"Schwerwiegender Verstoß" - Datenleck beim Brandenburger LKA

Mi 04.12.24 | 19:59 Uhr
  25
Symbolbild: Netzwerkkabel stecken am 05.10.2021 in Ports eines Switchs. (Quelle: Picture Alliance/Marijan Murat)
Video: rbb24 Brandenburg aktuell | 04.12.2024 | Carsten Kripphal | Bild: Picture Alliance/Marijan Murat

Aufgefallen ist es durch Zufall: Beim Landeskriminalamt in Brandenburg soll es einen schweren Verstoß gegen den Datenschutz gegeben haben. Hacker hätten offenbar ein leichtes Spiel haben können.

Beim Landeskriminalamt in Brandenburg hat es eine IT-Sicherheitspanne mit offenbar gravierenden Verstößen gegen den Datenschutz gegeben. Das teilte das Innenministerium in Potsdam auf Anfrage mit. Das Polizeipräsidium habe das Ministerium am 20. September darüber informiert. Zuvor hatte der "Tagesspiegel" darüber berichtet.

"Der Vorfall wird derzeit als schwerwiegender Verstoß gegen datenschutzrechtliche Vorgaben und technisch-organisatorische Maßnahmen zum Schutz personenbezogener Daten gewertet", so das Innenministerium. Laut "Tagesspiegel" kappte das Bundeskriminalamt (BKA) den Datenaustausch mit dem Staatsschutz des Landeskriminalamts.

Nach bisherigem Kenntnisstand gebe es jedoch keine konkreten Anhaltspunkte dafür, dass Daten abgeflossen oder missbräuchlich verwendet worden seien.

Bürger klickt sich aus Versehen in geheime Daten

Die Landesbeauftragte für Datenschutz und Akteneinsicht sei umgehend über den Vorfall informiert worden. Prüfungen des Vorgangs durch das Polizeipräsidium, den Informationssicherheitsbeauftragten sowie die Datenschutzbeauftragte der Behörde und die interne Revision dauern den Angaben zufolge an. Dazu zählten auch Fragen möglicher Verletzungen der Dienst- und Fachaufsicht. Das W-Lan und ein Netzwerkspeicher mit Passwörtern zum BKA-Server seien kaum geschützt gewesen, so der Vorwurf.

Nach Informationen des "Tagesspiegel" wurde das IT-Problem durch Zufall entdeckt. Demnach erreichte ein Bürger, beim Versuch, ein öffentliches Hinweisportal der Polizei im Internet zu nutzen, mit einem weiteren Klick einen eigentlich geheimen Netzwerkspeicher des Staatsschutzes, an den das Hinweisportal angebunden war. Er gab seine Beobachtung daraufhin weiter.

Hacker hätten leichtes Spiel gehabt

Für die Polizei sei damit klar gewesen: Hackern wäre es leichtgefallen, die Zugangsseite zum Datennetz des Staatsschutzes zu finden und sich möglicherweise Zugang zu verschaffen, so der "Tagesspiegel".

Das Innenministerium teilte dazu mit: "Vor dem Hintergrund der andauernden Prüfungen bitte ich um Verständnis, dass wir uns zu technischen Fragen oder Fragen der IT-Sicherheit nicht im Detail äußern können."

Korrektur: Zuvor hatten wir geschrieben, dass sich die Brandenburger Sicherheitsbehörden bislang nicht geäußert hätten. Dies ist nicht der Fall, wir haben unseren Beitrag korrigiert.

Sendung: rbb24 Brandneburg aktuell, 04.12.2024, 19:30 Uhr

25 Kommentare

Wir schließen die Kommentarfunktion, wenn die Zahl der Kommentare so groß ist, dass sie nicht mehr zeitnah moderiert werden können. Weiter schließen wir die Kommentarfunktion, wenn die Kommentare sich nicht mehr auf das Thema beziehen oder eine Vielzahl der Kommentare die Regeln unserer Kommentarrichtlinien verletzt. Bei älteren Beiträgen wird die Kommentarfunktion automatisch geschlossen.

  1. 25.

