"Vertraulich!" steht ganz oben auf dem Dokument der Großen Kreisstadt Rheinstetten. Darunter der Satz: "Die nachstehenden Angaben dürfen weder in öffentlicher Sitzung zitiert noch der Öffentlichkeit auf sonstige Art und Weise zugänglich gemacht werden." Es geht um viel Geld. Kein Unbefugter soll das geheime Sitzungsprotokoll zu Gesicht bekommen. Doch mit einem einfachen Trick kann jeder das elektronische Dokument lesen. Denn es ist so schlecht geschützt, als hätte man es an einer Litfaßsäule aufgehängt.

In dem Protokoll geht es um einen Bach, der saniert werden soll. Die Gemeinde hat den Auftrag ausgeschrieben, drei Firmen haben sich darum beworben. Ihre Angebote unterscheiden sich um mehrere Zehntausend Euro. Welches Unternehmen wie viel geboten hat, darf nicht publik werden, sonst könnten die anderen Firmen gegen das Verfahren klagen.

Doch wer die Angebote sehen will, braucht nur etwas Geduld. Man muss einfach irgendein öffentliches Papier an seinem Bildschirm aufrufen und dann die Dokumentennummer in der Adresszeile des Browsers ändern. Wer lange genug mit diesen Nummern spielt, stößt auch auf Unterlagen, die nicht für die Öffentlichkeit bestimmt sind.

Rheinstetten hat das vertrauliche Angebot für die Bachsanierung umgehend aus dem Netz genommen, als ZEIT ONLINE die Gemeinde darauf hinwies. Es sei ein Bedienungsfehler gewesen, sagt Oberbürgermeister Sebastian Schrempp.

Bloß ein Bedienungsfehler?

Die betroffene Software ist ein sogenanntes Ratsinformationssystem. Zusammen mit dem IT-Sicherheitsanalysten Martin Tschirsich hat ZEIT ONLINE in den vergangenen Wochen viele solcher Systeme von Kommunen in ganz Deutschland untersucht. Das Ergebnis ist erschreckend: Immer wieder fanden sich streng vertrauliche Informationen, die kaum bis gar nicht vor unbefugtem Zugriff geschützt waren. 

Ob Sitzungsprotokolle, Tagesordnungen, Ausschreibungsverfahren, Beschlüsse – Kommunalpolitik und Verwaltung sind längst digitalisiert. Jede Akte im Rathaus, jede Information über die Bürger wird in Datenbanken gespeichert. Die sind anfällig für digitale Angriffe. Doch viele Städte und Gemeinden unterschätzen oder ignorieren das Risiko gehackt zu werden, ebenso wie viele Hersteller solcher Ratsinformationssysteme.

Berlin, Darmstadt, Rheinstetten, Philippsburg sind nur einige der Orte, in deren Systemen ZEIT ONLINE mithilfe Tschirsichs Sicherheitslücken fand. Egal ob Dorf oder Großstadt: Eine Mischung aus fehlender Risikowahrnehmung, schlecht programmierter Software und Fahrlässigkeit ist offensichtlich Alltag in vielen Rathäusern. Sie führt dazu, dass die Lokalpolitik in Deutschland sehr viel transparenter ist, als sie sein sollte. Mancherorts gefährlich transparent.

Eingeloggt als Brigitte Zypries

Brigitte Zypries ist Bundeswirtschaftsministerin. Das ist aber nicht ihr einziges politisches Amt. Zypries ist auch Mitglied der Stadtverordnetenversammlung in Darmstadt, wo sie ihren Wahlkreis hat. Als Stadtverordnete besitzt sie einen Zugang zum Darmstädter Parlamentssystem. Um sich dort einloggen zu können, hat sie vor langer Zeit ein sechsstelliges Standardpasswort erhalten. Offenbar hat Zypries ihren Account nie genutzt. Jedenfalls wurde das Passwort nicht geändert. Das Problem: Zumindest die Standardpasswörter wurden in der Datenbank des Systems so schlecht verschlüsselt, dass sich aus ihnen problemlos wieder Klartext-Passwörter machen ließen. Das Parlamentssystem hatte noch dazu Lücken, die es erlaubten, die verschlüsselten Passwörter auszulesen. So wäre es möglich gewesen, sich in Darmstadt unter Zypries Namen anzumelden und dann sogar "streng vertrauliche" Dokumente einzusehen.

