Landesregierung Rheinland-Pfalz: Einsatz mobiler Endgeräte mit erheblichen Risiken für IT-Sicherheit und Datenschutz
Der Landesrechnungshof Rheinland-Pfalz hat in seinem Jahresbericht 2019 auch über die Ergebnisse der Prüfung des Einsatzes mobiler Endgeräte (Smartphones und Tablets) in der Landesverwaltung informiert. Mit erschreckenden Ergebnissen:
Die Landesverwaltung setzte 2017 fast 2.000 mobile Endgeräte ein. Es wurden 201 Gerätetypen von 16 Herstellern verwendet. Auf knapp 1.000 Geräten (ohne Polizei) waren 59 verschiedene Betriebssystemversionen installiert.
- Die Betriebssysteme von 62 % der Geräte waren nicht auf einem aktuellen Stand. Sicherheitsrelevante Updates waren nicht durchgeführt worden oder nicht mehr verfügbar. Dadurch waren ein sicherer Betrieb und der Datenschutz nicht gewährleistet.
- Die Konfiguration des überwiegenden Teils der mobilen Endgeräte entsprach nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik. Landeseinheitliche und verbindliche Mindeststandards für die technischen und organisatorischen Sicherheitsmaßnahmen für den Einsatz mobiler Endgeräte fehlten.
- Auf den zentral verwalteten mobilen Endgeräten waren fast 700 verschiedene Apps installiert, ohne dass die damit verbundenen Risiken für die Informationssicherheit in einem Freigabeprozess bewertet worden waren. Eine Prüfung, ob ein dienstlicher Bedarf für die Nutzung der Apps besteht und welcher Schutzbedarf für die verarbeiteten Daten und Informationen zu berücksichtigen ist, war unterblieben.
- Bei über 700 Geräten, die nicht zentral verwaltet wurden, konnten keine einheitlichen Sicherheitsstandards durchgesetzt und Notfallaktionen ausgelöst werden. Ein großer Teil dieser Geräte hatte Zugriff auf die IT-Infrastruktur des Landes.
- Bei auch privater Nutzung dienstlicher Geräte lagen keine Einwilligungserklärungen der Benutzer vor, die es den Dienststellen gestatteten, die für die IT-Sicherheit und den Datenschutz erforderlichen Zugriffe, Kontrollen und Maßnahmen durchzuführen.
In einem Interview mit dem SWR kritisiert Friedemann Ebelt von Digitalcourage e. V. diese mehr als nur fahrlässige Praxis und stellt fest: „Extrem kritisch ist die Einbindung von Geräten, denen nicht vertraut werden kann, in die IT-Infrastruktur des Landes. Bürger müssen sich klar machen: Das betrifft neben der Staatskanzlei alle Ministerien, darunter die Ministerien für Finanzen und Justiz, inklusive der Ministerinnen und Minister. Das Gesamtbild ist skandalös, denn die Geräte, die Beamte und Angestellte Tag und Nacht mit sich herumtragen, sind ausgestattet mit Bewegungssensoren, Kameras und Mikrofonen. Sie können Standorte in Echtzeit übermitteln. Sie können weitergeben, wer wann mit wem kommuniziert hat oder wer sich für welche Krankheiten oder politischen Themen interessiert. Es ist bittere Realität, dass den meisten Geräte-Herstellern, Betriebssystemen und Apps nicht vertraut werden kann. Darum ist es fatal, wenn der Staat Tür und Tor zu seiner Infrastruktur öffnet. Die Sicherheit und Vertraulichkeit der Verwaltungsprozesse und letzten Endens auch der Schutz persönlichster Daten von Bürgerinnen und Bürgern wird von den Verantwortlichen blind den Geräte- und Softwareherstellern überlassen… Die Landesverwaltung hat sich freiwillig und sehenden Auges hacken lassen. Anders gesagt: Die Verantwortlichen haben zugelassen, dass Dritte in die Systeme von Landesregierung und Ministerien eingebrochen sind. Dasselbe passiert, wenn in Behörden beispielsweise Microsoft Windows, Google Services, WhatsApp und Co. genutzt werden.“
Es bestätigt sich immer wieder, dass die eigentlich für Datenschutz zuständige Datenschutzbehörde (und Informationsfreiheit) in RLP ihre Aufgaben nicht erfüllen kann oder nicht erfüllen will!