Podcast "digital Leben"2021: IT, Corona, Datenschutz und Hacker

Die eine hatte mit einem Hackerangriff und einem Katastrophenfall zu tun, der andere kämpft auch in Corona-Zeiten für den Datenschutz und die andere hatte in diesem Jahr mir der IT an Schulen und in Impfzentren ordentlich zu tun. MDR SACHSEN-ANHALT über drei Sachsen-Anhalter und ihr digitales 2021.

Mit "ganz viel Adrenalin und Fragezeichen im Kopf" denkt Sabine Griebsch an den 6. Juli zurück, an dem der Landkreis Anhalt-Bitterfeld von kriminellen Hackern erpresst wurde. Als Chief Digital Officer sollte sie sich eigentlich um die Digitalisierung der Verwaltung kümmern – im Katastrophenfall hat sie die Technische Einsatzleitung übernommen. Sie war quasi für das "organisatorische Chaos zuständig", sagt sie im MDR SACHSEN-ANHALT Podcast "digital Leben".

"Zuerst lief bei einem Mailserver die Synchronisierung nicht mehr. Am nächsten Tag rief das Amt für Brand-, Katastrophenschutz und Rettungswesen an und sagte, auf ihrem Laufwerk seien verschlüsselte Dateien." Der Vorfall hätte sich über mehrere Tage gezogen. Höhepunkt: das Ausrufen des Katastrophenfalls. Spätestens am zweiten Tag sei Griebsch das Ausmaß bewusst geworden, "als bei einem Administrator, bei dem alle Sicherheitsanforderungen beachtet wurden, der Rechner verschlüsselt war."

Per Hausdurchsage wurden die Mitarbeiter in allen Standorten der Verwaltung informiert, Rechner, Drucker und alle mit dem Internet verbunden Geräte auszustellen. Nicht nur kurz, sondern auf unabsehbare Zeit.

"Sagen wir mal so: Die Behörde funktionierte noch, das Telefon und das Fax hat funktioniert und das bedeutete, dass die Leute mit Stift und Papier weiterarbeiten mussten." Die gravierendste Folge war, dass der Landkreis befürchtete, keine Sozialleistungen mehr zahlen zu können. "Als erstes haben wir uns mit der Sparkasse in Verbindung gesetzt und uns angeschaut, was wir den Leuten im letzten Monat ausgezahlt haben."

Alle Rechner werden seitdem neu aufgesetzt. Wann alles wieder zu 100 Prozent läuft, kann wohl niemand sagen. "Beim Wiederaufbau setzen wir den BSI-Grundschutz jetzt sehr strikt um und achten darauf, dass die Nutzer nicht mehr so viele Rechte haben", sagt Griebsch.

Dass man die Erpresser bezahlen wollte – das stand nie zur Debatte. "Die öffentliche Hand kann und will nicht das Lösegeld zahlen, mit denen die Kriminellen den nächsten Angriff finanzieren."

Hilfe sei vom BSI (Bundesamt für Sicherheit und Informationstechnik) und von der Bundeswehr gekommen. Es hätte auch sehr viel Unterstützung von anderen Landkreisen und Städten und von kreisangehörigen Städten und Gemeinden gegeben, die Personal zur Verfügung hätten stellen können. "Ganz ehrlich: Die Hilfe der Verwaltungen untereinander hat ganz wunderbar funktioniert. Das kann der Steuerzahler aber auch erwarten", sagt Griebsch.

Der Fall habe ein grundsätzliche Problem aufgezeigt, meint Sabine Griebsch. "Das betrifft nicht nur die Landkreisverwaltung. Es betrifft alle Verwaltungen." Deshalb habe man ein Expertengremium gegründet, um das Problem ganzheitlich anzugehen.

Im ersten Moment sei sie stocksauer gewesen, weil sie wusste, dass die die nächsten Monate nonstop damit zu tun haben wird. Aber schockiert war Sabine Griebsch nie: "Das ist einfach der normale Lauf der Dinge: ein Sicherheitsvorfall, den man letztlich bearbeitet. Der kam zwar jetzt zum ersten Mal in dieser Größe vor, aber es wird nicht der letzte in der öffentlichen Verwaltung gewesen sein." 

