Guckst Du …
Da staunten die Mitarbeiter des Bad Hersfelder Landratamts nicht schlecht, als sie am 01.02.2011 zur Arbeit erschienen. Kein Internet, keine Emails, kein Drucken. Die Bildschirme der Kfz-Zulassungsstelle blieben schwarz, die Geldautomaten der Sozialkasse out of order.
Der Fehler steckt im Detail …
Wobei besagtes Detail sich dann doch als etwas größer herausstellte — es fehlten 10 der 20 Server im Rechnerraum. Einbruch, jedoch wurden keine weiteren Vermögenswerte vermisst. Das serverseitige Alarmsystem war wenig durchdacht. Es löste lediglich Email-Alarm im internen Netz aus. Da nachts jedoch kein Mitarbeiter vor dem Bildschirm weilt, lief der Alarm ins Leere. Die Diebe schulterten also gleich Server samt Alarmsystem und zogen ungestört von dannen.
Wir haben es ja schon immer gewußt …
Peinlich: die ermittelnde Kriminalpolizei wusste um die ungenügenden Sicherheitsmaßnahmen und hat die Behörde in der Vergangenheit mehrmals auf das Risiko hingewiesen. Was ist passiert? Nichts. Nach wie vor bestand die Sicherung des Serverraums aus Holztüren mit einfachen Schlössern.
Ja aber …
Was ging neben der Hardware verloren? Ein Querschnitt an Daten, die in einem Landratsamt anfallen. Die Behörde versuchte zu beschwichtigen, die personenbezogenen Daten und Vorgänge auf den Servern seien alle verschlüsselt.
Aussitzen …
Wie sicher die Schlüssel waren, welche Daten nun genau verloren gingen und welcher finanzielle Schaden durch den Einbruch dem Steuerzahler entstanden sei, wollte die ct in einem Interview erfahren. Die Behörde verweigerte die Auskunft.
Und nun …
Bleibt nur die Empfehlung, besonders an die Verantwortlichen des Bad Hersfelder Landratamts, aber auch an jeden für die IT-Sicherheit Verantwortlichen in Unternehmen sich aktiv mit dem sog. BSI Grundschutz-Katalog auseinanderzusetzen. Dieser hält zahlreiche Prüf- und Schutzmaßnahmen zur Abwehr solcher Vorfälle parat.
- BSI IT Grundschutz Katalog
- ct Artikel “Amtlicher Leichtsinn”