    Fachliche Qualifikation ist eines der großen Probleme der Verwaltungen. Im IT-Bereich besonders kritisch. Dabei gibt es einen BSI Grundschutzbaustein der im Rahmen des gesetzlich vorgeschriebenen ISMS nach BSI Grundschutz, wie in der InfoSiC-LL des Landes Berlin festgelegt, dazu verpflichtet die Qualifikationen der IT-Mitarbeiter zu überprüfen. Jedoch sind viele "Autodidakten" noch in den IT-Stellen der Behörden beschäftigt. Diese sind sicher mit IT-Sicherheit überfordert. Man kann davon ausgehen das personenbezogene Daten und sensible Informationen in allen öffentlichen Berliner Institutionen nicht sicher sind. Immerhin wurde es geschafft sich bis heute nicht zu einigen wer letztlich datenschutzrechtlich Verantwortliche innerhalb der Berliner Senats und Behördenstruktur zu einigen.

  2. 24.

    Ganz großer Fehler! Wird nicht lange dauern, und das LKA wird a) Anzeige erstatten wegen Hackens und b) gleich selbst die HD durchführen und alles, was auch nur ungefähr mit IT zu tun hat, sicherstellen. Hoffentlich hat er keine Heimautomation ...
    Willkommen in der Realität in Deutschland. Der Bote wird verhaftet.

  3. 23.

    Wie kann die DTAG einen Vertrag über mitlesen am DE-CIX schließen? Damit hat sie doch gar nichts zu tun, den meidet sie wie der Teufel das Weihwasser. Da müsste man doch entgeltlos teilen...

  4. 22.

    Techniker schrauben an der Hardware, ziehen die Strippen, verbasteln die Switche / Router, sind für die technische Sicherheit zuständig. Für die Konfiguration des Systems ist der jeweilige Admin zuständig. Irgendwann sollte der das mal gelernt haben - muss aber nicht sein, da man in der Behörde bis zur Ahnungslosigkeit befördert werden kann. Vll. war der bei der Rechtevergabe im Allgemeinen, der Active Directory und den Gruppenrichtlinien im Besonderen gerade auf dem Klo. Sind immerhin ein paar dicke Schmöker. Wenn dann noch mangelnde "Widerspruchsfestigkeit" gegenüber Vorgesetzten dazu kommt ist das System, meist Windoofbasiert, ganz schnell offen wie ein Scheunentor. Sicherheit wird auch oft nur so groß geschrieben, wie der jeweilige Chef das lesen kann und Passwörter, die den Sicherheitsanforderungen genügen eher nicht weit verbreitet. 12 Stellen, voller druckbarer Zeichensatz, macht 12 hoch 96 Möglichkeiten. Kann man suchen.

  5. 21.

    "Das W-Lan und ein Netzwerkspeicher mit Passwörtern zum BKA-Server seien kaum geschützt gewesen, so der Vorwurf."

    Natürlich ist ein Netzwerkspeicher mit Passwörtern zum BKA-Server kompromittiert gewesen, nicht etwa ein Speicher, der etwas CSS für das Frontend zur Verfügung stellt. Wer hat denn deren db-Struktur für den Bereich Staatsschutz entwickelt? Weshalb gibt es eine direkte Schnittstelle im Hinweisportal, das ist doch nur ein Briefkasten ohne Rückkanal? Klingt so absurd, dass ein bekiffter Hacker eine Hintertür ohne Schloss konzipiert und auch noch Hinweisschilder aufgestellt hat. Eine Datenbankstruktur dieser Art, in diesem sicherheitsrelevanten Bereich, kann es gar nicht geben.

  6. 20.

    Die Techniker sind daran wohl weniger Schuld.

    Wie der Tagesspiegel berichtet ist der Stabschef de Polizei schuld und wird sogar namentlich genannt.

    "Verantwortlich soll ein leitender Beamter gewesen sein. Er soll wichtige Schutzregeln ignoriert haben. Es geht um Olaf Berlin, bis Sommer über Jahre Brandenburgs oberster Staatsschützer und Antiterrorermittler der Polizei. Er ist CDU-Mitglied und in der Partei auf unterer Funktionärsebene aktiv. Seit einem halben Jahr ist er – noch auf Probe – im Polizeipräsidium und leitet dort den Stab.