Wirtschaftsministerin Zypries äußerte sich dazu nicht. Immerhin aber reagierte der Hersteller des Programms, die more Software GmbH aus Selters, sofort, als sie von ZEIT ONLINE mit dieser Beobachtung konfrontiert wurde. Man habe die Komplexität der Einmalpasswörter angehoben und nutzte für die interne Speicherung der Passwörter nun eine sehr viel sicherere Verschlüsselungsvariante. Alle Kunden seien über die Änderungen informiert worden. "Wir haben den Kunden ausdrücklich empfohlen, das Update nach Bereitstellung einzuspielen", sagt Geschäftsführer Thomas Franz.

Auch im Berliner Politikverwaltungssystem sorgt eine Mischung aus schlechter Programmierung und fahrlässiger Anwendung dafür, dass es transparenter ist als gedacht. Das Programm namens Allris, das Berlin und laut Eigenwerbung "mehr als 400 Institutionen in Deutschland" einsetzen, löst keinen Alarm aus, wenn sich derselbe Benutzer gleichzeitig von zwei verschiedenen Rechnern aus anmeldet. Eigentlich sollte so etwas unmöglich sein. Doch das Politikinformationssystem meldet nicht, wenn es attackiert wird. Die Berliner Bezirksverordneten, die es für ihre tägliche Arbeit brauchen, würden es dadurch nicht einmal mitbekommen, wenn jemand ihren Benutzernamen und ihr Passwort missbrauchte.

Viele ändern das Standardpasswort nicht

Noch schlimmer ist, dass es kaum Mühe bereitet, an die Log-in-Daten einer ganzen Reihe von Bezirksverordneten zu gelangen. Wie Ministerin Zypries haben viele von ihnen nie das Standardpasswort geändert. Sie bekamen es zwar von der Verwaltung mit der Bitte geschickt, sogleich ein eigenes Passwort zu erstellen, aber längst nicht alle haben das auch getan. Außerdem speicherte Allris solche Standardpasswörter im Klartext in der Datenbank, wo sie durch Angreifer ausgelesen werden können. So kann jeder, ein solches Standardpasswort kennt, viele verschiedene Accounts gleichzeitig missbrauchen.

Allris unterstütze selbstverständlich sichere Anmeldeverfahren und komplexe Passwörter, schreibt der Entwickler, die CC e-gov GmbH. Für die Vergabe von Kennwörtern seien allerdings die Kunden zuständig. Sämtliche Probleme, die Tschirsich gefunden habe, seien jedoch umgehend beseitigt worden.

"Es gab nie eine Sicherheitseinweisung für mich", sagt Tobias Wolf, Mitglied in der Bezirksverordnetenversammlung des Berliner Bezirks Friedrichshain-Kreuzberg. Die Verwaltung interessiere sich vor allem für den Datenschutz, nicht für Datensicherheit. "Wir mussten unterschreiben, dass unser Geburtsdatum veröffentlicht werden darf, aber es gab keinen Hinweis, dass man ein sicheres Passwort wählen soll."

Nach einem entsprechenden Hinweis von Wolf reagierte auch hier die Verwaltung. Das gleiche Standardpasswort für alle wurde inzwischen abgeschafft. Sämtliche Passwörter des Systems wurden zurückgesetzt, jeder Bezirksverordnete in Friedrichshain-Kreuzberg bekommt nun automatisch eine individuelle, automatisch erzeugte Passphrase. Der Bezirk will dieses Vorgehen auch allen anderen Bezirksverordnetenversammlungen in Berlin empfehlen.

