"Vertraulich!" steht ganz oben auf dem Dokument der Großen Kreisstadt Rheinstetten. Darunter der Satz: "Die nachstehenden Angaben dürfen weder in öffentlicher Sitzung zitiert noch der Öffentlichkeit auf sonstige Art und Weise zugänglich gemacht werden." Es geht um viel Geld. Kein Unbefugter soll das geheime Sitzungsprotokoll zu Gesicht bekommen. Doch mit einem einfachen Trick kann jeder das elektronische Dokument lesen. Denn es ist so schlecht geschützt, als hätte man es an einer Litfaßsäule aufgehängt.

In dem Protokoll geht es um einen Bach, der saniert werden soll. Die Gemeinde hat den Auftrag ausgeschrieben, drei Firmen haben sich darum beworben. Ihre Angebote unterscheiden sich um mehrere Zehntausend Euro. Welches Unternehmen wie viel geboten hat, darf nicht publik werden, sonst könnten die anderen Firmen gegen das Verfahren klagen.

Doch wer die Angebote sehen will, braucht nur etwas Geduld. Man muss einfach irgendein öffentliches Papier an seinem Bildschirm aufrufen und dann die Dokumentennummer in der Adresszeile des Browsers ändern. Wer lange genug mit diesen Nummern spielt, stößt auch auf Unterlagen, die nicht für die Öffentlichkeit bestimmt sind.

Rheinstetten hat das vertrauliche Angebot für die Bachsanierung umgehend aus dem Netz genommen, als ZEIT ONLINE die Gemeinde darauf hinwies. Es sei ein Bedienungsfehler gewesen, sagt Oberbürgermeister Sebastian Schrempp.

Bloß ein Bedienungsfehler?

Die betroffene Software ist ein sogenanntes Ratsinformationssystem. Zusammen mit dem IT-Sicherheitsanalysten Martin Tschirsich hat ZEIT ONLINE in den vergangenen Wochen viele solcher Systeme von Kommunen in ganz Deutschland untersucht. Das Ergebnis ist erschreckend: Immer wieder fanden sich streng vertrauliche Informationen, die kaum bis gar nicht vor unbefugtem Zugriff geschützt waren. 

Ob Sitzungsprotokolle, Tagesordnungen, Ausschreibungsverfahren, Beschlüsse – Kommunalpolitik und Verwaltung sind längst digitalisiert. Jede Akte im Rathaus, jede Information über die Bürger wird in Datenbanken gespeichert. Die sind anfällig für digitale Angriffe. Doch viele Städte und Gemeinden unterschätzen oder ignorieren das Risiko gehackt zu werden, ebenso wie viele Hersteller solcher Ratsinformationssysteme.

Berlin, Darmstadt, Rheinstetten, Philippsburg sind nur einige der Orte, in deren Systemen ZEIT ONLINE mithilfe Tschirsichs Sicherheitslücken fand. Egal ob Dorf oder Großstadt: Eine Mischung aus fehlender Risikowahrnehmung, schlecht programmierter Software und Fahrlässigkeit ist offensichtlich Alltag in vielen Rathäusern. Sie führt dazu, dass die Lokalpolitik in Deutschland sehr viel transparenter ist, als sie sein sollte. Mancherorts gefährlich transparent.

Eingeloggt als Brigitte Zypries

Brigitte Zypries ist Bundeswirtschaftsministerin. Das ist aber nicht ihr einziges politisches Amt. Zypries ist auch Mitglied der Stadtverordnetenversammlung in Darmstadt, wo sie ihren Wahlkreis hat. Als Stadtverordnete besitzt sie einen Zugang zum Darmstädter Parlamentssystem. Um sich dort einloggen zu können, hat sie vor langer Zeit ein sechsstelliges Standardpasswort erhalten. Offenbar hat Zypries ihren Account nie genutzt. Jedenfalls wurde das Passwort nicht geändert. Das Problem: Zumindest die Standardpasswörter wurden in der Datenbank des Systems so schlecht verschlüsselt, dass sich aus ihnen problemlos wieder Klartext-Passwörter machen ließen. Das Parlamentssystem hatte noch dazu Lücken, die es erlaubten, die verschlüsselten Passwörter auszulesen. So wäre es möglich gewesen, sich in Darmstadt unter Zypries Namen anzumelden und dann sogar "streng vertrauliche" Dokumente einzusehen.

Wirtschaftsministerin Zypries äußerte sich dazu nicht. Immerhin aber reagierte der Hersteller des Programms, die more Software GmbH aus Selters, sofort, als sie von ZEIT ONLINE mit dieser Beobachtung konfrontiert wurde. Man habe die Komplexität der Einmalpasswörter angehoben und nutzte für die interne Speicherung der Passwörter nun eine sehr viel sicherere Verschlüsselungsvariante. Alle Kunden seien über die Änderungen informiert worden. "Wir haben den Kunden ausdrücklich empfohlen, das Update nach Bereitstellung einzuspielen", sagt Geschäftsführer Thomas Franz.

Auch im Berliner Politikverwaltungssystem sorgt eine Mischung aus schlechter Programmierung und fahrlässiger Anwendung dafür, dass es transparenter ist als gedacht. Das Programm namens Allris, das Berlin und laut Eigenwerbung "mehr als 400 Institutionen in Deutschland" einsetzen, löst keinen Alarm aus, wenn sich derselbe Benutzer gleichzeitig von zwei verschiedenen Rechnern aus anmeldet. Eigentlich sollte so etwas unmöglich sein. Doch das Politikinformationssystem meldet nicht, wenn es attackiert wird. Die Berliner Bezirksverordneten, die es für ihre tägliche Arbeit brauchen, würden es dadurch nicht einmal mitbekommen, wenn jemand ihren Benutzernamen und ihr Passwort missbrauchte.