Auf der Internetseite des Landesdatenschutzbeauftragten liest es sich lapidar: "Bis zur Bestellung eines Nachfolgers wird der Landesbeauftragte für den Datenschutz durch den Direktor der Geschäftsstelle vertreten. Für die Dauer der Vertretung hat der Direktor der Geschäftsstelle die Befugnisse des Landesbeauftragten für den Datenschutz inne." Für den Direktor Albert Cohaus ist es alles andere als lapidar: Seit dem der ehemalige Landesdatenschützer Harald von Bose Ende 2020 ausgeschieden ist, fehlt nicht nur ein Chef der Behörde, sondern auch eine Arbeitskraft.

Und weil eine Stelle unbesetzt ist, arbeiten gerade 28 statt 30 Mitarbeiter bei ihm. Gutachten haben mehrfach festgestellt, dass die Behörde seit der Einführung der Datenschutzgrundverordnung 54 Stellen bräuchte. Genehmigt hat die Landesregierung sie bislang nicht.

"Wir haben ja neue Aufgaben durch die Datenschutzgrundverordnung bekommen, und manche Aufgaben, wie zum Beispiel die Sensibilisierung der Bevölkerung, insbesondere von Jugendlichen und jüngeren Menschen, können wir überhaupt nicht wahrnehmen", sagt Albert Cohaus im MDR SACHSEN-ANHALT Podcast "digital Leben".

Und Cohaus formuliert ungewöhnlich deutlich: Jetzt sei wieder ein Jahr rum und es gäbe immer noch keinen Landesbeauftragten für den Datenschutz. "Wenn bis zum 17. März kein neuer gewählt wird, haben wir die Stelle praktisch für eine komplette Amtszeit nicht regulär besetzt. Das ist symbolisch ein verheerendes Bild." Es sei äußerst schade, dass der Landtag nicht in der Lage war, eine Personalentscheidung zu treffen. "Man hat den Eindruck, dass dieses Amt und diese Aufsichtsbehörde einen sehr geringen Stellenwert in der politischen Szene hat."

Zumal die Arbeit in diesem Jahr enorm war: Cohaus amtiert nicht nur als Landesdatenschutzbeauftragter sondern auch als der Pressesprecher der Behörde und Sachsen-Anhalt hatte in diesem Jahr den Vorsitz der Konferenz der Informationsfreiheitsbeauftragten. Weil die nur virtuell stattfand, war die Organisation überschaubar sagt Cohaus und lobt seine Mitarbeiter.

Aber die für 2021 fälligen Tätigkeitsberichte würden sich weiter verzögern. Dringender waren da vermutlich die Datenschutzhinweise zum Home-Office, die die Datenschützer zusammengestellt haben. "Wir wollen vorbeugen oder zumindest die Chance geben, dass man sich informiert, um nicht selber Opfer eines Hacker-Angriffs zu werden."

Wenn Behörden oder Minister Facebook-Seiten betreiben, das Bildungsministerium Schüler per TikTok oder Instagram zur Impfung aufrufen will oder das Land zum Beispiel die Luca-App kauft, dann erfährt der Landesdatenschutzbeauftragte das vor allem aus den Medien. "Ich kann mich nicht erinnern, dass wir vorab gefragt wurden, sondern wir haben das entweder aus Beschwerden oder aus der Presse erfahren", sagt Cohaus im MDR SACHSEN-ANHALT Podcast "digital Leben" und fügt hinzu: "Die Rechtslage hat ja nicht der Landesbeauftragte geschaffen, sondern das Europäische Parlament, der Landtag oder Bundestag."