Doch wieso ist es überhaupt möglich, dass allerorten Verwaltungssysteme so durchlässig sind? Software ist teuer. Weil jede Kommune sie eigenständig beschaffen und bezahlen muss, soll sie viele Jahre lang funktionieren. Digitale Technik veraltet jedoch schnell. Es sei daher "gar kein Kunststück", die meisten Programme, die auf der hauseigenen Technik der öffentlichen Verwaltung laufen, mit dem heutigen Wissen auseinanderzunehmen, sagt der IT-Leiter einer Gemeinde, der lieber anonym bleiben möchte.

Im Trabant gibt es auch keinen Airbag

Viele dieser Programme seien vor geraumer Zeit entwickelt worden, sagt der IT-Leiter. "Ebenso gut könnte man in einem Trabant nach Airbags oder einem Antiblockiersystem suchen." Außerdem gebe es nicht genug Softwarehersteller, um die in die Jahre gekommenen Programme durch IT-schutzkonforme Versionen zu ersetzen, sagt er. "Wir brauchen dringend junge Programmierer, die die Tücken und Besonderheiten des Webs beherrschen, die Bock darauf haben und die entsprechend bezahlt werden, um für das offensichtlich unspektakuläre Gebiet kommunale IT neue Software zu schreiben, die allen Belangen gerecht wird."

Hinzu komme, sagt der IT-Leiter, dass Kommunen unter dem Begriff Sicherheit im Digitalen per Gesetz etwas ganz anderes verstünden, als der Bürger erwarte. Viele Aufgaben in Kommunen müssten revisionssicher bearbeitet werden, jeder Vorgang bei späteren Kontrollen nachvollzogen werden können. Darauf liege der Fokus, nicht auf Angriffen von außen. Als derartige Angriffe zu einem realen Gefahrenszenario wurden, sei die bestehende Software oft nur nachgerüstet, nicht aber neu geschrieben worden. In praktisch allen kommunalen Programmen seien "sicherheitsrelevante Probleme" zu finden. "Neuentwicklungen wären der richtige Schritt."

Wenn "funktionsunfähige Informationssysteme" aber dazu führten, dass der Staat seinen Aufgaben nicht nachkommen könne, werde "das Vertrauen der Bürger und Unternehmen in die Integrität des digitalen Staates erschüttert", heißt es im aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland. Informationssysteme seien daher "zu kritischen Infrastrukturen für das Gemeinwesen geworden". Diese Einschätzung hat sich allerdings noch nicht bis in jede Kommune herumgesprochen. In nahezu allen Ratsinformationssystemen fand Sicherheitsfachmann Tschirsich solche und viele weitere Schwachstellen.

Tschirsich hatte jüngst gezeigt, dass die für die Bundestagswahl verwendete Software gefährliche Lücken hat. Das hatte bei ihm die Sorge geweckt, auch andere Computerprogramme der öffentlichen Hand könnten unsicher sein.

In Deutschland teilen sich eine Handvoll Unternehmen den Markt für kommunale Verwaltungsprogramme. Es sind vor allem mittelständische Firmen, manche privat, andere von Städten und Gemeinden ausgegründet. Tschirsich hat etwa zehn Programme verschiedener Entwickler analysiert, die zusammen den größten Teil aller deutschen Kommunen versorgen: "Ich habe überall Schwachstellen gefunden, bei allen Herstellern."

Datenschützer fordern Vieraugenprinzip

Nicht alle Probleme sind gleich gefährlich. Manche erlauben lediglich einen vergleichsweise harmlosen Einblick in Unterlagen, die letztlich ohnehin im Internet veröffentlicht werden.

Manche – wie die Ausschreibung in Rheinstetten – entstehen durch Fehler der Personen, die die Software bedienen. Doch auch das spricht gegen die Software. Denn die versehentlich veröffentlichten Dokumente können nur gefunden werden, weil die Software zulässt, dass sich jemand durch alle URLs klickt. Außerdem scheint es solche Fehler an vielen Orten zu geben, ZEIT ONLINE fand in verschiedenen Gemeinden vertrauliche Sitzungsprotokolle, Ausschreibungsunterlagen und zum Teil auch Beschlüsse zur Beförderung von namentlich genannten Beamten. Immerhin aber gelangten nicht gleich Gigabyte geheime Daten ins Netz.

