Spenden

Dieser Artikel ist mehr als 8 Jahre alt.

IT in den Rathäusern: Sicherheitslücken, wohin man schaut

Wir haben zur IT-Sicherheit in Kommunen recherchiert – und es sieht schlecht aus. Vertrauliche Informationen stehen frei zugänglich im Internet, Passwörter lassen sich leicht erraten und es klaffen Sicherheitslücken, die auch Laien ausnutzen könnten.

  • Anna Biselli
Anna Biselli
25
Es leckt gewaltig in der kommunalen IT. (Symbolbild) CC-BY 2.0: Paul Hayday

Ratsinformationssysteme – kurz RIS. Ein sperriger Begriff, unter dem sich die meisten vermutlich erst einmal nichts vorstellen können. Dahinter verbergen sich Systeme, die für Kommunen, Rathäuser und Bezirksverwaltungen unerlässlich sind. Sie helfen, Sitzungen zu organisieren, Papiere zu verwalten, Beschlüsse zu verfolgen, zeigen die Geburtstage der Rathauskollegen an – irgendwann werden sie vielleicht meterhohe Aktenberge ersetzen und den lang gehegten Traum einer papierlosen Verwaltung verwirklichen.

Die Systeme können auch für mehr Transparenz sorgen – Bürger können sich über Webinterfaces über Ausschussmitglieder informieren, Sitzungsprotokolle einsehen oder Beschwerden einreichen. Doch es gibt ein Problem: Viele der Systeme sind unsicher. So konnten wir Dokumente einsehen, die als nicht-öffentlich oder vertraulich gestempelt waren. Beschlussvorlagen oder Informationen zu Angeboten, mit denen sich Firmen auf öffentliche Ausschreibungen beworben hatten. Oder Informationen zur Beförderung von Angestellten – inklusive persönlicher Daten.

In den Top-10 der häufigsten Sicherheitslücken

Der Informatiker Martin Tschirsich hat sich etwa zehn Systeme verschiedener Hersteller angesehen. In allen fand er Sicherheitslücken. Und zwar keine, die man erst durch tagelanges, akribisches Testen der Systeme findet. Es handelte sich um Fehler, die schon bei oberflächlichem Testen auffallen und die sich durch Best Practices vermeiden lassen. Und die Entwicklern bei der Prüfung ihrer Systeme auffallen sollten, weil sie es in die Top-10-Listen der häufigsten Sicherheitsrisiken bei Webanwendungen geschafft haben.

Nicht alle der aufgefallenen Sicherheitslücken sind gleich gefährlich. Einige erlaubten den Zugriff auf Dokumente, die nicht für die Öffentlichkeit bestimmt sind. Andere ermöglichten es, Zugangsdaten von Nutzern zu ermitteln oder Login-Eingaben umgehen. Einige hätten aber auch als Einstiegspunkte dienen können, um mit Administratorrechten ganze kommunale Netze zu infiltrieren und zu übernehmen.

Direkt zur Datenbank

Ein verbreitetes Problem ist der fehlende Schutz gegen SQL-Injections. SQL ist eine Sprache, die dafür genutzt wird, mit Datenbanken zu arbeiten. Wenn eine Webanwendung mit der Datenbank kommuniziert, um ein angefragtes Dokument aufzurufen, übersetzt sie die Nutzereingabe in eine SQL-Abfrage. Wenn das System die Eingabe nicht ausreichend filtert, können Angreifer Kommandos einschleusen und Befehle direkt an die dahinterliegende Datenbank schicken.

Ein mögliches Beispiel: Wo eigentlich nur ein eingeloggter Nutzer zugriffsberechtigt wäre, kann – vereinfacht gesagt – ein Login dadurch umgangen werden, dass dem System direkt mitgeteilt wird, dass die Passwortabfrage erfolgreich war. Nur in einem der untersuchten Systeme fand Tschirsisch keine Möglichkeit zur SQL-Injection. Beispiele wie das vorige sind Teil zahlloser Tutorials, die auch technisch Unbedarften Schritt für Schritt erklären, wie sie solche Lücken ausnutzen können. Im schlimmsten Fall lassen die Anwendungen es nicht nur zu, Daten auf diese Art auszulesen, sondern bieten einem Unbefugten gleich die Möglichkeit, Daten zu verändern.

