Nicht alle Probleme sind gleich gefährlich. Manche erlauben lediglich einen vergleichsweise harmlosen Einblick in Unterlagen, die letztlich ohnehin im Internet veröffentlicht werden.

Manche – wie die Ausschreibung in Rheinstetten – entstehen durch Fehler der Personen, die die Software bedienen. Doch auch das spricht gegen die Software. Denn die versehentlich veröffentlichten Dokumente können nur gefunden werden, weil die Software zulässt, dass sich jemand durch alle URLs klickt. Außerdem scheint es solche Fehler an vielen Orten zu geben, ZEIT ONLINE fand in verschiedenen Gemeinden vertrauliche Sitzungsprotokolle, Ausschreibungsunterlagen und zum Teil auch Beschlüsse zur Beförderung von namentlich genannten Beamten. Immerhin aber gelangten nicht gleich Gigabyte geheime Daten ins Netz.

Seit Jahren warnen Datenschützer vor genau solchen Pannen bei Ratssystemen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein beschrieb mehrere solcher Fälle bereits 2010 in seinem Tätigkeitsbericht. Die Datenschützer forderten daher von den Gemeinden: "Bei Einstellung von Dokumenten ins Internet sollte in jedem Fall das sogenannte Vieraugenprinzip gelten."

Manche Lücken eignen sich jedoch dazu, von dort aus in die gesicherten Datennetze der Kommunen einzubrechen und erlauben es, bis zu KfZ-Anmeldungen oder Personalausweisunterlagen vorzudringen. Teilweise wäre es Tschirsich sogar möglich gewesen, sich als Administrator anzumelden. Dann hätte er Dokumente nicht nur sehen, sondern auch manipulieren können.

Tschirsich ist nicht der erste, der zu solchen Ergebnissen kommt. Der Landtag von Nordrhein-Westfalen hatte 2014 – aufgeschreckt durch die Enthüllungen Edward Snowdens – eine Firma damit beauftragt, die Sicherheit der öffentlichen IT in den Gemeinden des Landes zu testen. Der Bericht der Analysten liest sich wie eine Kapitulationserklärung: "Die allgemeine Sicherheitslage in der öffentlichen Verwaltung ist kritisch", lautet der erste Satz. Denn in fast allen untersuchten Kommunen sei es gelungen, innerhalb weniger Stunden "ohne Insiderkenntnisse einen vollständigen Zugriff auf alle relevanten Systeme" zu bekommen. Nicht einmal Profis brauche es dazu, selbst "Hobby-Hacker" könnten die mangelhaften Sicherheitsmaßnahmen überwinden – wenn es denn überhaupt Sicherungen gebe. Oft seien selbst "einfachste Sicherheitsmaßnahmen" nicht umgesetzt.

Monatelang unentdeckt

Die IT-Analysten konnten Personenregister einsehen und verändern, sie konnten Daten der Ordnungsämter, der Finanzverwaltungen und sogar Alarmierungs- und Leitsysteme der Feuerwehr manipulieren. Ihre Einbrüche blieben Wochen und teilweise sogar mehrere Monate lang unentdeckt.

Die Gefahren, die dadurch entstehen, sind längst nicht mehr theoretisch. Daten der Verwaltung sind interessant für Kriminelle, aber auch für jeden, der Chaos stiften und Menschen verunsichern will. Erste Angriffe gibt es bereits. 2015 versuchten Unbekannte, sich in Rheinland-Pfalz Zugang zu den Anmeldedaten der KfZ-Zulassungsstelle zu verschaffen. Ihr Einstiegspunkt war die Website, auf der jeder nach seinem Wunschkennzeichen suchen kann. Die Software dafür war schlecht programmiert, sie erlaubte eine sogenannte SQL-Injection.

SQL ist der Name einer Programmiersprache, mit der große Datenmengen aus Datenbanken ausgelesen und in Datenbanken geschrieben werden. Ist eine Datenbank wie die für die rheinland-pfälzischen Wunschkennzeichen mit dem Internet verknüpft, versuchen Angreifer, über den Browser bestimmte Befehle einzuschleusen – daher der Ausdruck Injection, Einspritzung. Lässt die Programmierung das zu, wirft die Datenbank Ergebnisse aus, die eigentlich nicht zugänglich sein sollten. Es ist der wohl häufigste Angriffsweg auf Daten, die über das Internet zugänglich sind. Entwickler solcher Datenbanken wissen das selbstverständlich und blockieren normalerweise entsprechende Befehlseingaben. Doch die Angreifer denken sich immer neue Befehlskombinationen aus. Wird keine sichere Programmbibliothek benutzt, die diese Befehle blockiert, wird die Datenbank anfällig.

