Die IT der Verwaltung ist veraltet – das eigentliche Problem aber bleibt Oberbürgermeister Mike Schubert
Ein Kommentar zu den aktuellen IT-Problemen in der Verwaltung von Steve Schulz

Nachdem das Landeskriminalamt (LKA) in Baden-Württemberg mögliche Cyber-Angriffe auf IT-Systeme der Potsdamer Verwaltung meldete, wurden diese von Oberbürgermeister Schubert abgeschaltet. Somit ist die Verwaltung wieder einmal weitestgehend handlungsunfähig und von außen per E-Mail nicht erreichbar. Das bedeutet für die Potsdamerinnen und Potsdamer, dass sie wieder einmal Geduld aufbringen müssen. Verständnis kann Oberbürgermeister Schubert bei dem wiederholten IT-Chaos in seiner Verwaltung allerdings nicht erwarten.

Das alte Problem

Bereits vor drei Jahren musste die Potsdamer Verwaltung ihre Systeme herunterfahren, weil versucht wurde, von außen auf die Systeme der Verwaltung zuzugreifen. Nur zwei bis drei Tage sollte nach Angaben Schuberts diese Unterbrechung dauern. Man wolle damit die Möglichkeit schaffen, sich alles in Ruhe anzuschauen und zu prüfen, ob auf sensible Daten zugegriffen wurde oder nicht. Die Unterbrechung dauerte dann allerdings in einigen Verwaltungsbereichen mehrere Monate.
„Die Sicherheitsvorkehrungen wie Firewall haben den Angriff registriert und – wie wir später feststellen konnten – abgewehrt“, schildert Stadtsprecher Jan Brunzlow auf Nachfrage des POTSDAMERs den damaligen Zwischenfall. Man habe aber aus dem Angriff gelernt, umfangreiche Dokumentationen erstellt und „Maßnahmen ergriffen, um solche Vorfälle abzuwehren“, so Brunzlow weiter.
Ein Zugriff von außen konnte verhindert werden, und trotzdem blieben Teile der Verwaltung für Monate in ihrer Arbeit stark eingeschränkt? Warum wurden umfangreiche Dokumentationen erstellt und Maßnahmen eingeleitet, um solche Angriffe abzuwehren, wenn alles angeblich vereitelt wurde?

Seit Oktober 2018 ist Mike Schubert der Oberbürgermeister von Potsdam. Seitdem warten viele darauf, dass er seine Wahlversprechen umsetzt. In den ersten vier Jahren seiner Amtszeit dominieren Krisen und Probleme in der Verwaltung seine Arbeit. Die Verantwortung dafür übernimmt er nicht. Hat er die Aufgaben dieses Amtes überschätzt?
Foto: sts

