BMG-Datenaffäre

Ex-IT-Chef des BMG packt aus

, Uhr
Berlin -

Vor dem Landgericht Berlin wird seit Jahresbeginn verhandelt, ob dem Bundesgesundheitsministerium (BMG) Daten geklaut wurden. Bei der Befragung des ehemaligen leitenden IT-Mitarbeiters wurde deutlich, dass das Ministerium zumindest erhebliche Lücken in seiner IT-Sicherheit aufgewiesen hat. Aus Bequemlichkeit der Mitarbeiter wurden weitreichende Zugriffsrechte erteilt, eine eigentliche standardmäßige Protokollierung der Zugriffe erfolgte nicht.

Als Zeuge im Prozess gegen einen ehemaligen IT-Mitarbeiter des BMG und Thomas Bellartz wurde der frühere technische Leiter Infrastrukturbetrieb befragt. Als damaliger Chef des Rechenzentrums sollte er dem Gericht über die Abläufe und Zugriffsrechte im Ministerium berichten und Aussagen aus seiner Vernehmung bestätigen.

Die Systemadministratoren, dazu zählte seinerzeit der Angeklagt H., konnten seiner Aussage zufolge mit einem Standardpasswort auf sämtliche E-Mail-Konten im BMG zugreifen, zum Zwecke der Fernwartung und Problembehebung. Dies galt sowohl für die allgemeinen Postfächer ganzer Abteilungen wie auch für die persönlichen Postfächer der Referenten, Abteilungsleiter, Staatssekretäre und Minister. Insgesamt neun interne, externe oder projektbezogene Mitarbeiter verfügten über diese „höchstmöglichen Rechte, die es überhaupt geben kann“.

Für die Wartung der IT habe das BMG „aus welchen Gründen auch immer kein eigenes Personal eingesetzt“, berichtete der Zeuge, seinerzeit selbst Beamter im Ministerium. Vielmehr habe das BMG zwei externe Firmen beauftragt, von denen sich eine um Probleme der Mitarbeiter mit Microsoft Office kümmerte, „wenn ein Mitarbeiter nicht wusste, wie er ein Wort fett stellt“. Die andere externe Firma, für die auch der Angeklagte H. tätig war, kümmerte sich um den IT-Betrieb.

Eigentlich hätten die ITler PC-Probleme immer im Beisein des betroffenen Mitarbeiters lösen sollen. Doch laut Aussage war es weitaus häufiger der Fall, dass die Systemadministratoren mit dem Problem allein gelassen wurden, weil der betroffene Mitarbeiter zu einem Termin musste oder einfach schon nach Hause gehen wollte.

Die Zugriffe auf den Mail-Server wurden demnach nicht protokolliert und mussten vom betroffenen Mitarbeiter auch nicht genehmigt werden. Solange der ITler keine Mails verschoben oder gelöscht hat, bekam der jeweilige Mitarbeiter den Zugriff überhaupt nicht mit. Eine schriftliche Weisung, wie die Systemadministratoren mit ihren Rechten umzugehen haben, gab es ebenfalls nicht.

Im Juli 2009 gab es eine Anpassung, nach der die Administratoren nicht mehr auf die persönlichen Adressen der Mitarbeiter zugreifen konnten. Technisch hätte man den alten Zustand zwar wiederherstellen können, aber das war laut Zeuge explizit untersagt. Doch im Ministerium gab es Ärger. Weil die externen ITler bei vielen Problemen nicht mehr helfen konnten, beschwerten sich BMG-Mitarbeiter beim Technikreferat Z 15. „Das sorgte für viel unnötigen Ärger.“

Also verschickte er selbst eine „Gebrauchsanweisung“, mit der die Systemadministratoren auf einem anderen Weg doch wieder auf persönliche E-Mail-Adressen zugreifen konnten, mit demselben Nutzernamen und einem gemeinsamen Passwort. Dazu wurde – vereinfacht gesagt – eine temporäre Kopie des Briefkastenschlüssels erstellt. Eine Anweisung oder explizite Beschränkung, unter welchen Umständen solche Zugriffe erfolgen sollten, gab es wiederum nicht.

