Landeshauptstadt: Systemfehler

Die Potsdamer Stadtverwaltung hat im bundesweiten Datenschutzskandal um öffentlich einsehbare Meldedaten von mehr als 500 000 Bürgern schwere eigene Fehler eingestanden. „Es sind schwere Fahrlässigkeiten in der Verwaltung passiert, die nun aufgeklärt werden müssen“, sagte die Ordnungs-Beigeordnete der Stadt, Elona Müller, gestern vor Journalisten. Intern würden auch dienstrechtliche Konsequenzen in der Verwaltung geprüft. Aber auch der auf Kommunaldienstleistungen spezialisierten Softwarefirma HSH aus Ahrensfelde machte Müller Vorwürfe. Dass, wie berichtet, auf der Internetseite der Firma Standardkenn- und Passwörter für die Administratorenebene der Onlineabfrage von Meldedaten öffentlich zugänglich waren, sei ebenso skandalös wie die Tatsache, dass in der Verwaltung diese von HSH gelieferten Passwörter für die Abfragesoftware nicht sofort geändert wurden.

„Nur durch die Kopplung dieser beiden Fahrlässigkeiten“, sagte Müller, sei die schwere Datenpanne möglich geworden. Ausdrücklich entschuldigte sich die Verwaltung bei den 145 000 Potsdamern, von denen Namen, Vornamen, Adresse, Geschlecht und Geburtsdatum online zwischen dem 7. März und vergangenem Freitag ungeschützt waren. Ausdrücklich begrüßte sie die Recherche des ARD-Magazins „Report München“: „Sonst wäre das Leck noch länger gewesen.“

Die Stadtverwaltung, so Müller, werde das gesamte Sicherheitskonzept überprüfen und überarbeiten. Die Bürger hätten „absoluten Anspruch auf den Schutz ihrer Daten“, sagte sie. Gegenwärtig werden die Protokolle der Online-Zugriffe auf das Melderegister vom Innenministerium und der Landesdatenschutzbeauftragten ausgewertet. Bis die Ergebnisse vorliegen und Schlussfolgerungen daraus gezogen wurden bleiben landesweit alle auf der HSH-Software basierenden Abfragesysteme abgeschaltet.

Müller, die sichtlich zerknirscht vor die Presse getreten war, sprach von einer Situation, „in der keine Stadtverwaltung sein will“, das Vertrauen der Bürger in die Sicherheit ihrer Daten könne durch solch gravierenden Fehler erschüttert werden. Aber, so die Beigeordnete weiter: „Den gläsernen Bürger hat es trotz aller schweren Verfehlungen nicht gegeben.“ Von den 18 gesetzlich möglichen Suchkriterien seien in Potsdam online überhaupt nur fünf abfragbar gewesen: Name, Vorname, Geburtsdatum, Geschlecht und Adresse (siehe Kasten).

Nach Angaben von Müller gab es in der fraglichen Leck-Zeit, nur zwei nicht autorisierte Anfragen über die Internet-Recherche des Meldeamtes. Eine könne zweifelsfrei den ARD-Journalisten zugeordnet werden, für die zweite werde gleiches vermutet, die Protokolle würden aber noch ausgewertet.

Potsdam gehört zu fünf Kommunen im Land Brandenburg, deren Einwohnermeldedaten von Anfang März an auch für Unbefugte einsehbar waren – bundesweit waren 15 Kommunen betroffen. Von drei Kommunen waren die Daten wie gestern berichtet auch abgefragt worden – alle drei liegen in Brandenburg. Neben Potsdam waren die Daten von Hennigsdorf und Neuhardenberg online ungeschützt.

Der IT-Verantwortliche der Potsdamer Stadtverwaltung, Reiner Pokorny, sagte gestern, über das Online-Auskunftssystem sei es in Potsdam generell nicht möglich, an alle Meldedaten zu gelangen. Die Onlineabfrage sei nur ein beschränktes Softwaremodul, dass an das Melderegister angedockt wurde. Bei den im Internet auf der HSH-Seite zeitweise abrufbaren Zugangsdaten habe es sich um die für sogenannte Supernutzer gehandelt. Diese können nicht direkt recherchieren aber neue Nutzerrechte generieren. Der Onlineservice sei eingerichtet worden für Berufs- und Personengruppen die regelmäßig größere Mengen an Meldeabfragen an die Behörden stellen müssen. Damit etwa Rechtsanwälte nicht permanent in der Verwaltung am Schalter stehen müssen, werde diesen über das Internet ein eigener, ebenfalls kostenpflichtiger Abfragezugang eingerichtet. So einen Zugang habe man mit den Passwörtern von der HSH-Seite unbemerkt fingieren bzw. neu und unter falschem Namen einrichten und dann zur gezielten Datensuche nutzen können.

Gleiches war auch in Hennigsdorf der Fall. Die dortige Ordnungsdezernentin, Edith Wiesner, machte – anders als Potsdam – allein die Firma HSH für die „ungeheuerliche Datenpanne“ verantwortlich. Die Firma habe das Passwort bei der Installation der Software vor Ort in Hennigsdorf an die Verwaltung übergeben. „Wir sind nicht im Traum darauf gekommen, dass die uns hier vor Ort ein Allerweltskennwort übergeben“, sagte Wiesner den PNN. In Hennigsdorf, wo die Daten von fast 26 000 Menschen offen lagen, würden routinemäßig alle sechs Monate sämtliche Kenn- und Passwörter geändert.

Sachsens Datenschützer Andreas Schurig forderte Konsequenzen aus der Datenschutz-Panne. In Sachsen sollen Plauen und Dresden betroffen sein. „Der Vorfall ist besorgniserregend und zeigt, welche Gefahren bestehen, wenn zentrale Datensammlungen über das Internet zugänglich gemacht werden“, erklärte Schurig in Dresden. Neben Kontrolle sei das Verfahren von den Meldebehörden generell zu überprüfen. In Brandenburg sollen von heute zunächst die vom Datenleck betroffenen Meldebehörden überprüft werden.