Eingeschleuster Code

Ähnliche Sicherheitsprobleme entstehen durch Cross Site Scripting (XSS). Damit kann in einer URL gezielt Code an die Seite übergeben werden. Lässt die Webanwendung das zu, könnte ein Angreifer eigenständig Schadcode ausführen. Ein solches Problem fand sich zum Beispiel in der Software der Firma CC e‑gov. Mit deren System ALLRIS organisieren laut Eigenaussage „mehr als 400 Institutionen in Deutschland“ ihre Sitzungen. Kommunen, aber auch „zahlreiche Verbände, Kirchen, Hochschulen und Banken“ zählt das Unternehmen zu seinen Kunden.

Nach Hinweisen von Tschirsisch auf die Sicherheitslücke habe CC e‑gov die Problem in ALLRIS „umgehend durch einen Patch beseitigt“, teilte uns Kurt Hühnerfuß, Geschäftsführer des Unternehmens, auf Anfrage mit. Noch im Juni sei er bei allen vom Unternehmen gehosteten Installationen eingespielt worden und Bestandteil des nächsten Updates gewesen.

Ähnlich verlief ein Fall bei der Firma Provox, deren Systeme PV-Rat und PV-Internet unter anderem in der Stadt Düsseldorf im Einsatz sind. Der Hersteller schloss die Lücken, teilte uns der Geschäftsführer des Unternehmens mit. Die Stadt Düsseldorf bestätigte uns, dass Provox Mitte Juli ein Update zur Verfügung gestellt habe und dieses nach kurzer Testphase in das Produktivsystem übernommen worden sei.

Anwenderfehler: „Aus Versehen öffentlich“

In anderen Systemen waren sensible Unterlagen offen zugänglich, ohne dass man Begriffe wie Cross-Site-Scripting oder SQL-Injection kennen musste. Es reichte, lediglich die durchnummerierten URLs der Webseite hochzuzählen. Dass sensible Daten so erreichbar waren könnte daran liegen, dass die Systeme den Zugriff auf die nicht-öffentlichen Dokumente nicht explizit verhindern.

Aber manchmal können die Hersteller ihre Systeme noch so gut absichern – ohne letztlich erfolgreich zu sein, wenn das Problem bei den Anwendern liegt. Denn die müssen Unterlagen beim Hochladen als vertraulich markieren. Ein solches Problem lag beispielsweise bei der Stadt Rheinstetten vor. In ihrem Ratsinformationssystem fanden wir unter anderem als vertraulich gestempelte Unterlagen aus dem Jahr 2012, die zu einer Auftragsvergabe gehörten und Daten zu Firmen enthielten, die sich um einen Auftrag zur Schlammbeseitigung bewarben. Es ging um ein Auftragsvolumen von etwa 100.000 Euro, die Differenz zwischen dem günstigsten und teuersten Angebot lag bei mehr als 30.000 Euro.

Gegenüber Zeit Online bestätigte der Oberbürgermeister der Stadt, dass es sich um ein Versehen gehandelt haben müsse. Vermutlich sei der Fehler passiert, als das System eingeführt und alte Dokumente nacherfasst wurden. Es gebe aber einen Bearbeitungsschritt, bei dem alle Unterlagen doppelt geprüft würden. Sowohl in Hinblick auf nicht-öffentliche Tagesordnungspunkte als auch auf personenbezogene Daten bei öffentlichen Sitzungsunterlagen.

Suche nach „NÖ Vorlagen“ erfolgreich

In Düsseldorf war es noch einfacher, Unterlagen zu finden, die nicht für die Augen der Öffentlichkeit bestimmt sind. Wer in der Suchmaske „NÖ Vorlagen“ – die Abkürzung für nicht-öffentliche Vorlagen – eingab, erhielt sechs Treffer. In vieren davon befanden sich lediglich Verweise auf nicht öffentliche Dokumente, zwei jedoch waren als nicht-öffentlich markiert. In einem ging es um eine Beratung, ob die Stadt die Zuwendung einer Anwaltskanzlei annehmen solle. Eine Pressesprecherin der Stadt teilte uns mit, es sei nicht ad hoc zu klären, ob es sich „um einen ‚Schreibfehler’ im Vorlagenkopf oder eine Fehldeklarierung als öffentliche Vorlage“ handele.

