Aus: Ausgabe vom 09.05.2018, Seite 3 / Schwerpunkt

Nicht länger geheim

Datenklau bei Sachsens »Verfassungsschutz« offenbart gravierende Sicherheitslücken

Von Volkmar Wölk
Landesamt_fuer_Verfa_57229381.jpg
»Inhaltliche Defizite, handwerkliche Mängel«: Interne Personaldaten sind bei Sachsens Verfassungsschutz nicht sicher

Wenn der Drehbuchautor einer Krimiserie gewagt hätte, seinem Sender ein solches Skript vorzulegen, hätte ihn die Redaktion wahrscheinlich achtkantig rausgeschmissen und die Zusammenarbeit endgültig beendet. Krimis sind nur dann spannend, wenn die fiktive Handlung eine mögliche Realität abbildet. Ist der Plot zu unwahrscheinlich, dann taugt er nichts.

In Sachsen ist zuweilen das scheinbar Unmögliche bittere Realität. Das unterstrich am Montag in Dresden eine Pressekonferenz der Parlamentarischen Kontrollkommission (PKK) für den Geheimdienst, den »Verfassungsschutz«. Anlass für den ungewöhnlichen Schritt dieses eigentlich äußerst verschwiegenen Gremiums war ein Datendiebstahl im Landesamt für Verfassungsschutz (LfV) durch einen Mitarbeiter bereits am 5. März. Ein »Sicherheitsvorfall«, so der PKK-Vorsitzende Christian Hartmann (CDU) zurückhaltend.

Ein langjähriger Mitarbeiter, der als Systemadministrator weitgehende EDV-Rechte hatte, so Hartmanns Schilderung, habe aus einem geschützten Laufwerk Personaldaten des Amtes auf einen USB-Stick kopiert. Inzwischen wisse man, dass rund 15 Prozent der entsprechenden Daten, also mehrere Dutzend Beschäftigte, betroffen gewesen seien. Es habe sich, so die Versicherung des LfV, nicht um operative Daten gehandelt, etwa Informationen über den Einsatz nachrichtendienstlicher Mittel oder beobachtete Personen. Lediglich hauptamtliche Mitarbeiter seien betroffen. Beruhigen konnte diese Einschränkung keineswegs. »Es ist schwerlich für einen Geheimdienst eine sensiblere Angelegenheit vorstellbar als die eigenen Personaldaten«, so die der PKK angehörende Linke-Abgeordnete Kerstin Köditz.

Der bei dem Vorgang überraschte Datendieb, so Christian Hartmann weiter, habe einen USB-Stick ausgehändigt. Dieser habe, so die spätere Feststellung, gelöschte und nicht wiederherstellbare Daten enthalten. Danach konnte er das Haus verlassen – ohne Hinzuziehung der Polizei, ohne Durchsuchung. Am nächsten Tag sei er suspendiert worden. Eine Woche später habe im LfV ein Gespräch mit dem Mitarbeiter stattgefunden, bei dem er einen weiteren Stick mit Daten übergab. Offenkundig hatte er hinreichend kriminelle Energie entwickelt, die eigentliche Beute aus dem Amt zu schmuggeln. Angeblich sei es ihm ausschließlich darum gegangen, seine eigenen Daten betrachten zu können. Dies allerdings wäre ihm über den Personalrat problemlos möglich gewesen. Dem bisherigen Systemadministrator wurde gekündigt, die Staatsanwaltschaft ermittelt.

Laut Gesetz muss die PKK über bedeutsame Vorfälle unterrichtet werden. Dies geschah auch. Allerdings erst einen Monat später, bei der regulären Sitzung. Eine Verzögerung, die die PKK nachdrücklich rügte. Für sie handelte es sich um einen »Vorgang von besonderer Bedeutung«, der »umfassenden Aufarbeitung des Falles« werde »hohe Priorität eingeräumt«. Die Schlussfolgerungen, die die PKK als Konsequenz ihrer bisherigen Untersuchung zieht, machen im Umkehrschluss das Ausmaß der Mängel im Sicherheitsbereich des Landesamtes deutlich.

Das derzeitige IT-Sicherheitskonzept des Landesamtes müsse dringend überarbeitet werden, unbefugte Datentransfers und den »Einsatz von ungesicherten, nicht zertifizierten Datenträgern« gelte es zu verhindern, für die Systemadministratoren müsse das Vier-Augen-Prinzip eingeführt werden, Datenzugriffe müssten protokolliert und externe Speichermedien zertifiziert werden. Die PKK begrüßte es, dass inzwischen »eine Hausverfügung erarbeitet wurde, um künftig Mitarbeitern und Vorgesetzten für derartige Fälle einen Handlungsleitfaden« zu bieten. Übersetzt: Beim sächsischen Geheimdienst soll jetzt endlich all das umgesetzt werden, was in jedem mittelständischen Betrieb zum Sicherheitsstandard gehört.

Eine »besorgniserregende Sorglosigkeit« konstatiert deshalb PKK-Mitglied Köditz. Es liege ein klares Versagen des Innenministeriums und der Behördenspitze vor. »Wir wissen nicht, ob es weitere Sticks oder Kopien gibt. Ich kritisiere beim sächsischen ›Verfassungsschutz‹ seit Jahren nicht nur inhaltliche Defizite, hinzu kommen offenbar eklatante handwerkliche Mängel.« Der Geheimdienst habe den Vorfall behandelt, »als ginge es nur um Klopapier«.


Lesetip abgeben

Artikel empfehlen:

Infos und Verweise zu diesem Artikel:

Ähnliche:

Mehr aus: Schwerpunkt