Zur TikTok und Instagram-Idee aus dem Bildungsministerium sagt er deshalb deutlich: "Ich frage mich, was der behördliche Datenschutzbeauftragte im Ministerium seiner Ministerin geraten hat oder ob er wie so häufig gar nicht gefragt worden ist." Wenn Behörden Facebook-Seiten oder Instagram-, Youtube-, Telegram- oder TikTok-Kanäle betreiben, können sie den Datenschutz der Nutzer nämlich gar nicht sicherstellen, wie es die Datenschutzgrundverordnung vorschreibt. Denn sie wüssten gar nicht, was amerikanische oder chinesische Konzerne mit den Daten machen. "Nach der Datenschutzgrundverordnung müssen sie aber über ihre Datenverarbeitung Rechenschaft und Auskunft geben können, welche Daten sind erhoben und was ist damit gemacht worden."

Außerdem hätte der Europäische Gerichtshof festgestellt, dass Daten von EU-Bürgerinnen und Bürgern nicht in ein Land übertragen werden dürfen, wenn dieses Land ein schwächeres Datenschutzniveau als die EU hat. Das gelte für US-amerikanische und chinesischer Unternehmen, die mit den Daten Geld verdienen. "Kostenlosen Käse gibt es nur in der Mausefalle", zitiert Cohaus deshalb ein Sprichwort.

Über zu wenig Arbeit kann auch Martina Müller in diesem Jahr nicht klagen: Ihr Hauptjob ist es, sich um die IT an den Schulen zu kümmern, für die der Landkreis Harz zuständig ist. Und dabei setzt Müller auf Open Source. "Wir haben inzwischen 30 Schulen mit Linux-Betriebssystem ausgestattet. Das ist ein Riesenschritt."

Und in der Pandemie haben Müller und ihre Kolleginnen und Kollegen auch das Impfzentrum aufbauen müssen. "Beides ist sehr anspruchsvoll. Das Impfzentrum aufzubauen hat riesig Spaß gemacht. Es musste innerhalb von zwei Wochen stehen. Alle haben zusammengehalten und gemeinsam gearbeitet", sagt Müller. Nur so sei die Herausforderungen zu bewältigen gewesen. Allein im Impfzentrum hätte ihr Team da zwei Kilometer Kabel verlegt.

Auch im Impfzentrum hat Müller Wert auf Open Source Software gelegt – so weit wie möglich, denn die Software zur Terminvergabe kam zentral vom Land. "Aber die Telefonanlage und die Firwall in unserem Impfzentrum ist Open-Source-basiert."

Das sei viel Arbeit gewesen: beim Aufbau habe man von halb sechs morgens bis 10 Uhr abends gearbeitet. "Eine einmalige Chance, die ich immer wieder annehmen würde."

Nur sagt Müller auch: Die Software zur Terminvergabe, die das Land am Anfang bereitgestellt habe, sei eine Katastrophe gewesen: "Der Impfstoff war sehr knapp. Und diese Terminsoftware hat zu Beginn die Termine doppelt vergeben. Die Menschen standen vor unserer Tür, hatten gültige Terminbestätigung und wir wussten nicht, was wir tun sollen."

Außerdem sei die Terminsoftware unnötig kompliziert gewesen und die Menschen seien an der Hotline teilweise falsch beraten worden. Das hätte einige Nerven gekostet. Ältere Menschen hätten die Termine praktisch nicht ohne die Hilfe ihrer Kinder oder Enkelkinder bekommen können.

Dabei hätte es auch für die Terminsoftware eine Open-Source-Lösung gegeben: "Ich hätte es gern selbst gemacht. Aber wir haben uns auf die zentrale Lösung verlassen und deshalb keine Mitarbeiter dafür bereitgestellt."  Martina Müller sagt, sie hätte damals eine sehr lange E-Mail ans Gesundheitsministerium geschrieben, warum sie diese Lösung nicht gut findet. "Aber dann war sie ja nun mal da. Und ich wollte auch nicht mehr diskutieren."

Anders als in anderen Landkreisen gab es im Landkreis Harz auch Kommunen, die die Über-70 oder Über-80-Jährigen angeschrieben hätten. "Das war eine Riesenerleichterung für die Menschen." Nur was offenbar technisch nirgendwo in Deutschland möglich ist: Die Menschen nach sechs Monaten automatisch zur Booster-Impfung anzuschreiben. "Das geht nicht. Wir nutzen zur Impfdokumentation eine Landeslösung und die ist dafür nicht ausgelegt."

