Nach Cyberangriff auf Justizsenatorin: Berlins Behörden bleiben ein leichtes Spiel für Hacker

Trotz der zuletzt rasant gestiegenen Bedrohung durch Hacker und Cyberkriminelle sind die Berliner Behörden nur unzureichend vor deren Attacken geschützt. Wie eine Tagesspiegel-Recherche ergab, wird weiterhin nur ein Bruchteil der rund 85.000 Verwaltungscomputer zentral durch das für die IT-Sicherheit im Land zuständige IT-Dienstleistungszentrum (ITDZ) betrieben.

Demnach dürften bis Jahresende lediglich rund 2000 Behördenrechner in Berlin durch das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte ITDZ konfiguriert und betrieben werden. Da an diesen als „Berlin-PC“ bezeichneten Arbeitsplätzen die BSI-Standards eingehalten werden, gelten sie als sicher. Für die übergroße Mehrheit der Behördenrechner ist das nicht der Fall.

Viele Behörden nutzen Dienstleistungszentrum nicht

Auf Nachfrage räumte die Senatskanzlei am Mittwoch ein, dass „viele Behörden im Land Berlin“ ihre IT aktuell noch dezentral betreiben und somit für die Gewährleistung der Informationssicherheit ihrer Behörden selbst verantwortlich sind. Tatsächlich sind bislang einzig das Landesamt für Flüchtlingsangelegenheiten sowie der Landesrechnungshof vollständig unter die IT-Hoheit des ITDZ gewechselt.

Hinzu kommen Teile der Senatskanzlei sowie der Wirtschaftsverwaltung, auch das Landesamt für Bürger- und Ordnungsangelegenheiten wird absehbar zum ITDZ migrieren. Selbst bei den besonders unter Angriffsdruck stehenden Senatsverwaltungen für Inneres und Justiz hat die Migration bislang nicht stattgefunden. Erstere verantwortet unter anderem die IT-Sicherheit für die Daten von Polizei und Verfassungsschutz.

Käufe auf eigene Faust

In der Praxis beschaffen und betreiben die Behörden Server, Software und Hardware selbst und sind darüber hinaus für die Gewährleistung der IT-Sicherheit selbst verantwortlich. Maria Borelli, Leiterin des ITDZ, zeigte sich deshalb im Ausschuss für Digitalisierung und Datenschutz des Abgeordnetenhauses zuletzt tief besorgt. Und Chief Digital Officer Martina Klement (CSU) erklärte: „Man kann nicht oft genug betonen, wie viele Vorteile die Standardisierung und Migration zum ITDZ hat.“

Kaum besser steht es um die Qualifizierung der Mitarbeitenden im Umgang mit Cyberkriminalität. Zwar ist laut dem 2016 beschlossenen E-Government-Gesetz für die mehr als 120.000 Mitarbeiter der Berliner Verwaltung „mindestens einmal jährlich“ eine verpflichtende Fortbildungsveranstaltung durchzuführen. Die Verantwortung zur Durchführung obliegt jedoch der jeweiligen Behörden.

Grüne fordern Tempo bei Zentralisierung

„Der Senat geht davon aus, dass der gesetzlichen Verpflichtung entsprechend nachgekommen wird“, heißt es in einer dem Tagesspiegel exklusiv vorliegenden Parlamentsanfrage des Grünen-Abgeordneten Stefan Ziller. Ob die Fortbildungen wie vorgeschrieben durchgeführt werden oder nicht, wird senatsseitig also weder überprüft noch dokumentiert.

Ziller, der in der Vergangenheit wiederholt auf die Risiken einer fehlenden Standardisierung bei der Verwaltungs-IT hingewiesen hatte, zeigte sich besorgt. „Die Sicherheit wird unmittelbar verbessert, wenn das ITDZ die Betriebsverantwortung hat“, sagte er dem Tagesspiegel und forderte ein entschiedeneres Handeln der Senatskanzlei, die für die Digitalisierung der Verwaltung zuständig ist.

Mit Blick auf die am Dienstag bekannt gewordene erfolgreiche Attacke gegen Justizsenatorin Felor Badenberg ergänzte er: „Ich hoffe, dass der Vorfall zum Anlass genommen wird, den Prozess der Zentralisierung zu beschleunigen. Der Angriff macht deutlich, dass es wichtig ist, zumindest das zu machen, was man machen kann.“ 

Wie berichtet, hatten bislang unbekannte Täter den Rechner eines engen Mitarbeiters Badenbergs mit einer Spähsoftware infiziert und so persönliche Daten der Senatorin inklusive deren Wohnadresse erbeutet. Tagesspiegel-Informationen zufolge haben erste Ermittlungen Hinweise ergeben, dass es sich bei den Drahtziehern um iranische Geheimdienste handeln könnte.

Vor deren Aktivitäten hatte ausgerechnet das Bundesamt für Verfassungsschutz, Badenbergs Arbeitgeber bis zu ihrer Ernennung als Justizsenatorin, bereits 2023 explizit gewarnt.