Damaschkes Daily abonnieren (RSS 2.0)
Spaziergänge im Netzwerk
Als ich vor etlichen Jahren in einer Redaktion arbeitete, in der erstmals im großen Stil ein internes Netzwerk installiert wurde, da bestand eine beliebte Pausenbeschäftigung darin, in frei zugänglichen Verzeichnissen auf dem Server zu stöbern. Das ganze System war einfach zu neu und zu faszinierend, als dass IT-Redakteure damit nicht hätten spielen wollen.
Dabei trieb uns kein böser Wille, sondern simple Neugier. Wir lernten bei unseren harmlosen Streifzügen durch die Serverwelt die Funktionen und Fähigkeiten von Netzwerken kennen. Aber nicht nur das. Wir stolperten auch über Dateien und Informationen, nach denen wir nicht gesucht hatten und von denen wir eigentlich auch gar nichts wissen wollten. So lag in einem Verzeichnis etwa die Gehaltsliste der Nachbarredaktion, in einem anderen konnte man auf den detaillierten Terminkalender samt Adressbuch eines Verlagsmanagers zugreifen.
Denn diese Dateien lagen unverschlüsselt und für jedermann einsehbar auf dem Server herum, man musste sie nur mit einem Doppelklick aufrufen. Einer der Manager hatte sich gar ein Verzeichnis namens “Top Secret” angelegt, das alles anderes als das, nämlich so offen wie ein Scheunentor war und jedem, der wollte, eine reichhaltige Auswahl an vertraulichen Dokumenten bot.
Das ist, wie gesagt, gut 15 Jahre her. Unternehmensweite Netzwerke waren noch eine recht neue Sache, es wurden typische Anfängerfehler gemacht und das Sicherheitsbewusstsein der Mitarbeiter war noch deutlich unterentwickelt.
Das sollte sich seither eigentlich deutlich geändert haben. Sollte. Hat es sich aber wohl nicht. Anders ist das, was zwei Hamburger Datenschutzbeauftragten im Netzwerk der hamburgischen Finanzbehörde herausgefunden haben, wohl nicht zu erklären.
Den beiden Hackern im offiziellen Auftrag gelang es problemlos, auf unzählige vertrauliche, unverschlüsselte Dokumente zuzugreifen: E-Mails, Anträge, persönliche Daten von Asylbewerbern, Steuerpflichtigen und anderen Bürgern und so weiter und so fort. Die Datenschützer konnten zu ihrem Erschrecken in Dokumenten, die sie nichts angingen, lesen wie in einem offenen Buch. Und all das ohne besondere technische Kenntnisse, Tricks oder Spezialwerkzeuge. So schnüffelten sie wochenlang unentdeckt im Behörden-Netzwerk und hätten problemlos praktisch beliebige Schadsoftware installieren können.
Und nicht nur das. Da die Hamburger Behörden ihre Netzwerkoperationen an in ein externes, länderübergreifendes Unternehmen namens Dataport ausgelagert hat, konnte man von einem Rechner im Hamburger Netz auch auf vertrauliche Behördendaten in Schleswig-Holstein, Mecklenburg-Vorpommern und Bremen zugreifen.
Die Reaktionen der Hamburger Verantwortlichen sind kaum mehr als lahme Ausreden: Die Lücken und Fehler seien inzwischen weitgehend (also nicht vollständig!) geschlossen, ein möglicher Angriff sei nur von innen, also von einem Rechner innerhalb der Behörde, möglich gewesen und überhaupt sei ja nichts passiert (woher man das nun allerdings wissen will, ist mir ehrlich gesagt ein Rätsel).
Ehrlich gesagt weiß ich nicht, worüber ich mich mehr ärgern soll: Über den erschreckend schlampigen Umgang mit sensiblen Daten oder über die dummdreiste Reaktion der Verantwortlichen.