Bei zwei Suchergebnissen handelte es sich um Dokumente, die tatsächlich als „nicht öffentlich“ gestempelt waren. – : Screenshot

Dass Dokumente durch Nachlässigkeit offen im Internet stehen, ist kein neues Phänomen. Schon 2010 sprach das Unabhängige Landesdatenschutzzentrum Schleswig-Holstein (ULD) in seinem Tätigkeitsbericht von mehreren Fällen, bei denen sich in Protokollen und Beschlussvorlagen vertrauliche und personenbezogene Informationen fanden. 2010 sorgte ein Fall in Olfen für Medienberichte, wo ein Nutzer vertrauliche Unterlagen über die Websuche nach einer Politikerin fand. 2015 war ungewollterweise im nordrhein-westfälischen Rheinberg ein Konzessionsvertrag mit einem Erdgasanbieter im Internet erreichbar.

Um solche Versehen zu vermeiden, empfahl das ULD schon vor über sieben Jahren, ein Vieraugenprinzip zu etablieren, bevor Dokumente zur Veröffentlichung freigegeben werden. Eine Empfehlung, die bis heute viele Verwaltungen nicht umsetzen. In Düsseldorf, so die Pressesprecherin, würden die Schriftführer von Gremien in Schulungen „besonders auf den Workflow ‚Internetfreigabe von Sitzungsunterlagen’ hingewiesen“. Das System sei so konfiguriert, dass Sitzungsunterlagen unmittelbar nach der Internetfreigabe sofort im Netz sichtbar sind. „Das ist sicherlich hilfreich im Sinne einer schnellen Informationsübermittlung, birgt aber natürlich auch Risiken, wenn Unterlagen ‚zu früh’ freigegeben oder irrtümlich der falschen Kategorie zugeordnet wurden“ – also im öffentlichen statt nicht-öffentlichen Topf landen.

Ein Passwort für alle

Die Nutzer der Systeme vergessen nicht nur, Dokumente als nicht-öffentlich zu markieren. Sie vergessen auch, ihre Passwörter zu ändern. Errät jemand dieses Passwort, bekommt er nicht nur Zugriff auf alle Dokumente, er kann den ganzen Account übernehmen. Das ist besonders dann gefährlich, wenn alle Nutzer ein Standardpasswort erhalten. Und wenn dieses Passwort noch dazu leicht zu erraten ist.

Dieses Problem trat in mindestens einem Berliner Bezirk auf. Als die frisch gewählten Bezirksverordneten von Friedrichshain-Kreuzberg den Zugang zum Politikinformationssystem erhielten, bekamen alle das gleiche Passwort zugeteilt. Recherchen haben gezeigt, dass ein nicht unwesentlicher Teil von ihnen dieses Passwort, das nach einem einfachen Schema aufgebaut war, nie geändert hat.

Mangelndes Sicherheitsbewusstsein trifft Bequemlichkeit

Der Berliner Bezirksverordnete Tobias Wolf berichtet uns von vielschichtigen Problemen. Es habe keine umfassende Sicherheitseinweisung gegeben und die Akzeptanz des Systems lasse darüber hinaus zu wünschen übrig. „Jeder arbeitet, wie er will“, sagt der Bezirkspolitiker. Viele arbeiten immer noch lieber mit Papierdokumenten, bei großen Dateien sei das System ineffizient, die Verordneten würden dann teilweise auf Dropbox-Ordner umsteigen. Viele Features würden nicht genutzt und oft seien die Dokumente nicht aktuell. „Nicht komfortabel“ lautet sein Fazit.

Zum Akzeptanzproblem gesellt sich mangelndes Sicherheitsbewusstsein und das Gefühl, die Daten seien schon nicht so sensibel. Für die meisten davon trifft das wohl zu, doch nicht alles, was sich im System findet, ist für die Öffentlichkeit bestimmt. In einem Dokumentenordner können auch nicht-öffentliche Unterlagen abgelegt werden, außerdem landeten Beschwerden und Eingaben von Bürgern in dem System. Dazu sollen die Betreffenden ihre vollständige Adresse angeben.

Die Verwaltung von Friedrichshain-Kreuzberg hat auf Hinweise reagiert, mittlerweile alle Passwörter zurückgesetzt und durch individualisierte, zufallserzeugte ersetzt. Auf unsere wiederholte Nachfrage, warum es überhaupt dazu kam, antwortete das Bezirksamt bisher nicht.

