Das Sicherheitsrisiko in Behörden wächst. Das zeigt besonders der Hacking-Fall beim Bundesministerium für Gesundheit.
Berlin - Wenn ein Leck nicht in der Fachabteilung sitzt, sitzt es in der IT-Abteilung. Der Gedankengang der Ermittler im Bundesministerium für Gesundheit ist überzeugend. Man hätte aber auch von Anfang an die IT überprüfen können. Nicht, weil Techniker böse Menschen wären. Sondern weil ihre Macht über Informationen fast grenzenlos ist und weil sie dem Schutz der Information distanzierter gegenüber stehen können, als diejenigen, die die Informationen inhaltlich und nicht nur technisch betreuen. Das gilt insbesondere dann, wenn die Loyalität des Technikers ohnehin begrenzt ist, zum Beispiel, wenn Computersysteme von externen Mitarbeitern betreut werden. So war es im Bundesministerium für Gesundheit.
![]()
Das Bundesministerium für Gesundheit hütet besonders sensible Daten.
Der Hack, also die Maßnahme, die notwendig ist, um fremde Daten unter die eigenen Kontrolle zu bringen, hat nämlich stets eine große soziale Komponente. Das kann soweit gehen, dass der gesamte Hack nur als sozialer Trick besteht, zum Beispiel dann, wenn ein vermeintlicher Freund oder Kollege nach einem Computerpasswort gefragt wird.
Oft, und so ist es nach SZ-Informationen auch im Bundesministerium für Gesundheit gewesen, kommt dagegen die Motivation für den Hack aus dem Privatleben, der Zugriff auf die Daten ist dann aber ein technischer, illegaler Eingriff. Der Systemtechniker im Ministerium war extern angestellt, aber seit Jahren am selben Arbeitsplatz beschäftigt. Der Mann aus dem Brandenburgischen soll erst Eheprobleme und dann, als Resultat der Trennung, Geldprobleme gehabt haben.
Für einen Systemtechniker ist es in der Regel kein Problem, an sensible Daten zu gelangen. Erstens, weil Systemtechniker diejenigen sind, die die Server am Laufen halten, und auch jeder noch so gut gesicherte Server braucht einen Techniker, der bei Problemen ohne jede Einschränkung auf ihn zugreifen kann. Datendiebstahl lässt sich am ehesten mit einem Einbruch vergleichen, und der Systemtechniker ist in diesem Bild der Hausmeister, der keinen Dietrich benutzen muss, weil er ohnehin alle Schlüssel für alle Räume an seinem Schlüsselbund trägt. Es ist ihm zwar verboten, damit in den Tresorraum zu gehen, aber wenn er sich schlau genug anstellt, wird er es ein paar Mal schon schaffen, ohne dass er dabei ertappt wird.
Im Bundesministerium für Gesundheit ist Microsoft Outlook das Standard-E-Mail-Programm. Die Software ist weltweit beliebt und gerade deshalb oft Ziel von Attacken. Die einzelnen E-Mails legt Outlook in größeren Unternehmen auf Servern ab. Um einzelne E-Mails als Datei zu speichern, wie es mutmaßlich in den Ministerium passiert ist, reicht es aus, sie auf den Computerdesktop zu ziehen. Ein Systemtechniker kann dies in der Regel für jedes beliebige E-Mail-Konto innerhalb der Organisation, für die er arbeitet, problemlos machen.
Alle Ministerien der Bundesrepublik müssen sich - wie die gesamte Bundesverwaltung - an zahlreiche Richtlinien und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) halten. Viele davon sind in dem Standardschreiben 'Informationstechnik Grundsicherung' zusammengefasst. So werden zum Beispiel der Einsatz speziell zertifizierter Unternehmen empfohlen und Sicherheitsüberprüfungen für Mitarbeiter in sensiblen Bereichen. Welche Voraussetzungen der verdächtige Mitarbeiter im Bundesministerium für Gesundheit erfüllen musste und ob sein Arbeitgeber entsprechend zertifiziert ist, ist bislang nicht bekannt.