    Damit ist er einer der ranghöchsten Polizisten im Land. Besoldet ist die Stelle nach Stufe B2 mit 9030,12 Euro im Monat."

  7. 19.

    Nette Idee.

    Dass sowas nicht funktioniert und nicht akzeptiert wird, sieht man am "Erfolg" von DEMail - einem Konzept, was deinem Traum vom "Porto bzw. Steuern für EMails" relativ nahe gekommen ist. Trotz aller Zwangshebel und Brechstangen wie Nutzungszwang für gewisse Branchen und Behördern sowieso will es nicht so recht abheben.
    Zudem bräuchte eine solche Besteuerung ein abgeriegeltes, geschlossenes, einheitliches System. Da immer noch 95% des Internets von Open Source Software oder darauf basierender Software betrieben wird, mit offenen Protokollen und herstellerunabhängigen Schnittstellen, wird auch das - Gott sei Dank! - so schnell nicht kommen.

    Und zu guter Letzt müsste man auch *solch* ein System ordentlich konfigurieren, warten und beobachten. Sonst kommt der nächste Hacker, findet das versteckte "ich hab schon bezahlt" Flag im Datenstrom & macht weiter wie bisher.
    Und relative Spam- und Malwarefreiheit im Posteingang kriegt man mit guten Admins auch heute schon hin.

  8. 18.

    Ungeachtet dessen was die Bäume davon halten: Digitalisierung auf Papier wird schwierig.

  9. 17.

    Werden jetzt beim LKA Köpfe rollen?

  10. 16.

    ich sehe den Ausweg (auch politischer Einflussnahme) hier in der Besteuerung !

    Wenn ich 1 Milliarde Mails verschicke um Systeme zu überfordern (Steuervorauszahlung an den Knotenpunkten), dann tun da 5 Cent-Pauschale bereits weh.

    Wenn man 100 Menschen zudem befragen würde, ob es im Net eher an Qualität oder an Quantität mangelt, dann sollte selbst nach massive-brainwash die Antwort eindeutig ausfallen.

    Dann einfach mal fürn Jahr die Oligarchen ignorieren... und taddaaa ! erfolgreiche soziale Umverteilung ! Kein Fishing, kaum noch romantic-spamming. Oder besser gleich 10 Cent Steuer für nen x-Beitrag ?

    Das wären hier auf RBB bei allen Beiträgen irgendwas um die 50 Euro ?

  11. 15.

    Wie kommen Sie denn darauf, dass die BVG oder Station&Services die offenen WLANs unverschlüsselt betreibt. Es mag vielleicht richtig sein, dass Sie keine Zugangsdaten benötigen, aber das heißt nicht automatisch, dass keine Verschlüsselung angewendet wird. Darüber hinaus sind heutzutage nahezu alle gängigen Dienste SSL-verschlüsselt, so dass eine einfach abgreifbare Datenübertragung nicht mehr möglich ist.

    Bei HOTSPLOTS ist es übrigens eigens entwickeltes VPN, was diesen Service bietet.

  12. 14.

    Das mit dem Strom ist nur bedingt richtig.
    Es geht um Datenaustausch... wie bewegen sie denn Akten von A nach B ?... von der Landesbehörde zur Bundesbehörde... da brauchen sie reichlich Personal und verballern reichlich Energie.
    Und egal was man für besser oder schlechter hält.... einen Weg zurück wird es eh nicht geben.

  13. 13.

    Ich halte die Digitalisierung für einen großen Fehler, den die Menschheit teuer bezahlen wird. Die Kapazität des menschlichen Gehirns gibt eine 100prozentige Steuerung dieser Systeme schlichtweg nicht her, dazu kommt Schlamperei, Dummheit, Verantwortungslosigkeit. Ich arbeite in dieser Branche und ich bin einfach nur pappsatt. Techniker sind bei mir inzwischen unten durch, ich habe mit denen zu viel erlebt.

  14. 12.