Wer ist schuld?

Die Frage nach den Schuldigen lässt sich nicht einfach beantworten. Waren es die Verordneten, die ihr Passwort nicht änderten? Tragen diejenigen die Verantwortung, die ihre Accounts erstellt haben und dabei darauf verzichteten, individuelle Passwörter mit einem Mindestmaß an Nichterratbarkeit zu generieren? Oder gebührt der schwarze Peter Systemen, die eine solche Nachlässigkeit überhaupt erlauben?

Die Verantwortungsspirale ließe sich sogar noch weiter drehen, denn es gibt kaum Vorgaben für Sicherheitsvorkehrungen in der Kommunalsoftware. Während der IT-Planungsrat für Bundes- und Länderverwaltungen Mindeststandards in der IT-Sicherheit festlegte, fungieren diese für Kommunen lediglich als Empfehlungen. Der Bund darf den Kommunen keine Vorgaben machen, das müssten die Länder tun. Nicht überall ist das der Fall.

Und selbst wenn es Anweisungen gibt: Jemand muss prüfen, ob sie eingehalten werden. In Berlin sei der Einsatz von Verwaltungssoftware „durch diverse Vorschriften geregelt“, sagte uns die Berliner Landesdatenschutzbeauftragte. Der Gebrauch von Passwörtern richte sich nach dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik, der unter anderem leicht erratbare Passwörter ausschließt und vorgibt, dass Nutzer ihre Startpasswörter nach dem ersten Gebrauch ändern müssen. Von dem Passwortproblem im Berliner RIS wusste die Datenschutzbeauftragte nichts, sie habe den „Einsatz des Ratsinformationssystems ALLRIS durch die Berliner Bezirke bisher nicht geprüft“.

IT-Sicherheit kostet, keine IT-Sicherheit kostet mehr

Da viele Kommunen zusätzlich zum Sparen gezwungen sind, achtet kaum jemand darauf, wie sicher die Systeme sind. Denn IT-Sicherheit ist nicht zuletzt auch ein Kostenfaktor. Gepaart mit mangelndem Sicherheitsverständnis hat das schwerwiegende Auswirkungen. Die Kosten für ein unsicheres System bemerkt man erst, wenn es zu spät und bereits ein Schaden entstanden ist.

Im Rahmen der Recherchen begegneten wir der Rechtfertigung, dass die meisten Daten in den Ratsinformationssystemen gar nicht besonders sensibel seien. Selbst wenn das der Fall wäre und sich einige über die durch Sicherheitsprobleme verursachte Transparenz sogar freuen mögen: Das Problem hört nicht in den Ratshäusern auf. Und spätestens, wenn die papierlose Verwaltung einmal Wirklichkeit werden sollte, gibt es keinen doppelten Boden mehr.

Der Informatiker Tschirsich hatte nicht nur Kommunen untersucht. Er zeigte jüngst auch, dass eine in Deutschland viel verwendete Wahlsoftware unsicher war. Es wäre naiv, anzunehmen, dass sich in der Welt der Politik und Verwaltung nicht noch mehr Systeme befinden, die genauso unsicher sind. Vielleicht hat sie noch niemand unter die Lupe genommen. Vielleicht kennt jemand die Lücken aber bereits – und hat sie nur noch nicht den Betroffenen mitgeteilt.

Über die Autor:innen

  • Anna Biselli
    Anna Biselli

    Anna ist Co-Chefredakteurin bei netzpolitik.org. Sie interessiert sich vor allem für staatliche Überwachung und Dinge rund um digitalisierte Migrationskontrolle.

    Kontakt: E-Mail (OpenPGP), Mastodon, Telefon: +49-30-5771482-42 (Montag bis Freitag jeweils 8 bis 18 Uhr).

    Foto: Darja Preuss

Veröffentlicht

Kategorie

Schlagwörter

, , , , , , , , , , , , , , , ,

Weiterlesen

Artikel

Hacking, Schadsoftware und Spionage: Anzahl von IT-Angriffen auf deutsche Behörden

Artikel

Wahlmanipulation für Anfänger: Auswertungssoftware hat Sicherheitsprobleme

Artikel

Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

25 Kommentare zu „IT in den Rathäusern: Sicherheitslücken, wohin man schaut“

  1. Philip Engstrand

    ,

    „Denn IT-Sicherheit ist nicht zuletzt auch ein Kostenfaktor.“
    Nein. IT-Unsicherheit ist ein Kostenfaktor, taucht aber leider an anderer Stelle auf.