Berlin - Wenn ein Leck nicht in der Fachabteilung sitzt, sitzt es in der IT-Abteilung. Der Gedankengang der Ermittler im Bundesministerium für Gesundheit ist überzeugend. Man hätte aber auch von Anfang an die IT überprüfen können. Nicht, weil Techniker böse Menschen wären. Sondern weil ihre Macht über Informationen fast grenzenlos ist und weil sie dem Schutz der Information distanzierter gegenüber stehen können, als diejenigen, die die Informationen inhaltlich und nicht nur technisch betreuen. Das gilt insbesondere dann, wenn die Loyalität des Technikers ohnehin begrenzt ist, zum Beispiel, wenn Computersysteme von externen Mitarbeitern betreut werden. So war es im Bundesministerium für Gesundheit.
Das Bundesministerium für Gesundheit hütet besonders sensible Daten.
Der Hack, also die Maßnahme, die notwendig ist, um fremde Daten unter die eigenen Kontrolle zu bringen, hat nämlich stets eine große soziale Komponente. Das kann soweit gehen, dass der gesamte Hack nur als sozialer Trick besteht, zum Beispiel dann, wenn ein vermeintlicher Freund oder Kollege nach einem Computerpasswort gefragt wird.
Oft, und so ist es nach SZ-Informationen auch im Bundesministerium für Gesundheit gewesen, kommt dagegen die Motivation für den Hack aus dem Privatleben, der Zugriff auf die Daten ist dann aber ein technischer, illegaler Eingriff. Der Systemtechniker im Ministerium war extern angestellt, aber seit Jahren am selben Arbeitsplatz beschäftigt. Der Mann aus dem Brandenburgischen soll erst Eheprobleme und dann, als Resultat der Trennung, Geldprobleme gehabt haben.
Für einen Systemtechniker ist es in der Regel kein Problem, an sensible Daten zu gelangen. Erstens, weil Systemtechniker diejenigen sind, die die Server am Laufen halten, und auch jeder noch so gut gesicherte Server braucht einen Techniker, der bei Problemen ohne jede Einschränkung auf ihn zugreifen kann. Datendiebstahl lässt sich am ehesten mit einem Einbruch vergleichen, und der Systemtechniker ist in diesem Bild der Hausmeister, der keinen Dietrich benutzen muss, weil er ohnehin alle Schlüssel für alle Räume an seinem Schlüsselbund trägt. Es ist ihm zwar verboten, damit in den Tresorraum zu gehen, aber wenn er sich schlau genug anstellt, wird er es ein paar Mal schon schaffen, ohne dass er dabei ertappt wird.
Im Bundesministerium für Gesundheit ist Microsoft Outlook das Standard-E-Mail-Programm. Die Software ist weltweit beliebt und gerade deshalb oft Ziel von Attacken. Die einzelnen E-Mails legt Outlook in größeren Unternehmen auf Servern ab. Um einzelne E-Mails als Datei zu speichern, wie es mutmaßlich in den Ministerium passiert ist, reicht es aus, sie auf den Computerdesktop zu ziehen. Ein Systemtechniker kann dies in der Regel für jedes beliebige E-Mail-Konto innerhalb der Organisation, für die er arbeitet, problemlos machen.
Alle Ministerien der Bundesrepublik müssen sich - wie die gesamte Bundesverwaltung - an zahlreiche Richtlinien und Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) halten. Viele davon sind in dem Standardschreiben 'Informationstechnik Grundsicherung' zusammengefasst. So werden zum Beispiel der Einsatz speziell zertifizierter Unternehmen empfohlen und Sicherheitsüberprüfungen für Mitarbeiter in sensiblen Bereichen. Welche Voraussetzungen der verdächtige Mitarbeiter im Bundesministerium für Gesundheit erfüllen musste und ob sein Arbeitgeber entsprechend zertifiziert ist, ist bislang nicht bekannt.