Wie sicher sind Hamburgs Daten? Senat bestätigt Vorfall, der Lücken im Schutzkonzept offenbart. Der Datenschutzbeauftragte, die Grünen und die Polizei fordern rasches Umdenken.

Hamburg. Es waren jene dubiosen E-Mails, die einen Teil der Rechner der Senatsverwaltung lahmlegten, vor denen Sicherheitsexperten seit Jahren warnen: Hinterlegt seien angeblich wichtige Informationen wie die Änderung des Onlinebanking-Zugangs oder noch profaner, die Telefonrechnung als PDF-Dokument. Der Empfänger müsse nur den mitgelieferten Link öffnen, alles weitere kläre sich von selbst.

Malware-Angriffe (eine Abkürzung für malicious Software – bösartige Software) nennen IT-Experten diese Art von Hackerangriffen. Betroffen sind alle, die den Link, also eine Weiterleitung auf andere Webseiten, entgegen allen Sicherheitsbelehrungen öffnen. Dann nämlich installiert sich automatisch eine Schadsoftware auf dem Computer, die in der Regel wichtige Daten und Passwörter stiehlt.

Im Fall der Senatsverwaltung hieß diese Schadsoftware „Banking Trojaner Cidrex“. Die Software, beziehungsweise ihre Programmierer, haben einen der bislang schwersten Hackerangriffe auf die Hamburger Verwaltung verursacht. 150 „IT-Arbeitsplätze“ waren Anfang dieses Jahres von dem Angriff betroffen, das steht in der Senatswort auf eine Kleine Anfrage des Grünen-Bürgerschaftsabgeordneten Farid Müller.

Müller, Vorsitzender des Ausschusses für Justiz, Datenschutz und Gleichstellung, sagt: „Der Hackerangriff war so schwer, dass die Senatsverwaltung diese Rechner für fünf Tage vom Netz nehmen musste, ehe sie wieder einsatzfähig waren.“ Und kritisiert: „Bis heute will der SPD-Senat nicht dafür sorgen, dass der datensensible Mailverkehr in den Behörden von Anfang bis Ende verschlüsselt wird. Für Hacker ist weiter ‚Tag der offenen Tür‘ in der internen Senatskommunikation und im Datenverkehr mit Bürgern und Unternehmen. Daher habe ich heute eine unverzügliche Sondersitzung des Datenschutzausschusses der Hamburger Bürgerschaft beantragt.“

Infiziert wurden die 150 Rechner im Zeitraum vom 8. bis zum 22. Januar, heißt es in der Antwort des Senats. Und: Die Schadsoftware sei dabei „nicht speziell auf IT-Anwendungen der öffentlichen Verwaltung gerichtet“ gewesen. Vielmehr sei die Aktivierung der Schadsoftware „über einen sogenannten Link in der E-Mail oder durch das Öffnen eines E-Mail-Anhangs“ erfolgt.

Im Klartext heißt das: Ohne das Mitwirken derjenigen Senatsmitarbeiter, die diese Spam-Mails beziehungsweise die in ihnen enthaltenen Links leichtfertig auf ihren Dienstcomputern öffneten, wäre der Hackerangriff ins Leere gelaufen. So aber müssen Angestellte und Bedienstete mindestens 150-mal E-Mails mit entsprechenden Links Anfang 2014 geöffnet haben.

Laut dem SecurityBlog des Sicherheits-Software-Herstellers G Data wird beim „Banking Trojaner Cidrex“ daraufhin eine Archivdatei auf den Rechner geladen. Wird das darin befindliche Programm geöffnet, entfaltet der Trojaner seine schädliche Wirkung. So kann das Programm etwa beim Onlinebanking die Tastatureingaben mitschneiden und über das Internet versenden. Deutschlandweit waren Ende letzten und Anfang dieses Jahres über zwei Angriffswellen nicht nur die Hamburger Verwaltung, sondern Tausende Computer infiziert worden.

Laut Senat sind durch den Angriff keine Schäden entstanden. Die betroffenen Computer seien „jeweils am ersten Tag der Vorfallsbearbeitung vom Internet getrennt“ worden. „Die Entwicklung einer automatisierten Bereinigung betroffener Rechner hat fünf Tage in Anspruch genommen.“ Zudem heißt es: An den betroffenen Arbeitsplätzen seien keine Anwendungen im Einsatz gewesen, „auf die die Schadsoftware gerichtet war“.

Hamburgs Datenschutzbeauftragter Johannes Caspar warnt dennoch: „Vorfälle wie dieser zeigen, dass die Datensicherheit auch in der Hamburger Verwaltung ein sehr wichtiges Thema ist. Wir brauchen dringend einen Masterplan, wie künftig eine sichere IT-Infrastruktur geschaffen werden kann.“

Dazu gehöre zum einen, dass interne E-Mails verschlüsselt werden. Ein wichtiges Thema sei zudem die Bereitstellung einer sicheren und einfach bedienbaren Verschlüsselungsinfrastruktur für die Kommunikation zwischen Bürger und Verwaltung. Das ist gerade dort erforderlich, wo es sich um sensible Daten handelt“, so Caspar.

Wo es um Bürgerdaten gehe, bestehe eine Schutzpflicht, sagte Caspar. „In die richtige Richtung weist hier die Koalitionsvereinbarung auf Bundesebene, wonach die Bundesbehörden verpflichtet werden sollen, zehn Prozent ihres IT-Budgets für die Sicherheit ihrer Systeme zu verwenden. Die Stadt muss diesen Herausforderungen aktiv begegnen. Wir stehen gern beratend zur Seite.“

„Der Hackerangriff auf 150 Arbeitsplatzrechner der Senatsverwaltung im Januar zeigt einmal mehr, dass die Bedrohung durch Cyberkriminelle eine reale Gefahr darstellt, die nicht nur Unternehmen und Privatleute, sondern auch Behörden betrifft. Die Strafverfolgung in diesem immer bedeutender werdenden Bereich sollte daher bestmöglich aufgestellt sein“, warnt auch der Landeschef des Bundes Deutscher Kriminalisten (BDK), Jan Reinecke.

„In einer digital vernetzten Welt gibt es Sicherheit nicht zum Nulltarif.“ Die personelle und materielle Ausstattung der Hamburger Polizei im Bereich Cybercrime sei jedoch inzwischen so desolat, „dass die Beamten schon längst nicht mehr mit den Tätern Schritt halten können und nur noch keuchend hinterherhecheln. Es fehlt bislang an fachlichem Know-how sowie an geeigneten Instrumentarien, um derartige Vorfälle aufklären und die Täter ermitteln zu können. Ein wehrhafter Staat sieht wahrlich anders aus.“