Diskussion nach Datenpanne Lasche Sicherheitsvorschriften bei Sachsens Verfassungsschutz

Das was die Mitglieder der Parlamentarischen Kontrollkommission vorfanden, war offensichtlich einmalig in der Geschichte des sächsischen Verfassungsschutzes. Die Empfehlungen der Kontrollinstanz an das Landesamt für Verfassungsschutz kommen schallenden Ohrfeigen gleich, scheinen sie doch eigentlich Selbstverständlichkeiten zu sein. Die PKK empfiehlt, bei Systemadministratoren ein Vier-Augen-Prinzip einzuführen. Darüber hinaus sollen die Geheimdienstler künftig Protokoll führen über Datentransfers auf Sticks oder Festplatten und man möge die Sticks zertifizieren. Als könnte ein Verfassungsschutz darauf nicht alleine kommen.

Der Systemadministrator sei am 5. März 2018 beim Sichern interner Daten des Verfassungsschutzes von einem Kollegen erwischt worden. So wird es den Mitgliedern der PKK im April präsentiert. Der Datenträger, ein USB-Stick, war ihm zunächst nicht abgenommen worden. Allerdings seien die Daten auf dem Stick gelöscht worden. Am Nachmittag des 5. März händigt der Mann dann einen Stick aus, aber einen, den er vorher ausgetauscht hatte. Mit dem ersten USB-Stick soll er dann die Behörde verlassen haben. Die Polizei wurde zunächst nicht verständigt, eine Wohnungsdurchsuchung unterblieb zunächst. Erst am 12. März 2018, eine Woche später, gab der ehemalige Systemadministrator dann den richtigen Stick ab. Darauf gelöschte Daten, die nur teilweise wieder herstellbar waren.

Nur durch einen Zufall wurde der IT-Fachmann erwischt. Bildrechte: imago/momentphoto/Killig

Der Mann, ein IT-Systemadministrator mit weitgehenden Rechten, gab später an, die Daten aus persönlicher Neugierde heruntergeladen zu haben. Er wollte wissen, welche Informationen über ihn in der Behörde gespeichert sind. Er wollte aber auch Informationen über Kollegen haben. Diese Informationen wollte er für sein berufliches Fortkommen - etwa für Beförderungen - benutzen. Den Personalrat habe er dazu nicht befragt.

Es sei nicht nachvollziehbar, was zwischen diesen beiden Zeitpunkten mit dem Stick passiert ist, erklärte der Vorsitzende der PKK, Christian Hartmann, von der CDU am Montag. Die kopierten Daten seien ein "Konglomerat an Personaldaten", sagte Hartmann. Der Systemadministrator soll laut PKK rund 15 Prozent der Daten der hauptamtlichen Mitarbeiter heruntergeladen haben. Dann sei er überrascht worden und der Vorgang abgebrochen worden. Im Landesamt für Verfassungsschutz arbeiten gut 160 feste Mitarbeiter. Daten von inoffiziellen Mitarbeitern und operative Daten sollen nach derzeitigem Stand nicht betroffen gewesen sein, teilte das sächsische Innenministerium mit.

Für die Parlamentarier ist der Vorfall ein Skandal. Sie kritisieren, dass nicht unmittelbar nach dem Bekanntwerden des Vorgangs die Polizei hinzugezogen wurde. Kerstin Köditz von der Partei Die Linke sagt, sie könne nicht ausschließen, dass bereits vorher Daten abgeflossen seien:

Auch Carsten Hütter von der AfD, ebenfalls Mitglied in der Kommission, macht sich Gedanken, dass der Stick mehrere Tage im Besitz des ehemaligen Systemadministrators war.

Gegen den ehemaligen Mitarbeiter des Verfassungsschutzes laufen strafrechtliche Ermittlungen. Ihm wurde nach 15 Jahren Mitarbeit inzwischen gekündigt. Das Landesamt für Verfassungsschutz hat reagiert und Änderungen an den internen Sicherungssystemen vorgenommen.

Unklar ist, welche Tragweite der Vorfall hat. Der Systemadministrator war offensichtlich der einzige Mitarbeiter, der Daten ausspielen konnte, ohne kontrolliert zu werden und gleichzeitig die Rechte besaß, die Protokolle über den Datenverkehr zu manipulieren. Die Sicherheitsüberprüfung des Mannes war nicht fristgerecht erfolgt. Ob der Mann lediglich an seine Personalakte kommen wollte oder ob das nur der Legende diente - einige Mitglieder der PKK haben Zweifel. Auch ist nicht klar, ob der Datenstick außerhalb des Verfassungsschutzes noch mal ausgelesen wurde. Auch damit beschäftigt sich die Staatsanwaltschaft.