  2. Schatten

    ,

    Auf den Boxen läuft eh Windows.
    Da kann man sich auch gleich das PW schenken.

    1. Hestens

      ,

      Wir verwenden auch Windowssysteme, auch den IIS.
      Die Windowssysteme stehen den Linuxsystemen in Punkto Sicherheit in nichts nach!

      1. Ich

        ,

        Woher weißt du das? Kann man das denn im Quellcode nachprüfen? ;-)

        1. Hestens

          ,

          Alle kritischen „RJ45“ Ports (physisch/virtuell) sind gespiegelt und werden gesnifft.
          Wir wissen also, welche Applikation nach Hause telefoniert.
          Klar können auch wir den Quellcode des IIS nicht einsehen, aber wir können ihn überwachen und seine Kommunikation entsprechend einschränken!
          Was wir im übrigen auch für die Linuxmaschinen machen, die externe Kommunikationsfreudigkeit hat auch bei diesen sehr stark abgenommen, seit unsere Admins die Kompilierung der Pakete in Eigenregie übernahmen.

  3. Rich Piano

    ,

    SQL Injection in 2017?
    Really?

    Die Ursachen sind meist: Ignoranz, Gleichgültigkeit („Nicht meine Daten“), Bequemlichkeit (fehlende Bereitschaft, sich PWDs zu merken).

    Da hilft nur noch eine Führerscheinprüfung für Computernutzung bzw. eine Art TÜV-Plakette für Behörden-Software.

  4. me

    ,

    Kann man die vollständige Liste der getesteten System irgendwo nachlesen?

  5. Marco

    ,

    Vermutungen wie Ignoranz, Gleichgültigkeit, Bequemlichkeit sind schnell ausgesprochen wenn man die Leute dort nicht einmal kennengelernt hat.

    Als externer Dienstleister habe ich hin und wieder mit öffentlichen Stellen zu tun. Teilweise ist hier wenig bis gar keine IT-Kompetenz vorhanden – bei den Kleinen sucht man auch eine IT-Abteilung oder entsprechend ausgebildete Personen vergebens. Den Personen vor Ort kann man aber auch kaum einen Vorwurf machen, da man einen 60-Jähriger Verwaltungsfachwirt nur selten als ausgewiesenen IT-Experten antrifft.

    Die in den letzten Jahren arg gebeutelten Kommunen (Google „Reiches Deutschland, verschuldete Kommunen“) stehen mit nahezu ohne Mittel da, welche über die Aufrechterhaltung des Status Quo hinaus gehen. Gleichzeitig wird aber von der Öffentlichkeit die Digitalisierung und ein schneller Weg ins „Neuland“ gefordert.

    Notwendig wäre aus meiner Sicht entsprechende Unterstützung durch den Bund. Im Jahr 2017 wäre es nicht abwegig einen zentralen Cloudservice für IT-Basisdienste mit entsprechendem Kommunen-Branding bereitzustellen. Weiterhin entsprechendes finanziertes und regelmäßiges IT-Kompetenztraining und Unterstützung durch IT-Spezialisten Vorort, wenn notwendig.

    Fairerweise muss man sagen, dass die IT-Kompetenz und das Engagement in den letzten Jahren trotz der ungünstigen Lage insgesamt besser wurde – auch wenn im Artikel etwas anderes vermittelt werden möchte. Es ist aber noch ein weiter Weg zu gehen und die Kommunen wären über jede Unterstützung sehr dankbar – wie wäre es beispielsweise mit entsprechendem Engagement aus der Open Source Community?

    1. Averell

      ,

      > Im Jahr 2017 wäre es nicht abwegig einen zentralen Cloudservice für IT-Basisdienste mit entsprechendem Kommunen-Branding bereitzustellen.

      Stimme Dir zu. Es könnte aber auch einfach die Schwarzwald Cloud eines namhaften Herstellers verwendet werden. Nicht unbedingt billiger, aber es gibt sie schon und bietet alle Basisdienste.