    Es gibt auch „offene“ WLANs, die laufen nicht nur ohne Passwort sondern auch unverschlüsselt! Also auf Bahnhöfen, der BVG, Großveranstaltungen etc. sollte man besser die Finger von lassen….
    Eine WPA-Verbindung bietet da selbst im minimalsten Fall schon durch P2P-Verschlüsselung schon Sicherheit.
    Allerdings hat man durchs WLAN nur die Verbindung zum Netzwerk und noch keinerlei Zugriff auf irgendwelche Resourcen! Das ist komplett etwas anderes als der Router zuhause. Falls doch würde selbst die Firma H&K OjH den Verantwortlichen zu Recht fristlos kündigen.
    Selbst kleinere Firmen beschränken heute den Zugriff hardwareabhängig, bestenfalls sogar via Zertifikat (User und Gerät!).
    Und verbieten den Einsatz privater Technik bzw. haben recht hohe Anforderungen für BYOD!
    Vielen ist das vielleicht auch bei etlichen Handy-Apps aufgefallen!
    Und bei staatlichen Behörden nicht? Jeder internationale Konzern ist da um Größenordnungen besser aufgestellt! Oder wird hier gezielt etwas vertuscht?

  15. 11.

    >"Könnte es da sein, dass egal was hier digital angeregt wird (und dann 20 Jahre später kommt) letztendlich keine Sicherheit bietet ?"
    Was sollen ihre Zeilen uns jetzt hier sagen? Sie möchten die IT-Fachleute hier als Strafe verhungern lassen, weil die nicht besser sind als alle anderen und keinen 100% Schutz installieren können?
    Als jemand aus dem IT Bereich kann ich ihnen sagen: Sicher ist nur, dass nichts sicher ist - und das zu 100%!
    Es kann auf dieser Welt keine 100% Sicherheit geben, für nichts. Allenfalls die bestmögliche mit 99,99% nach menschlichem Ermessen.
    Ja hier wurde wohl geschlampt oder eben nicht alle möglichen Netzwerkverknüpfungen mit in die Betrachtung genommen. Das wird ja gerade geprüft, wer da was verschlampt hat. Der menschliche Faktor halt mit 0,01% im ganzen System.

  16. 9.

    Die Bundesbehörden sind in einem eigenen Netz (Netze des Bundes) mit einander verbunden. Dies dürfte vom Internet her nicht erreicht werden. Daher auch die Kappung der Verbindung vom BKA zum LKA BB.
    Die IT-Sicherheit des LKA BB hat nun die Hausaufgabe der Ursachenforschung und Beseitigung der falschen Konfiguration.

  17. 8.

    So: Jetzt schließt mal die Augen und stellt euch den IT-Mann/Frau in eurem Betrieb/in eurer Behörde vor...

    ... und jetzt, schließt nochmal die Augen... stellt euch die chinesische Frauennationalmannschaft Basketball vor, sowas in der Art auch in Russland, mal so rein physisch... die den Biss haben müssen, besser als alle anderen zu sein, weil se sonst (oder Angehörige) verhungern.

    Könnte es da sein, dass egal was hier digital angeregt wird (und dann 20 Jahre später kommt) letztendlich keine Sicherheit bietet ?

  18. 7.

    >"Das Medium „Papier“ ist sicherer"
    Trugschluss. Ein Brief kann auch abgefangen, gelesen, kopiert werden oder in falsche Hände gelangen.
    >"und benötigt keinen Strom"
    Zum Herstellen von Papier benötigt man auch massig Strom, Wasser und Rohstoffe.

  19. 6.

    Leider ist es sehr aufwendig, Zweifel auszuräumen an diesem Satz: "Hackern wäre es leichtgefallen, die Zugangsseite zum Datennetz des Staatsschutzes zu finden und sich möglicherweise Zugang zu verschaffen, so der "Tagesspiegel"." ... und der Tatsache, dass es nicht bereits passiert ist. Auch aufgrund dieses Satzes. Denn die Prämisse, in solch einem Fall vom Worst-Case-Szenario auszugehen, einem Eindringen, einem Datenabfluss, stellt diese Aussage komplett auf den Kopf. Das ist besorgniserregend unprofessionell.

Nächster Artikel