäre es leicht gefallen, die Zugangsseite zum Datennetz des Staatsschutzes zu finden und sich darüber möglicherweise Zugriff auf weitere Rechner zu verschaffen. Nach bisherigem Kenntnisstand soll es keine konkreten Anhaltspunkte dafür geben, dass Daten abgeflossen oder missbräuchlich verwendet worden sind.
(ds)