    2. Kal

      ,

      > einen zentralen Cloudservice für IT-Basisdienste
      Das ist sicher keine wirklich gute Idee. Der Support privater oder halbprivater Unternehmen kann nach meinen Erfahrungen nicht oder fast nicht die Bedürfnisse befriedigen, die an ihn herangetragen werden. Die Katastrophen die da produziert werden bringt AnwenderInnen doch ohnehin nur dazu auszuweichen.
      Es wird nicht auf spezifische Anforderungen eingegangen und die teils absurden Hierarchie- und Platzhirsch-Strukturen der Ansprechpartner(!) wiederum in den Behörden verunmöglicht auf allen Seiten dann eine irgendwie diskursiv-positive Entwicklung.
      Und Cloud-Dienste? Seriously? Die Zentralisierung mag den Aufwand für die Herstellung einer sicheren Infrastruktur reduzieren. Aber sie vergrößert ganz sicher das Interesse Dritter. Einmal alles? Und es gibt kein System ohne Lücken, technisch oder sozial.
      Ich denke, dass verteilte Strukturen mit Basismodulen, die zentral erstellt und geprüft werden – aber durch fähige IT-Abteilungen lokal betreut werden – und nicht durch abgestellte Beamte –

      1. Averell

        ,

        > Und Cloud-Dienste? Seriously?
        Absolut. Ich behaupte, dass jeder der großen drei, vier Anbieter RZ Betrieb besser und sicherer kann als jede Kommune, jedes Rathaus, jeder Kreis, jedes Land und wahrscheinlich auch jeder Anbieter, der RIS Systeme als Hostingvariante anbietet. Auch unter dem Gesichtspunkt IT Know-How tut Standardisierung ganz sicher gut. Lt. Artikel gibt es die Schatten-IT in Form von Dropbox ja schon – mit hoher Wahrscheinlichkeit nicht per MFA gesichert aber dafür auf eine unkontrollierbare Anzahl von Geräten synchronisiert… und auch dann noch, wenn der Mitarbeiter schon längst in einer anderen Abteilung oder sogar in einem anderen Unternehmen tätigt ist. Da wähle ich lieber Clouddienste, die mir weitaus mehr Nutzen bei besserer Kontrolle bieten.

  6. JLloyd

    ,

    Na prima – da erübrigen sich manche Anfragen nach dem Informationsfreiheitsgesetz von selbst.

  7. Rich Piano again

    ,

    Sie sind nicht der einzige externe Dienstleister, der mit Behörden Erfahrungen sammeln konnte und hier kommentiert. Nicht jeder Verwaltungsfachwirt war zu meiner Zeit willig, sich ein 6‑stelliges Passwort zu merken. Also änderte man die Richtlinien oder machte sich kleine Spicker. Nur für die Prüfungsämter habe ich ein Lob übrig. Diese hatten aber auch geballte IT-Kompetenz im eigenen Haus.

  8. Hestens

    ,

    „Vertrauliche Informationen stehen frei zugänglich im Internet, Passwörter lassen sich leicht erraten und es klaffen Sicherheitslücken, die auch Laien ausnutzen könnten.“

    Also gut für BND und Verfassungsschutz, dann brauchen sie keinen richterlichen Beschlüsse mehr!
    Das ist also die Sicherheitspolitik der Länder, siehe Niedersachsen, den Bürger überwachen und im Gegenzug alle Fenster und Türen offen lassen, damit es Reinregnen kann.
    . und wenn der Bürger durchs offene Fenster guckt, zack wird er wegen Datenterrorismus verhaftet!

    „Ratsinformationssysteme – kurz RIS. Ein sperriger Begriff, unter dem sich die meisten vermutlich erst einmal nichts vorstellen können.“

    Klar doch, RIS’kannt, RIS in der Schüssel und klar, Sicherheit nicht erwünscht!
    Ist auch hier nicht das BSI zuständig?
    Warum Jammert von denen keiner?
    Die Frage habe ich schon Oben beantwortet!

    „Wer ist schuld?“

    Die Länder haben viel Geld zur Verfügung für den Überwahungsstaat und für diverse Berater wie Mc Kinsack und Klo (Geld das Klo herunter Spülen), da bleibt dann kein Cent übrig für Systemadministratoren, die von Hause aus 99% der Probleme beheben könnten, wären sie da und könnten auch entsprechend Bezahlt werden!