Recherchen und Gespräche mit Mitarbeitern der Verwaltung zu der Situation 2020 zeichnen eher ein Bild des Chaos: Der Leiter der Potsdamer IT-Abteilung, Thomas Morgenstern-Jehia, beschrieb in einem MAZ-Interview am 22.07.2020 die kaum organisierte Arbeit bei abgeschalteten Systemen und zusätzlicher Sicherheitsanforderungen: „Keiner von uns hatte so eine Situation auch nur ansatzweise je erlebt. Es begann dann eine wochenlange konzentrierte Analyse. Das fühlte sich zeitweise wie eine Tunnelfahrt an. Wir hatten Raum und Zeit verloren, viele Mitarbeiter haben wochenlang durchgearbeitet. Auf die Uhr habe ich nicht gesehen, und manchmal wusste ich auch nicht, welchen Wochentag wir haben.“
Ein Verwaltungsmitarbeiter, dessen Name nicht genannte werden soll, schildert die damalige Situation im Gespräch mit dem POTSDAMER ähnlich chaotisch und unorganisiert: „2020 mussten wir unsere Daten mit USB-Sticks von A nach B transportieren, die wir manchmal auch mit nach Hause genommen haben. Wir hatten keine Infos darüber, wie wir auf der Systemebene intern aufgestellt waren. Niemand wusste, an welchem Rad zu drehen ist, wenn etwas nicht funktioniert – von der adäquaten Reaktion auf einen Hacker-Angriff ganz zu schweigen. Es war und ist ein Glück, dass die Potsdamer Verwaltung noch nicht so digitalisiert ist, so konnte man nach dem Zwischenfall wenigstens noch das Telefon, das Fax-Gerät und USB-Sticks verwenden, um für den notwendigen Datentransfer und Informationsfluss zu sorgen.“
Diese Zustände bestätigt auch der IT-Leiter 2020 in dem genannten Interview: „Viele Daten haben die Mitarbeiter dezentral auf ihren eigenen Rechnern gespeichert, und die analysieren wir noch. …“
In Zeiten, in denen alles aufgrund des Datenschutzes verkompliziert wird, können Mitarbeiter der Verwaltung sensible Daten der Bürger auf ihren eigenen Rechnern und USB-Sticks abspeichern und damit herumlaufen? Ob der Datenschutzbeauftragte der Stadt damit einverstanden war?
Die IT-Abteilung der Potsdamer Verwaltung präsentierte 2020 wie unorganisiert und wie unvorbereitet sie war und wurde dabei noch von Oberbürgermeister Schubert gedeckt.
Wie sahen die Dokumentationen und Maßnahmen für die erhöhte IT-Sicherheit aus, wollte der POTSDAMER wissen. Die Antwort: „Die Einstellung eines neuen IT-Architekten und eines neuen Sicherheitsbeauftragten sowie die Stärkung der Systeme und des Fachbereichs E-Government“. Zwei Mitarbeiter in einer völlig unterbesetzen Abteilung und eine ungenaue Formulierung. Ein bisschen wenig, aber vielleicht gibt der Blick in die umfangreichen Dokumentationen ja mehr Aufschluss? Dieser Blick wurde dem POTSDAMER verweigert. Aus Sicherheitsgründen, wie es hieß.
Die Protokolle der Ausschusssitzungen, in denen 2020 die IT-Thematik behandelt wurde, zeigen, dass es hier wohl gar keine umfangreiche Dokumentation gegeben hat. Das bestätigt auch eine Verwaltungsmitarbeiterin: „Eine umfangreiche Dokumentation hat es nie gegeben. Das lag auch daran, dass Mitarbeiter der IT-Abteilung, die mit bestimmten Aufgaben betraut wurden, kündigten. Nach deren Weggang blieb die Arbeit unerledigt liegen. Und das ist sie bis heute.“ Auch seien „Akten zu diesem Zwischenfall verlorengegangen“, so die Mitarbeiterin.

Das verwaltungsinterne IT-Chaos wurde durch die Corona-Krise noch verstärkt. Home-Office-Arbeitsplätze mussten eingerichtet, die Zugänge von außen auf die Verwaltungssysteme garantiert und der Datenschutz abgesichert werden. Corona brachte nicht nur einen großen Entwicklungsdruck in die digitale Arbeitswelt, sondern verlangte nach funktionierenden Systemen mit hohen Sicherheitsstandards.
Wenn man den Schilderungen der Mitarbeiter glaubt, kam es hier zu mehreren Sicherheistlücken und Versäumnissen.

Das neue Problem

Kurz nach den behördlichen Warnungen Ende Dezember 2022 hatte sich Oberbürgermeister Schubert dazu entschlossen, die Internetverbindung erneut abzuschalten und die Verwaltung von der Außenwelt abzuschneiden.
Dazu sagte Schubert: „Unser Haus ist keineswegs ungeschützt … Vielmehr verfügen wir über moderne und effektive Sicherheitsvorkehrungen, analog zu einer stabilen Eingangstür in einem realen Haus.“ Schubert schloss also alle Fenster und Türen ab und ließ niemanden mehr rein oder raus – um in dem Bild des Hauses von Schubert zu bleiben.
Nach zwei Wochen entschied Oberbürgermeister Schubert, die Systeme wieder schrittweise hochzufahren: „Um sicherzustellen, dass sich nicht bereits ein Angreifer in unserem Haus aufhält, haben wir direkt nach dem Shutdown mit der Hilfe externer Dienstleister umfangreiche und tiefgehende Scans durchgeführt. Bei diesen Scans wurden keine besonderen Auffälligkeiten festgestellt … Mit Hilfe der Dokumentation, die wir in den vergangenen beiden Jahren erarbeitet haben, ist ein strukturiertes Hochfahren der Systeme möglich“, verkündete Oberbürgermeister Mike Schubert stolz die Lösung.
Doch kaum wurde die Tür des Hauses am 24. Januar einen Spalt geöffnet, schlug man sie gleich wieder zu. Man hatte bemerkt, dass versucht wurde, aus der Verwaltung heraus, Daten zu versenden. Die Angreifer befanden sich also bereits im Haus.
„Nachdem zum 23. Januar 2023 ein erweiterter Virenscanner aufgeschaltet wurde, wurden am Dienstag [24.01.2023, Anmerkung der Red.] eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server nachgewiesen … und parallel die Server der Landeshauptstadt wieder vom Landesverwaltungsnetz Brandenburg getrennt“, so Schubert am 24.01.2023 kleinlaut. Trotz „umfangreiche und tiefgehende Scans“, von denen Schubert sprach, wurden die sich bereits in den Systemen der Verwaltung befindenden Angreifer nicht entdeckt! Dann waren die Scans wohl nicht umfangreich und tiefgehend genug! Erst ein zusätzlicher Virenscanner, der erst nach etwa vier Wochen eingesetzt wurde, soll die Einbrecher erkannt haben. Zu einem Zeitpunkt, in dem die Türen wieder geöffnet wurden. Widersprüchlicher, unorganisierter und riskofreudiger kann man wohl kaum sein.
Schubert räumte ein, dass beide Geschehnisse „im direkten Zusammenhang“ miteinander stünden, erklärte aber nicht, warum der Virenscanner erst fast vier Wochen nach dem eigentlichen Hacker-Angriff eingesetzt wurde, warum er erst mehrere Tage nach dem erneuten Sicherheitsproblem um Hilfe bei Land und Bund gebeten hat und warum er dafür gesorgt hat, dass eine Reihe von zusätzlichen Sicherheitsmaßnahmen erst im Rahmen der Wiederinbetriebnahme der Online-Dienstleistungen erfolgten und nicht schon vorher.