Seit Jahren warnen Datenschützer vor genau solchen Pannen bei Ratssystemen. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein beschrieb mehrere solcher Fälle bereits 2010 in seinem Tätigkeitsbericht. Die Datenschützer forderten daher von den Gemeinden: "Bei Einstellung von Dokumenten ins Internet sollte in jedem Fall das sogenannte Vieraugenprinzip gelten."

Manche Lücken eignen sich jedoch dazu, von dort aus in die gesicherten Datennetze der Kommunen einzubrechen und erlauben es, bis zu KfZ-Anmeldungen oder Personalausweisunterlagen vorzudringen. Teilweise wäre es Tschirsich sogar möglich gewesen, sich als Administrator anzumelden. Dann hätte er Dokumente nicht nur sehen, sondern auch manipulieren können.

Tschirsich ist nicht der erste, der zu solchen Ergebnissen kommt. Der Landtag von Nordrhein-Westfalen hatte 2014 – aufgeschreckt durch die Enthüllungen Edward Snowdens – eine Firma damit beauftragt, die Sicherheit der öffentlichen IT in den Gemeinden des Landes zu testen. Der Bericht der Analysten liest sich wie eine Kapitulationserklärung: "Die allgemeine Sicherheitslage in der öffentlichen Verwaltung ist kritisch", lautet der erste Satz. Denn in fast allen untersuchten Kommunen sei es gelungen, innerhalb weniger Stunden "ohne Insiderkenntnisse einen vollständigen Zugriff auf alle relevanten Systeme" zu bekommen. Nicht einmal Profis brauche es dazu, selbst "Hobby-Hacker" könnten die mangelhaften Sicherheitsmaßnahmen überwinden – wenn es denn überhaupt Sicherungen gebe. Oft seien selbst "einfachste Sicherheitsmaßnahmen" nicht umgesetzt.

Monatelang unentdeckt

Die IT-Analysten konnten Personenregister einsehen und verändern, sie konnten Daten der Ordnungsämter, der Finanzverwaltungen und sogar Alarmierungs- und Leitsysteme der Feuerwehr manipulieren. Ihre Einbrüche blieben Wochen und teilweise sogar mehrere Monate lang unentdeckt.

Die Gefahren, die dadurch entstehen, sind längst nicht mehr theoretisch. Daten der Verwaltung sind interessant für Kriminelle, aber auch für jeden, der Chaos stiften und Menschen verunsichern will. Erste Angriffe gibt es bereits. 2015 versuchten Unbekannte, sich in Rheinland-Pfalz Zugang zu den Anmeldedaten der KfZ-Zulassungsstelle zu verschaffen. Ihr Einstiegspunkt war die Website, auf der jeder nach seinem Wunschkennzeichen suchen kann. Die Software dafür war schlecht programmiert, sie erlaubte eine sogenannte SQL-Injection.

SQL ist der Name einer Programmiersprache, mit der große Datenmengen aus Datenbanken ausgelesen und in Datenbanken geschrieben werden. Ist eine Datenbank wie die für die rheinland-pfälzischen Wunschkennzeichen mit dem Internet verknüpft, versuchen Angreifer, über den Browser bestimmte Befehle einzuschleusen – daher der Ausdruck Injection, Einspritzung. Lässt die Programmierung das zu, wirft die Datenbank Ergebnisse aus, die eigentlich nicht zugänglich sein sollten. Es ist der wohl häufigste Angriffsweg auf Daten, die über das Internet zugänglich sind. Entwickler solcher Datenbanken wissen das selbstverständlich und blockieren normalerweise entsprechende Befehlseingaben. Doch die Angreifer denken sich immer neue Befehlskombinationen aus. Wird keine sichere Programmbibliothek benutzt, die diese Befehle blockiert, wird die Datenbank anfällig.

Tschirsich fand in diversen Städten Lücken für SQL-Injections, sieben der untersuchten Hersteller ließen Angriffe auf die Datenbanken der von ihnen betreuten Gemeinden zu. Manche dieser SQL-Lücken sind dabei so alt, dass sie als historisch gelten dürfen. Trotzdem waren sie in den kommunalen Systemen nicht geschlossen worden.