  9. Matheis

    ,

    Sehr guter Artikel, vielen Dank!
    Für Kommunen gibt es – in einigen großen Bundesländern – keine Rechtsgrundlage, die ein IT-Sicherheitsmanagement fordert. Das ändert sich zwar nächstes Jahr mit der EU-DSGVO, aber davon wollen die meisten noch nichts hören und wissen…

    1. Hestens

      ,

      „Geldstrafen
      In der neuen DS-GVO steht geschrieben, dass Firmen, die gegen die Regeln verstoßen, Strafen von bis zu vier Prozent des Jahresumsatzes drohen.“
      Quelle: https://www.it-business.de/das-wichtigste-zur-eu-datenschutz-grundverordnung-a-522339/

      Bei den Aussichten, denken die verschuldeten Städte, das sie noch was wieder bekommen!

      Achtung, das Folgende ist nicht geeignet für die Basis der
      – Grünen
      – SPD
      – CDU
      – CSU
      – Bürgermeister und deren Angestellte
      – Bundes- sowie Landespolitiker mit Aussicht auf einen Vorstandsposten in der Wirtschaft

      Wer in etwa wissen möchte was drin steht
      https://www.computerwoche.de/a/die-anforderungen-auf-einen-blick,3331104

  10. Matheis

    ,

    Von den Geldstrafen sind Behörden in der Regel ausgenommen!
    Im § 43 (3) des neuen BDSG (bzw. DSAnpUG-EU) steht: „Gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Absatz 1 werden keine Geldbußen verhängt.“

    1. Hestens

      ,

      Politiker im Amt gehen doch auch straffrei aus!

      Deswegen haben bekommen wir Bürger ja stets Gesetze serviert, gegen die wir uns ständig wehren müssen, falls „wir“ Bürger denn betroffen davon sind, also Ärzte, Anwählte und ja auch Politiker!
      Letztere ja nur Pro Forma, weil ja eh’ schon Befreit von aller Schuld!
      Also, solange unsere Herrschaften Ärzte, Anwälte und Co. von den Überwachungsgeöhns und allem Anderen ausschließen, klagt diese Clientel nicht dagegen und der schnöde Bürger darf nicht dagegen klagen, auch wenn er betroffen ist!

      Egal ob diese Herren unsere Privaten Daten öffentlich ins Netz stellen, das bedeutet das im Artikel genannte, es betrifft sie nicht, es ist ihnen egal, eben weil es nicht strafbar für sie ist!

      Das Ganze System ist doch nur noch Faul!

  11. Linuxkumpel

    ,

    So ein Artikel war mal fällig. Meine Erfahrung sagt mir allerdings, vieles wird fruchtlos in den zahllosen kleinen und mittleren Kommunen verpuffen. „IT mach mal…“, wird die häufigste Antwort der Chefs sein. Ich habe selbst jahrelang ein solches Rats-Informations-System als Administrator betreut und mit meinen zwei Augen die Veröffentlichungen vorgenommen. Es gibt keine Vorgaben (Dienstanweisungen u.a.) Als Datenschützer bin ich regelmäßig gegen eine Wand gelaufen, weil die gewählten Vertreter Transparenz über den Datenschutz und die Datensicherheit stellen und alle Hinweise verpufften. Dafür habe ich extra einen Aufsatz verfasst und ausführlichst erläutert. Allein, es fehlte bei vielen Hauptverwaltungsbeamten er Wille, es umzusetzen.
    Positiv, mit dem Hersteller der Software gab es eine enge Zusammenarbeit, um solche Datenbanklücken und anderes erst garnicht entstehen zu lassen. Zudem habe ich auf eigen Faust das System zusätzlich mit entspr. Zugriffsrechten und gesperrten Formularfeldern gehärtet. Zwar für mich ein Mehraufwand, aber wirksam.
    Hauptkritikpunkt, es fehlt in öffentlichen Verwaltungen die Sensibilität für die Datensicherheit bei den meisten Verantwortlichen und den überwiegenden Teil der Beschäftigten. Gleiches gilt für die gewählten Vertreter.