Viele ändern das Standardpasswort nicht

Noch schlimmer ist, dass es kaum Mühe bereitet, an die Log-in-Daten einer ganzen Reihe von Bezirksverordneten zu gelangen. Wie Ministerin Zypries haben viele von ihnen nie das Standardpasswort geändert. Sie bekamen es zwar von der Verwaltung mit der Bitte geschickt, sogleich ein eigenes Passwort zu erstellen, aber längst nicht alle haben das auch getan. Außerdem speicherte Allris solche Standardpasswörter im Klartext in der Datenbank, wo sie durch Angreifer ausgelesen werden können. So kann jeder, ein solches Standardpasswort kennt, viele verschiedene Accounts gleichzeitig missbrauchen.

Allris unterstütze selbstverständlich sichere Anmeldeverfahren und komplexe Passwörter, schreibt der Entwickler, die CC e-gov GmbH. Für die Vergabe von Kennwörtern seien allerdings die Kunden zuständig. Sämtliche Probleme, die Tschirsich gefunden habe, seien jedoch umgehend beseitigt worden.

"Es gab nie eine Sicherheitseinweisung für mich", sagt Tobias Wolf, Mitglied in der Bezirksverordnetenversammlung des Berliner Bezirks Friedrichshain-Kreuzberg. Die Verwaltung interessiere sich vor allem für den Datenschutz, nicht für Datensicherheit. "Wir mussten unterschreiben, dass unser Geburtsdatum veröffentlicht werden darf, aber es gab keinen Hinweis, dass man ein sicheres Passwort wählen soll."

Nach einem entsprechenden Hinweis von Wolf reagierte auch hier die Verwaltung. Das gleiche Standardpasswort für alle wurde inzwischen abgeschafft. Sämtliche Passwörter des Systems wurden zurückgesetzt, jeder Bezirksverordnete in Friedrichshain-Kreuzberg bekommt nun automatisch eine individuelle, automatisch erzeugte Passphrase. Der Bezirk will dieses Vorgehen auch allen anderen Bezirksverordnetenversammlungen in Berlin empfehlen.

Doch wieso ist es überhaupt möglich, dass allerorten Verwaltungssysteme so durchlässig sind? Software ist teuer. Weil jede Kommune sie eigenständig beschaffen und bezahlen muss, soll sie viele Jahre lang funktionieren. Digitale Technik veraltet jedoch schnell. Es sei daher "gar kein Kunststück", die meisten Programme, die auf der hauseigenen Technik der öffentlichen Verwaltung laufen, mit dem heutigen Wissen auseinanderzunehmen, sagt der IT-Leiter einer Gemeinde, der lieber anonym bleiben möchte.

Im Trabant gibt es auch keinen Airbag

Viele dieser Programme seien vor geraumer Zeit entwickelt worden, sagt der IT-Leiter. "Ebenso gut könnte man in einem Trabant nach Airbags oder einem Antiblockiersystem suchen." Außerdem gebe es nicht genug Softwarehersteller, um die in die Jahre gekommenen Programme durch IT-schutzkonforme Versionen zu ersetzen, sagt er. "Wir brauchen dringend junge Programmierer, die die Tücken und Besonderheiten des Webs beherrschen, die Bock darauf haben und die entsprechend bezahlt werden, um für das offensichtlich unspektakuläre Gebiet kommunale IT neue Software zu schreiben, die allen Belangen gerecht wird."

Hinzu komme, sagt der IT-Leiter, dass Kommunen unter dem Begriff Sicherheit im Digitalen per Gesetz etwas ganz anderes verstünden, als der Bürger erwarte. Viele Aufgaben in Kommunen müssten revisionssicher bearbeitet werden, jeder Vorgang bei späteren Kontrollen nachvollzogen werden können. Darauf liege der Fokus, nicht auf Angriffen von außen. Als derartige Angriffe zu einem realen Gefahrenszenario wurden, sei die bestehende Software oft nur nachgerüstet, nicht aber neu geschrieben worden. In praktisch allen kommunalen Programmen seien "sicherheitsrelevante Probleme" zu finden. "Neuentwicklungen wären der richtige Schritt."

Wenn "funktionsunfähige Informationssysteme" aber dazu führten, dass der Staat seinen Aufgaben nicht nachkommen könne, werde "das Vertrauen der Bürger und Unternehmen in die Integrität des digitalen Staates erschüttert", heißt es im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland. Informationssysteme seien daher "zu kritischen Infrastrukturen für das Gemeinwesen geworden". Diese Einschätzung hat sich allerdings noch nicht bis in jede Kommune herumgesprochen. In nahezu allen Ratsinformationssystemen fand Sicherheitsfachmann Tschirsich solche und viele weitere Schwachstellen.

Tschirsich hatte jüngst gezeigt, dass die für die Bundestagswahl verwendete Software gefährliche Lücken hat. Das hatte bei ihm die Sorge geweckt, auch andere Computerprogramme der öffentlichen Hand könnten unsicher sein.

In Deutschland teilen sich eine Handvoll Unternehmen den Markt für kommunale Verwaltungsprogramme. Es sind vor allem mittelständische Firmen, manche privat, andere von Städten und Gemeinden ausgegründet. Tschirsich hat etwa zehn Programme verschiedener Entwickler analysiert, die zusammen den größten Teil aller deutschen Kommunen versorgen: "Ich habe überall Schwachstellen gefunden, bei allen Herstellern."