Jetzt ist es passiert! Am vergangenen Samstag löste der Landkreis Anhalt-Bitterfeld den deutschlandweit ersten Cyber-Katastrophenfall aus. Die Kommunalverwaltungen im sächsisch-anhaltinischen Landkreis sind für mindestens zwei Wochen lahmgelegt, weil ihre Datenverarbeitung durch Hacker attackiert worden war. Ob Daten verschlüsselt und Lösegeldforderungen gestellt wurden, wird „aus ermittlungstechnischen Gründen“ vorerst nicht bekannt gegeben. Sicher ist aber, dass die Behörden in den nächsten Tagen keine Sozial- oder Unterhaltsleistungen erbringen können.
Der Katastrophenfall kommt nicht überraschend. Schon mehrfach waren Kommunen Ziel eines Cyberangriffs. Doch zum ersten Mal wurde deswegen der Katastrophenfall ausgelöst, um – wie es heißt – schneller reagieren zu können. Doch die eigentliche Katastrophe ist nicht der Angriff selbst, so verabscheuenswürdig er ist, sondern die Fahrlässigkeit und Bräsigkeit im deutschen Beamtendickicht. Seit Jahren werden Investitionen in neuere und aktuellere Hard- und Software verschleppt. Die unzureichende Digitalausstattung in einer großen, vermutlich überwiegenden Zahl der Kommunalbehörden „in diesem unseren Land“ lähmt nicht nur den agilen Staat, sondern ist auch zugleich ein sperrangelweit geöffnetes Einfallstor für Cyber-Kriminelle. Es ist ein Teufelskreis aus fehlender Qualifizierung und verschleppter Digitalisierung, der die öffentliche Hand in den Ländern und Gemeinden arthritisch werden lässt. Das ist doppelt skandalös, wenn man sich bewusst macht, dass nirgendwo eine größere Menge an sensiblen persönlichen Daten gespeichert ist als in der Datenverarbeitung der kommunalen Behörden.
Die verschleppte Erneuerung ist nicht nur den klammen Gemeindekassen geschuldet, sondern hat auch ihre Ursache in der Kakophonie der Landesdatenschutzbeauftragten, die mal mehr, mal weniger laute Bedenkenträger bei der Cloudifizierung der kommunalen Datenverarbeitung sind – „Informationstechnik“ mag man die dortige Ausstattung ja noch gar nicht nennen! Dabei geht es stets um den Schutz personenbezogener Daten – ein im Prinzip äußerst ehrenwertes Ansinnen. Die Crux liegt meist in der Tatsache, dass US-amerikanische Technologie-Anbieter auch in Europa amerikanischem Recht unterliegen, das in bestimmten Verdachtsfällen die Herausgabe personenbezogener Daten zu Ermittlungszwecken fordert. In seinem Transparency-Report dokumentiert etwa Microsoft, wie verschwindend gering der Anteil dieser Anfragen ist, die im Übrigen keinen Automatismus nach sich ziehen. Erst einer letztinstanzlichen Gerichtsanordnung muss sich der Cloud-Provider tatsächlich beugen.
Wie sehr die Übertreibung des tatsächlichen Gefahrenpotenzials bei personenbezogenen Daten Methode hat, zeigt sich am eklatantesten in unserem Bildungswesen, das trotz des vom Bund initiierten Bildungspaktes Länder- und Kommunalsache bleibt. Wenn im vergangenen Schuljahr beispielsweise Lehrer auf ihren Dienst-Laptop warten mussten, weil sie die personenbezogenen Daten ihrer Schüler nicht auf dem Heim-PC abspeichern durften, dann wird deutlich, wie sehr inzwischen die Maßstäbe verstellt wurden. Jedes liegengelassene Klassenbuch ist ein größerer Verstoß gegen die Datenschutz-Grundverordnung.
In Umkehrung des Grundsatzes der Unschuldsvermutung unterstellen Landesdatenschützer den Internet-Giganten wie Google, Microsoft oder Amazon Web Service kriminelle oder zumindest illegitime Absichten hinter ihren Cloud-Angeboten. Wie beim Besitz einer Destille reicht die schlichte Möglichkeit, persönliche Daten missbrauchen zu können, inzwischen als Grundlage für eine Vorverurteilung aus. In einem Blogpost wendet sich Microsoft inzwischen direkt an die Schüler*innen und Studierenden, um die eigenen Datenschutz-Grundsätze zu erklären, etwa: „Wir geben keine Daten an Werbetreibende weiter.“
Das zeigt Wirkung: In Baden-Württemberg haben Schüler vor einigen Wochen eine Petition eingereicht, um die Rücknahme – um nicht zu sagen: das Verbot – von Microsoft Teams zu verhindern. Teams beziehungsweise Collaboration Software wie Slack oder Zoom ist die Grundlage praktisch aller Formen im Distanzunterricht. Man werde „in die Steinzeit zurückgeworfen“, wenn der dortige Landesdatenschutzbeauftragte bei seinen Bedenken bleibt, heißt es in dem Begehren, das inzwischen 10.000 Unterschriften gesammelt hat. Nach dieser Schwelle muss eine öffentliche Antwort der Behörden erfolgen. Dass sie positiv ausfallen wird, ist freilich nicht anzunehmen.
Das Ganze gewinnt noch zusätzlich an Brisanz, wenn man sich vergegenwärtigt, dass in den Schulen nach wie vor die Ausstattung mit Luftfiltern unzureichend ist. Angesichts der sich ausbreitenden Delta-Variante ist schon jetzt abzusehen, dass das nächste Schuljahr mit Distanzunterricht beginnen wird. Ein Teufelskreis! Bei ihrem Auftrag, Bürger zu schützen, setzen die Behörden mitunter schon seltsame Maßstäbe an.
Wie sehr übrigens selbst bei größtem Erneuerungswillen und freigegebenen Gigabudget es ist, Innovationsprojekte durchzuziehen, hat in den vergangenen zwei Jahren auch das US-Verteidigungsministerium erfahren müssen. Das Pentagon hat jetzt den auf Zehn-Milliarden-Dollar dotierten Auftrag an Microsoft annulliert, in dem über zehn Jahre hinweg alle Einheiten aller Streitkräfte unter einem gemeinsamen cloud-basierten Kommandodach zusammengefasst werden sollen. Hier liegt die Ursache allerdings nicht in Datenschutzbedenken, sondern in der Klage von Amazon Web Services, die in dem Deal nicht zum Zuge kamen. Der Verdacht, dass der damalige US-Präsident Donald Trump das Pentagon angewiesen habe, Amazon und seinen Chef Jeff Bezos gezielt zu benachteiligen, steht wie ein Elefant im Raum. Jetzt soll neu ausgeschrieben werden. Bis dahin bleibt auch dort die veraltete IT-Ausstattung State of the Art: Ein Teufelskreis.