  12. Averell

    ,

    Die in den Kommentaren oft genannte IT Fachkompetenz wird sich wohl eher auch nicht verbessern. Bei der derzeitigen Marktlage ist eine IT Fachkraft, die sich gerne nach TVöD bezahlen lässt wohl eher die Ausnahme. Um das zu ändern müsste erstmal die Tarifverordnung geändert werden.
    Die im Artikel erwähnten RIS Applikationen scheinen ja sowieso schon (zumindest teilweise) gehostet zu sein, da ist der Schritt zu echtem SaaS nicht mehr weit. Gerade für die angesprochenen Kommunen, Rathäuser und Bezirksverwaltungen würde das sicherlich eine Menge Last von den IT Schultern nehmen und man könnte sich wieder in der Hauptsache um die Anwender oder sogar strategische IT Ausrichtung kümmern. Gefährliche Anfängerfehler wie identische Standardpasswörter sind mit moderner Software völlig vermeidbar. Keiner braucht sich bei Multi-Faktor mit Zertifikat und Token noch ein Passwort zu merken. Hierfür ist auch keine teure Infrastruktur notwendig. Im Übrigen ist das klar Sache der Anwendungsverantwortlichen. Niemand ändert sein Passwort, wenn er nicht dazu gezwungen wird.

  13. T. Wagner

    ,

    Computer sind entwickelt worden um Netzwerke aufzubauen. Sie stehen für den Austausch von Daten. Das Thema Datenschutz ist in dem Zusammenhang ungefähr so sinnvoll wie Fenster schwarz anstreichen.

    1. Inside-Leaks

      ,

      stimmt nicht . erstmal um zu rechnen , netzwerke erst viel später. ;)
      Aber was anderes:
      Die Geschwindigkeit in den Behörden liegt ja nicht am Computer oder LIMUX,das ist ja die eigentliche Lüge von Rreiter.
      Sondern :
      Emails werden falsch beantwortet oder gar nicht , über Wochen Wartezeit , Nachfragen etc.…halten den Prozess auf ! Fehlende Bildung , Wissen , Korruption ( J.Wolbergs ) , Linus Förster,…

      - Falsches DMS System Statistik München , liegt auch nicht an LIMUX,weil das noch mit Win Tools läuft.
      ( Dokumente der Statisktik ohne Datum ‚Name , Änder, Index etc..,.…also kurz gesagt Anfänger !)

      Das sind die wahren Probleme,die Reiter zu vertuschen versucht!

  14. Inside-Leaks

    ,

    Passender Artikel dazu in der SZ ‚wenigstens ist die SZ da noch ab und zu nicht ganz fremd, obwohl
    deren Server im Ausland liegt.
    „Tschüss LIMUX, Wilkommen Chaos“
    Wer die letzten Bugs etc von Wind 10 gelesen hat ‚weiss wie es enden wird.
    Die Wahrheit wird zensiert werden , wenn es nicht jemand leaked.
    PS.
    Auch Csu.de und fdp.de liegen in den USA !
    Krass oder?

    1. Mangold

      ,

      Das ist nicht Krass, das ist billig!
      Man muss auch mal Frotzeln dürfen, die CSU, als Freistaat muss eben extra von der US-Administration überwacht und kontrolliert werden.
      Wer weiß auf welche dubiosen Ideen die Denker der CSU in ihrer Zwangslage (A*D und Landtagswahlen) kommen, gefährliche Ideen!
      Nein nein, nicht um die Rechte Flanke mit der A*D buhlen, sondern die Linke Flanke an sich reißen, da liegt doch noch mehr Potenzial drin!

      Weswegen sollte der in den USA geschulte Karl Theodor http://m.spiegel.de/spiegel/karl-theodor-zu-guttenberg-und-sein-csu-comeback-a-1159116.html sonst zurück kommen?

  15. Markus Steinkamp

    ,

    Auch wenn es ein wenig spät ist: Was mir hier noch der Vollständigkeit halber fehlt, sind die meist vorhandenen lokalen Client-Applikationen und Apps, mit denen sich die Ratsmitglieder die Dokumente auf ihre privaten Rechner laden. Einige sowohl auf Seiten der Anbieter als auch der Nutzer machen das gut, viele nicht, und so liegen viele Vorlagen mit personenbezogenen Daten oder sonst wie sensiblen Inhalten unverschlüsselt auf mancher Platte von Nutzern, die von IT-Sicherheit weder etwas verstehen, noch etwas davon halten.

Dieser Artikel ist älter als 8 Jahre, daher sind die Ergänzungen geschlossen.