Im Visier der Hacker: Berlin macht es Cyberkriminellen zu einfach

Das Land Berlin befindet sich in einer Art Abwehrschlacht. Was martialisch klingt, ist mit Blick auf die im Fokus von Cyberkriminellen stehende IT-Infrastruktur des Landes bittere Realität. Unfassbare 19 Millionen „unautorisierte Zugriffsversuche“ – sprich Angriffe – auf die Berliner Verwaltung registrierte das 2022 gegründete Security Operations Center beim IT-Dienstleistungszentrum (ITDZ) allein 2024. Am Ende des laufenden Jahres dürfte der Wert erneut weiter gestiegen sein.

Kaum verwunderlich ist da, dass nicht alle Attacken erfolgreich abgewehrt werden können. Nachdem im April mit Hilfe eines sogenannten DDoS-Angriffs das Hauptstadtportal berlin.de über Tage hinweg lahmgelegt worden war, traf es nun die wegen ihrer Vergangenheit als Vize-Präsidentin des Bundesamtes für Verfassungsschutz besonders prominente Berliner Justizsenatorin Felor Badenberg (CDU).

Uralt-Programme gefährden die Sicherheit

Weil einer ihrer engsten Mitarbeiter einen verseuchten Link in einer Mail anklickte, wurde dessen Dienstrechner mit einer Spähsoftware infiziert. Wie am Dienstag bekannt wurde, stahlen die Diebe persönliche Daten der Senatorin bis hin zu deren Wohnadresse. Vermutet wird, dass es sich bei den Tätern um Mitarbeiter iranischer Geheimdienste handelt. Diese sehen in Badenberg allem Anschein nach eine Gegnerin des Regimes – und damit ein legitimes Ziel.

Der Fall offenbart, was Insider und gefährlicherweise auch Angreifer längst wissen: Die Berliner Verwaltung und ihre mehr als 120.000 Mitarbeitenden sind gegen Angriffe professioneller Cyberkrimineller nur höchst unzureichend geschützt. Verantwortlich dafür ist die fortgesetzte Nutzung völlig veralteter und deshalb mit Sicherheitslücken übersäter Alt-Programme ebenso wie die fehlende Standardisierung der genutzten Hard- und Software.

Der eigentliche Skandal aber ist, dass seit Jahren viel zu wenig dafür unternommen wird, an diesem für die Daten von vier Millionen Berlinern und das Gemeinwesen gefährlichen Umstand tatsächlich etwas zu ändern. Wer das tun wollte, müsste schnellstmöglich dafür sorgen, dass die seit 2016 per Gesetz vorgesehene Vereinheitlichung der IT-Infrastruktur und des Managements innerhalb der Berliner Verwaltung endlich umgesetzt wird.

Viel zu oft ist aktuell noch immer das Gegenteil der Fall: In Senats- und Bezirksverwaltungen kümmern sich nicht selten überforderte IT-Stellen eigenverantwortlich um die Sicherheit des jeweiligen Hauses. Sämtliche Zentralisierungsbemühungen des ITDZ, selbst nicht frei von Kritik, scheiterten bislang – an fehlendem Problembewusstsein oder schlicht am Umstand, dass keine Behörde freiwillig Handlungshoheit abgibt. Zur Wahrheit gehört auch: IT-Sicherheit kostet.

Das Ergebnis ist ein Technik- und Regelungs-Zoo, in dem jeder macht was er will und niemand einen Überblick hat. Angreifern wie denen, die es nun auf Berlins Justizsenatorin abgesehen haben, macht man ihr kriminelles Handeln damit denkbar einfach. Es ist höchste Zeit, das endlich zu ändern.