Die Software sei wohl ursprünglich entwickelt worden, um in Krankenhäusern zu dokumentieren, welcher Patient welchen Fragebogen für Operationen oder Untersuchungen schon ausgefüllt hat. "Dadurch sind in der Datenbank keine Patienten hinterlegt, sondern jeder Patient ist ein Dokument und man kann die auch nicht verknüpfen."

Seit November ist das Impfzentrum nun wieder geöffnet, nachdem es sieben Wochen vorher leer geräumt wurde. Die Wiedereröffnung ging dieses Mal flott: "Von Mittwoch bis Sonntagabend, und das Impfzentrum stand wieder", sagt Müller im MDR SACHSEN-ANHALT-PODCAST "digital Leben". Müller meint zwar, man habe die Entwicklung der Pandemie unterschätzt, aber im Sommer hätte das Impfzentrum manchmal weniger als 100 Impfungen am Tag gegeben. "Und dafür war das ganze Personal nicht mehr gerechtfertigt: Schwestern, Lageristen, Ärzte, die den ganzen Tag bezahlt werden. Wenn dann nur 100 Leute geimpft werden, ist das zu wenig." Und so hat Müller für fast zwei Monate die Systeme für die 30 Rechner im Impfzentrum wieder abgebaut.

An Schulen hat sie es mit deutlich mehr Geräten zu tun: "Da betreuen wir ungefähr 10.000 Geräte." PC, Laptops, Tablets von Schülerinnen und Schülern und von Lehrkräften.

Die Vergabe der Geräte für Lehrkräfte ist aber schief gelaufen, sagt Müller. "Die Notebooks haben den falschen Chipsatz und können gar nicht mit dem neuen Windows 11 betrieben werden. Außerdem wurden die Geräte direkt an die Schulen geliefert." Das ist ein Problem, weil die Geräte zum Beispiel nicht verschlüsselt sind. Um die Daten der Schüler zu schützen dürften Lehrkräfte damit eigentlich nicht arbeiten. "Uns fehlt jetzt die Zeit, von Schule zu Schule zu fahren und die Geräte einzusammeln, sie fit zu machen und wieder zurückzufahren. Das hätte anders laufen können."

Zum Beispiel wie bei den Geräten für Schülerinnen und Schüler. "Da fand ich die Zusammenarbeit mit dem Land gut. Man konnte wählen, ob man eigene Geräte kauft oder zentral übers Land bestellt." Und bei diesen Geräten konnte Martina Müller dann auch Open-Source-Betriebssystem einsetzen.

Open-Source-Software hätte in diesem Jahr auch einer Berufsschule im Landkreis geholfen. Dort kam ein Computervirus über eine Microsoft-Anwendung ins System und hat das IT-Team viel Arbeit gekostet. "Wir mussten die Berufsschule zeitweise vom Netz nehmen, weil sie massenhaft Spam versendet hat. Das war nicht schön. Aber wenn die Schule schon auf Open-Source-Produkte umgestellt gewesen wäre, hätte es diese Sicherheitslücke nicht gegeben."

Alles in allem hat Martina Müller den Eindruck, dass die Land bei IT in Schulen Leuchtturmprojekte umsetzt, die aber mit der Realität mitunter nichts zu tun haben. "Man weiß, diese Lösungen funktionieren in dem Leuchtturm, aber es findet keine Zusammenarbeit mit anderen Schulen statt. Und am Ende sind es sehr teure Lösungen."

Sie hofft auf den Digitalpakt Schule, mit dem Schulträger jetzt auch Administratoren beschäftigen und weiterbilden können. Und Müller glaubt, dass es in Verwaltungen sehr viele Menschen gibt, die extrem motiviert sind und gern mehr tun würden. Auch deshalb – und wegen ihrer Erfahrungen von 2021 – bleibt Martina Müller zuversichtlich: "Der Zusammenhalt in den Teams war immer super. Da kommt man gern zur Arbeit und nimmt auch die wirklich hohe Arbeitslast gern auf sich."

MDR/Marcel Roth