Die zweite typische Angriffsart im Internet, das sogenannte Cross Site Scripting, funktionierte sogar bei den Programmen aller Hersteller. Dabei wird nicht die Datenbank auf dem Server, sondern der Browser selbst angegriffen, um mehr Informationen zu erlangen als eigentlich vorgesehen. Da alle Ratssysteme über den Browser genutzt werden, um von jedem Rechner aus erreichbar zu sein, müssen die Entwickler auch diesen Angriffsweg immer wieder prüfen und blockieren.

Bund kann Kommunen nicht helfen

Natürlich gibt es Vorgaben, welche Sicherheitsstandards öffentliche Stellen installieren müssen, sie stehen beispielsweise in den "Leitlinien für die IT-Sicherheit in der öffentlichen Verwaltung". Es gibt auch den IT-Planungsrat, der solche Vorgaben schreibt. Doch sie gelten unmittelbar nur für die Verwaltung des Bundes und für den Datenaustausch zwischen Bund und Ländern. Der Föderalismus verhindert, dass sich der Bund in das Handeln der Kommunen einmischt. Nur die Länder dürfen den Städten und Gemeinden Vorgaben machen. Manche tun es, manche nicht.

Berlin versucht gerade, sein digitales Sicherheitsproblem in den Griff zu bekommen. Das Projekt heißt BerlinPC und wurde 2013 beschlossen. Alle Arbeitsplätze in den Ämtern der Stadt sollen einen standardisierten Rechner bekommen. Von 2018 an dürfen alle Behörden des Landes Berlin nur noch diese Rechner anschaffen. Ein fahrlässiger Umgang mit Passwörtern lässt sich auf diese Art jedoch auch nicht ausschließen. Genauso wenig wie die Tatsache, dass sich Übelmeinende Zugang zu schlecht programmierter Software verschaffen, die gar keine Sicherheitsmechanismen enthält.

Papierakten wird es bald nicht mehr geben

Daher braucht es vor allem mehr Verständnis für die Gefahren. Das ist bislang nicht immer selbstverständlich. Die betroffenen Gemeinden wurden vor Veröffentlichung dieses Artikels über die Probleme informiert. Alle hier beschriebenen Lücken sind geschlossen worden. Tschirsich kontaktierte auch die Hersteller der Software und zeigte ihnen die von ihm gefundenen Probleme. Deren Reaktion war allerdings nicht immer professionell. Die konkret benannten Fehler wurden schnell behoben. Doch das bedeutet nicht, dass die Firmen in jedem Fall anschließend auch die übrigen Käufer ihrer Software warnten. Und selbst wenn ein Update der Software geschrieben und an alle verteilt wurde, ist das keine Garantie dafür, dass es auch alle Gemeinden in ihre Systeme einspielen.

Die Kommunen argumentieren gern, alle Akten würden parallel immer auf Papier abgelegt. Es gebe also immer ein sicheres Original von jedem Dokument. Im Zweifel könne man so jeden Fehler bemerken und berichtigen. Doch abgesehen von der Mühe, die eine solche Fehlersuche macht: Wie lange ist das noch so?

Berlin beispielsweise arbeitet seit 2011 daran, eine vollständig elektronische Akte einzuführen. Wie bei allen großen Projekten in der Hauptstadt wird das garantiert noch dauern. Trotzdem wird es irgendwann keine Papierakten mehr geben. Dann werden alle darauf vertrauen müssen, dass die digitalen Daten der Verwaltung korrekt und sicher sind.

Mehr zu den Problemen mit Ratsinformationssystemen finden Sie auch hier bei Netzpolitik.

Haben Sie Informationen zu diesem Thema? Oder zu anderen Vorgängen in Politik und Wirtschaft, von denen die Öffentlichkeit erfahren sollte? Wir sind dankbar für jeden Hinweis. Dokumente, Daten oder Fotos können Sie hier in unserem anonymen Briefkasten deponieren.