#1 17. November 2007 Hamburger Datenschutzbeauftragte haben bei einer systematischen Überprüfung erhebliche Sicherheitsprobleme im Computernetz der Finanzbehörde von Hamburg entdeckt. Hartmut Lubomierski und Ulrich Kühn, die selbst Zugang zum Behördennetz haben, konnten im Rahmen der Prüfung trotz eingebauter Sperren auf unzählige dem Fernmeldegeheimnis unterliegende E-Mails hunderter Behördenmitarbeiter aus nahezu allen fachlichen Bereichen zuzugreifen, aber auch die Anschrift, Geburtsdaten und Bankverbindungen von Bediensteten der Landesverwaltung Schleswig-Holstein ermitteln. Außerdem war während der Tests Einblick in vertrauliche Daten von Häftlingen, Steuerpflichtigen, Angeklagten, Schülern oder auch Asylbewerbern möglich und es war eine Vielzahl von Passwörtern, die die Nutzer fahrlässigerweise in unverschlüsselten Dokumenten speicherten, frei zugänglich. Die Sicherheitsvorkehrungen der Behörde sind anscheinend so lax, dass eine Reihe von Servern und hunderte von Arbeitsplätzen hätten komplett kontrolliert werden können, um zum Beispiel Programme zu installieren, die unbemerkt jeden Tastendruck und jeden Mausklick des Nutzers aufzeichnen. Bei den Untersuchungen kam ein ganz normaler PC-Arbeitsplatz zum Einsatz, wie er zu tausenden in der Verwaltung eingerichtet ist. So wollten die Datenschutzbeauftragten prüfen, wie weit ein Behördenmitarbeiter mit behördenüblicher Technik in Bereiche vordringen kann, die ihm verwehrt sind. Für die Überwindung der Sperren war laut Lubomierski kein besonderes Know-how erforderlich. Frei erhältliche Software und Informationen, die auf dem Arbeitsplatz selbst und im Internet verfügbar sind, genügten. Besonders negativ überraschte die Tatsache, dass die über Wochen andauernden Eindringversuche und Zugriffe offenbar von niemandem bemerkt wurden. Die Verantwortung für die Sicherheit des Behördennetzes trägt die Finanzbehörde. Betreiber fast aller PCs und Server ist jedoch Dataport, eine von den Ländern Hamburg und Schleswig-Holstein gegründete Anstalt des öffentlichen Rechts. Zusätzlich brisant sind die Sicherheitslücken dadurch, dass Dataport als länderübergreifend tätiger Dienstleister auch Daten aus Schleswig-Holstein, Mecklenburg-Vorpommern und Bremen verarbeitet. Daher war es teilweise möglich, auch auf hochvertrauliche Daten dieser Länder von Arbeitsplätzen der hamburgischen Verwaltung aus zuzugreifen. Über die Mängel hatten Lubomierski und Kühn Anfang November die für Dataport zuständige Finanzbehörde informiert. Die habe die Hinweise gern aufgenommen, heißt es; die Datenschutzbeauftragten hatten auch Lösungsvorschläge beigefügt. Sebastian Panknin, Sprecher des hamburger Finanzsenators Michael Freytag, bestätigte die Sicherheitslücken, merkte aber an, dass sie nicht ausgenutzt worden seien. Dataport habe die Lücken inzwischen weitestgehend geschlossen und die ursächlichen Schwachstellen behoben. Panknin betonte in Stellungnahmen gegenüber Medien auch, dass derartige Angriffe nicht von einem externen Rechner außerhalb des Behördennetzes möglich gewesen wären. Gegen Angriffe von außen sei das Netz substanziell geschützt. (dz/c't) Quelle:http://www.heise.de/newsticker/meldung/99146 + Multi-Zitat Zitieren