Der Zeuge war ab 2006 im BMG, ab 2010 bis zu seinem Ausscheiden im Herbst 2016 in der leitenden Funktion. Ihm war früh aufgefallen, dass in Sachen IT-Sicherheit einiges im Argen lag im Ministerium. So seien Passwörter in einer Excel-Tabelle abgelegt gewesen und wer Zugriff zu dieser Datei hatte, „konnte auf einen Schlag alle Passwörter sehen“, so der Zeuge. „Nicht charmant“ und „ein Fiasko“ nannte er diese Sorglosigkeit. Dass diese Dinge bei seinem früheren Arbeitgeber, dem Land Berlin, deutlich besser geregelt gewesen seien, sorgte wiederum bei den Richtern in der Verhandlung kurzfristig für Heiterkeit.

Der IT-Leiter hatte dem Ministerium selbst ein Rechte- und Zugriffskonzept vorgelegt, war damit aber nicht durchgedrungen. Denn die Abteilungen hätten die Rechte intern verteilen und sich beispielsweise selbst um die Ordnerstruktur kümmern müssen. Auf den Hinweis des Richters, dass das doch aber eine zumutbare Aufgabe sei, bemerkte der Zeuge, es habe sich eine gewisse Bequemlichkeit eingeschlichen. Also wurden nur die Punkte aus seinem Plan übernommen, die im Hintergrund und ohne Zutun der Mitarbeiter erledigt werden konnten.

Der Zeuge hatte nach eigenen Angaben auch vorgeschlagen, dass eine Logdatei – also eine Aufzeichnung sämtlicher Prozesse – auf einem externen System geführt werden sollte, auf das die Administratoren keinen Zugriff haben sollten. Das gehöre eigentlich zum Standard, damit der Admin eigene Fehler nicht vertuschen könne. Die neue FDP-Hausführung ab Herbst 2009 habe dann aber andere Themen und keine Leute gehabt.

Er war auch selbst dabei, als bei der Durchsuchung des BMG an H.s Arbeitsplatz ein USB-Stick abgezogen und sichergestellt wurde. Auf diesem befanden sich etwa 4500 Dateien. Der Zeuge kann nicht ausschließen, dass die Dateien für eine Wiederherstellung zwischengespeichert wurden, weil dies ein durchaus übliches Vorgehen war, die Struktur der Daten ließ das aber eher nicht vermuten.

Kopiert wurden laut seiner Aussage mehrere E-Mail-Konten von Mitarbeitern aus den Referaten, Abteilungsleitern bis zu Staatssekretären. Genau konnte sich der Zeuge nicht erinnern. Bei den Ermittlungen wollte das Landeskriminalamt (LKA) alle Mails mit ihm durchsehen, doch nach 3 ½ Stunden habe man die Arbeit aufgegeben, berichtet er. Einen ausführlicheren Bericht seiner Erkenntnisse blieb er dem LKA ebenfalls schuldig. Die bis dahin gewonnen Informationen waren laut Gericht eher spärlich.

Knapp drei Stunden dauerte die Befragung mit Unterbrechungen, dann war der Zeuge entlassen. Seine Aussage wirft kein besonders gutes Licht auf die damaligen Strukturen im BMG. Womöglich wollte das Ministerium deshalb einen Prozessbeobachter in den Gerichtssaal entsenden, was vom Richter aber abgelehnt wurde.

Für das weitere Verfahren könnte das offenbar geringe Sicherheitsniveau im Ministerium von Bedeutung sein: H.s Anwälte hatten schon zu Prozessbeginn darauf hingewiesen, dass technische Hürden überwunden werden müssen, um überhaupt von einem Datendiebstahl im Sinne des Strafgesetzbuchs sprechen zu können. Am 2. Februar wird der Prozess fortgesetzt.

Newsletter
Das Wichtigste des Tages direkt in Ihr Postfach. Kostenlos!

Hinweis zum Newsletter & Datenschutz

Mehr aus Ressort
Podcast NUR MAL SO ZUM WISSEN
Lauterbach, der Apotheken-Messias

APOTHEKE ADHOC Debatte