Kleine Anfrage Datensicherheit und Datenschutz bei Zoll und Bundespolizei

Am 7. Juli dieses Jahres gab die Gruppe „No Name Crew“ bekannt, Server u.a. der Bundespolizei gehackt zu haben. Sie veröffentlichte einzelne Daten und Informationen im Internet, die aus den entsprechenden Angriffen stammen sollen. In den Medien erfolgten daraufhin zum Teil widersprüchliche Meldungen. Insbesondere wurde bekannt, dass möglicherweise auch erhebliches Fehlverhalten seitens der betroffenen Behörden selbst die Angriffe ermöglicht haben könnte. Im Deutschen Bundestag haben daraufhin unabhängig voneinander sowohl die Grünen als auch die Linke Kleine Anfragen gestartet. Inzwischen liegen die ersten Antworten vor.

Am 7. Juli dieses Jahres gab die Gruppe „No Name Crew“ bekannt, Server u.a. der Bundespolizei gehackt zu haben. Sie veröffentlichte einzelne Daten und Informationen im Internet, die aus den entsprechenden Angriffen stammen sollen. In den Medien erfolgten daraufhin zum Teil widersprüchliche Meldungen. Insbesondere wurde bekannt, dass möglicherweise auch erhebliches Fehlverhalten seitens der betroffenen Behörden selbst die Angriffe ermöglicht haben könnte.

Zwischenzeitlich wird von einer internen Auditierung insbesondere der Bundespolizei berichtet. Danach sollen die gesamten Sicherheitsvorkehrungen der Bundespolizei in einem völlig unzureichenden Zustand sein und es fehle u.a. an qualifiziertem Personal.

Im Deutschen Bundestag haben daraufhin unabhängig voneinander sowohl wir Grünen als auch die Linke Kleine Anfragen gestartet. Inzwischen liegen die ersten Antworten auf die Anfrage der Linken vor.

Die Antwort auf unsere Kleine Anfrage vom 24.08.2011 wurde für den  09.08.2011 angekündigt. Die Anfrage umfasst mit mehr als 30 Fragen eine Reihe zusätzlicher Themenfelder und wird hoffentlich eine Reihe zusätzlicher Anhaltspunkte für die Aufklärung der Situation in Sachen IT-Sicherheit und Datenschutz liefern.

Bei der Lektüre der Antworten der Bundesregierung auf die Anfrage der Linken drängen sich aber bereits jetzt eine Reihe von Anschlussfragen auf: So räumt die Bundesregierung beispielsweise ein, dass die Server für den Betrieb des Zielverfolgungssystems PATRAS-Systems als sog. „abgesetzte Systeme im Internet getrennt von den Behördennetzen“ betrieben werden (siehe Vorbemerkung, S. 1). Sie würden als einzelne Rechner im Internet außerhalb der Behördennetze betrieben (so die Antwort auf Frage 6, S. 3).

Hier stellen sich weitere Fragen: Über wie viele weitere solcher abgesetzten Systeme im Internet verfügen Bundespolizei und Zoll? Welche Sicherheitsstandards gewährleisten einen angemessenen Schutz der sensiblen Daten dieser Behörden? Weshalb können und werden diese Systeme außerhalb des Schutzes der offenbar besser abgesicherten Behördennetze betrieben?

Doch auch die Antworten er Bundesregierung zu den Fragen 7. und 8. verursachen Kopfzerbrechen. Einerseits wird zwar eingeräumt, dass die Angriffe Mängel der Datensicherheit ergeben hätten, doch erst die laufenden Untersuchungen könnten den notwendigen Handlungsbedarf aufweisen. Andererseits scheint sich die Bundesregierung zu widersprechen, wenn sie bereits zum jetzigen Zeitpunkt die Ursachen der Mängel konkret auf individuelles Fehlverhalten zurückführt.

Schließlich verwundert auch die kategorische Zurückweisung einer gesetzlichen Erstreckung der datenschutzrechtlichen Informationspflichten auch auf hoheitliche Stellen (Antwort zu Frage 17., S. 7). Der Verweis auf eine für Ende 2012 durchzuführende Evaluation der 2009 eingeführten Informationspflicht für nicht-öffentliche Stellen erscheint vor dem Hintergrund der erheblichen Sicherheitsrisiken auch und gerade staatlicher Netze geradezu fahrlässig.

Vor dem Hintergrund der Antworten der Bundesregierung auf die Kleine Anfrage der PdL sind wir auf die Antworten auf unsere Kleine Anfrage sehr gespannt. Sobald diese vorliegen, werden wir hier darüber berichten.