Schuberts Masche

Wer Schubert in den vergangenen vier Jahren seiner Amtszeit beobachtet hat, dem ist aufgefallen, wie gekonnt er sich in Szene setzt und den Allers-Versteher gibt. Schubert möchte uns erklären, was wir alle schon wissen, um sich unsere Bestätigung abzuholen. Ein psychologischer Trick, den jeder kennt. So tat er es auch am 25. Januar in einer Rede vor den Stadtverordneten: „Gegen Cyberkriminalität kann man sich nicht abschotten. Man kann sich nur bestmöglich vorbereiten. Aber auch die beste Vorbereitung erfordert in ihrer Umsetzung im Falle eines Angriffs erhebliche Anstrengungen.“
Und dann versucht Schubert, die Bürger auf seine Seite zu ziehen, indem er sich als Retter ihrer persönlichen Daten präsentiert: „Wir reden immer abstrakt von Servern, aber auf diesen Servern liegen sensible persönliche Daten der Potsdamerinnen und Potsdamer, Bauanträge, Anträge auf Wohngeld, die Daten der Ausländerbehörde oder die Daten von Fahrzeughaltern. Diese sind gegen jede Art von unbefugten Nutzungen zu schützen – und zwar mit allen uns zur Verfügung stehenden Mitteln.“
Ebenso geschickt setzt Schubert Behauptungen ein, die niemand Ad-hoc widerlegen kann. Diese zum Beispiel: „Wir haben aus dem Vorfall des Jahres 2020 gelernt und waren vorbereitet.“ Schlimm, wenn das nicht so wäre. Aber was hat man wirklich daraus gelernt? Inwiefern war man vorbereitet, wenn es schon bei einer Angriffswarnung zu einem Chaos in der Verwaltung kommt und alles abgeschaltet werden muss? Diese Antworten bleibt Schubert schuldig.
Nicht auszudenken, was passiert wäre, wenn die Verwaltungssysteme wirklich angegriffen worden wären.

Cyber-Angriffe sind schon so alt wie das Internet und haben in den vergangenen Jahren stark zugenommen. Angriffe auf Systeme von Verwaltungen, Banken, Energieversorger und anderer sind Alltag. Wer sich erst mit einer Verteidigungsstrategie befasst, wenn er angegriffen wird, muss sich nicht wundern, wenn er zum Opfer einer Cyber-Attacke wird.

Der Schauspieler

Oberbürgermeister Schubert gibt nach außen den Retter und tut so, als habe er alles im Blick und unter Kontrolle. In Wirklichkeit ist das Gegenteil der Fall, und er versucht von bestehenden Problemen abzulenken. Noch nie wurde eine Verwaltung so konfus geführt.
Schubert ist ein Meister der Täuschung. Seine gespielte Empathie reicht nicht weiter als bis zu seiner Nasenspitze. Sein falsches Mitgefühl ist der eigentliche Versuch, sich als Krisenmanager hervorzutun, während er im Hintergrund für seine Ratlosigkeit und Ideenarmut seine Mitarbeiter verantwortlich macht.

Was für ein Glück für Potsdam, dass es in der Verwaltung und in städtischen Unternehmen noch Führungspersönlichkeiten und Mitarbeiter gibt, die über die nötige Fachkompetenz verfügungen, die frei denken und vor allem das tun, was richtig ist. Ihnen allen ein herzliches Dankeschön!

sts