Tschirsich fand in diversen Städten Lücken für SQL-Injections, sieben der untersuchten Hersteller ließen Angriffe auf die Datenbanken der von ihnen betreuten Gemeinden zu. Manche dieser SQL-Lücken sind dabei so alt, dass sie als historisch gelten dürfen. Trotzdem waren sie in den kommunalen Systemen nicht geschlossen worden.

Die zweite typische Angriffsart im Internet, das sogenannte Cross Site Scripting, funktionierte sogar bei den Programmen aller Hersteller. Dabei wird nicht die Datenbank auf dem Server, sondern der Browser selbst angegriffen, um mehr Informationen zu erlangen als eigentlich vorgesehen. Da alle Ratssysteme über den Browser genutzt werden, um von jedem Rechner aus erreichbar zu sein, müssen die Entwickler auch diesen Angriffsweg immer wieder prüfen und blockieren.

Bund kann Kommunen nicht helfen

Natürlich gibt es Vorgaben, welche Sicherheitsstandards öffentliche Stellen installieren müssen, sie stehen beispielsweise in den "Leitlinien für die IT-Sicherheit in der öffentlichen Verwaltung". Es gibt auch den IT-Planungsrat, der solche Vorgaben schreibt. Doch sie gelten unmittelbar nur für die Verwaltung des Bundes und für den Datenaustausch zwischen Bund und Ländern. Der Föderalismus verhindert, dass sich der Bund in das Handeln der Kommunen einmischt. Nur die Länder dürfen den Städten und Gemeinden Vorgaben machen. Manche tun es, manche nicht.

Berlin versucht gerade, sein digitales Sicherheitsproblem in den Griff zu bekommen. Das Projekt heißt BerlinPC und wurde 2013 beschlossen. Alle Arbeitsplätze in den Ämtern der Stadt sollen einen standardisierten Rechner bekommen. Von 2018 an dürfen alle Behörden des Landes Berlin nur noch diese Rechner anschaffen. Ein fahrlässiger Umgang mit Passwörtern lässt sich auf diese Art jedoch auch nicht ausschließen. Genauso wenig wie die Tatsache, dass sich Übelmeinende Zugang zu schlecht programmierter Software verschaffen, die gar keine Sicherheitsmechanismen enthält.

Papierakten wird es bald nicht mehr geben

Daher braucht es vor allem mehr Verständnis für die Gefahren. Das ist bislang nicht immer selbstverständlich. Die betroffenen Gemeinden wurden vor Veröffentlichung dieses Artikels über die Probleme informiert. Alle hier beschriebenen Lücken sind geschlossen worden. Tschirsich kontaktierte auch die Hersteller der Software und zeigte ihnen die von ihm gefundenen Probleme. Deren Reaktion war allerdings nicht immer professionell. Die konkret benannten Fehler wurden schnell behoben. Doch das bedeutet nicht, dass die Firmen in jedem Fall anschließend auch die übrigen Käufer ihrer Software warnten. Und selbst wenn ein Update der Software geschrieben und an alle verteilt wurde, ist das keine Garantie dafür, dass es auch alle Gemeinden in ihre Systeme einspielen.

Die Kommunen argumentieren gern, alle Akten würden parallel immer auf Papier abgelegt. Es gebe also immer ein sicheres Original von jedem Dokument. Im Zweifel könne man so jeden Fehler bemerken und berichtigen. Doch abgesehen von der Mühe, die eine solche Fehlersuche macht: Wie lange ist das noch so?

Berlin beispielsweise arbeitet seit 2011 daran, eine vollständig elektronische Akte einzuführen. Wie bei allen großen Projekten in der Hauptstadt wird das garantiert noch dauern. Trotzdem wird es irgendwann keine Papierakten mehr geben. Dann werden alle darauf vertrauen müssen, dass die digitalen Daten der Verwaltung korrekt und sicher sind.

Mehr zu den Problemen mit Ratsinformationssystemen finden Sie auch hier bei Netzpolitik.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen die Öffentlichkeit erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.