Lückenhafte IT-Sicherheit: Berliner Verwaltung lässt Mitarbeiter allein

Die Berliner Verwaltung kommt bei der Sensibilisierung ihrer mehr als 110.000 Mitarbeiter für die Risiken im Umgang mit Computersystemen nicht voran. Das zeigt die Antwort auf eine schriftliche Anfrage des FDP-Digitalpolitikers Bernd Schlömer, die dem Tagesspiegel exklusiv vorliegt.

Demnach kann die Staatssekretärin für Informations- und Kommunikationstechnik (IKT), Sabine Smentek (SPD), nicht sagen, in welchem Maß und wie regelmäßig Mitarbeiter der verschiedenen Behörden auf Landes- und Bezirksebene zur IT-Sicherheit belehrt werden. „Eine landesweite quantitative Erfassung der Umsetzung im Detail erfolgt nicht“, erklärt Smentek in ihrer Antwort.

Information der Mitarbeiter ist gesetzlich vorgeschrieben

Pikant: Eine regelmäßige Information und Sensibilisierung ist Teil des seit Mai 2016 geltenden E-Government-Gesetzes zur Digitalisierung der Verwaltung. Danach sind alle Berliner Behörden dazu verpflichtet, ein Informations-Sicherheits-Management-System gemäß den Standards des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) aufzubauen und weiterzuentwickeln.

Information und Sensibilisierung der Mitarbeiter sind elementare Bestandteile des BSI-Standards. Darin heißt es unter anderem: „Mitarbeiter müssen für Sicherheitsbelange sensibilisiert werden und die Informationssicherheit als einen wichtigen Aspekt ihrer Aufgaben betrachten. Hierfür sind unter anderem passende Schulungs- und Sensibilisierungsmaßnahmen anzubieten.“

An anderer Stelle fordert das BSI: „Mitarbeiter müssen über den Sinn und Zweck von Sicherheitsmaßnahmen aufgeklärt werden, vor allem, wenn diese zusätzliche Arbeit verursachen oder Komforteinbußen zur Folge haben.“ Eine Sensibilisierung für Informationssicherheit und entsprechende Schulungen der Mitarbeiter sowie aller Führungskräfte seien „eine Grundvoraussetzung für Informationssicherheit“, heißt es weiter.

Umsetzungsstand von 40 Prozent

Fest steht: Von diesem Standard und der in Bundesverwaltungen bewährten Praxis, IT-Sicherheitsbelehrungen einmal pro Jahr vorzunehmen, sind große Teile der Berliner Verwaltung weit entfernt. Im Vorjahres-Bericht zur Informationssicherheit der Landesverwaltung wird der Umsetzungsstand im Themenkomplex „Schulung/Sensibilisierung" mit 39,2 Prozent beziffert. Aussagen darüber, in welcher Form und wie regelmäßig die Maßnahmen stattfinden würden, fehlen vollkommen.

„Auch dieser Sachverhalt ist Teil der Verantwortung der Behördenleitungen und ist nicht Gegenstand einer landesweiten Erfassung“, erklärt Smentek dazu. Die Festlegung von Verantwortlichkeiten und Regelungen obliege den Behördenleitungen. „Das schließt die Durchführungsverantwortung ein“, antwortet Smentek, deren Ziel die Zentralisierung der IT-Struktur ist.

Während ihre Ausführungen eine Umfrage aus dem Frühjahr bestätigen, derzufolge sich nur zehn Prozent der Verwaltungsmitarbeiter gut über die Modernisierung und Digitalisierung ihrer Behörden informiert fühlen, spricht Schlömer von einem „klaren Organisationsdefizit“. Jährliche Sensibilisierungen könnten „das Risiko, Schaden durch einen Cyberangriff zu nehmen, erheblich reduzieren.“ Der Senat organisiere die Sensibilisierung „völlig unzureichend und handelt grob fahrlässig“, moniert Schlömer.

Virus-Warnung bei der Polizei

Tatsächlich hatte es in Berliner Behörden zuletzt gleich mehrfach sicherheitsrelevante Angriffe auf IT-Systeme gegeben. Der folgenschwerste ereignete sich am Kammergericht. Dort legte der Computer-Virus "Emotet" das komplette Netzwerk lahm. Die mehr als 500 Richter und Mitarbeiter wurden komplett vom Landesnetz getrennt. Der Zustand hält bis auf Weiteres an.

Und auch die Berliner Polizei ist betroffen. Nachdem zuletzt beim Update von Windows 7 auf Windows 10 Ermittlungsdaten in großem Umfang vernichtet worden waren, verschickte die IT-Abteilung der Behörde am Mittwoch eine Mail mit der expliziten Warnung vor "Emotet". Dieser steht darüber hinaus im Verdacht, das Stadtportal von Frankfurt am Main attackiert zu haben. Dieses ist seit dem Mittwochmorgen offline.