Ein Darmstädter Start Up hat Hessens Gemeinden einem IT-Sicherheitstest unterzogen. Dabei stellte es zahlreiche Risiken fest: Schlecht geschützte Datenbanken, unzureichend verschlüsselte Datenübertragungen, veraltete Software. Auf die Ergebnisse haben nur wenige Gemeinden reagiert. Auch weil es schwierig ist, die richtigen Ansprechpartner ausfindig zu machen.
Bei den gefundenen Risiken handelt es sich nicht etwa um neuartige Sicherheitslücken. Vielmehr klopften die Tester die aus dem Internet zugänglichen Teile der kommunalen IT-Systeme ab: Webseiten, Datenbanken, Mailsysteme. So gehen auch Hacker vor, um Angriffspunkte zu finden. Besonderes Talent ist dafür nicht erforderlich. Der Test zeigte: Fast drei Viertel der Gemeinden setzten auf ihren Webseiten und im Mailverkehr teils auf Datenübertragungs-Protokolle mit unzureichender Verschlüsselung. Bei fast einem Drittel waren Datenbanksysteme schlecht abgesichert und demzufolge über das offene Netz erreichbar. Ein Viertel setzte veraltete Software-Versionen auf Servern ein. Zudem überprüften die IT-Experten Webseiten auf Datenschutz-Compliance und stießen bei mehr als jeder zehnten auf Tracking-Cookies, die ohne Einwilligung der Nutzer/innen gesetzt werden.
Ein erster Test fand schon Anfang des Jahres statt. Durchgeführt wurde er vom Darmstädter Unternehmen LocateRisk, einem vom Bundesforschungsministerium geförderten Start Up. Über Hundert der Gemeinden in Hessen hat das Unternehmen direkt mit den Ergebnissen konfrontiert. Die Resonanz sei verhalten gewesen, erzählt der Gründer und Geschäftsführer Lukas Baumann: „Häufig ist es schwierig, überhaupt die Informationssicherheitsbeauftragten ausfindig zu machen. Eine E-Mail-Adresse geben die wenigsten Kommunen an.“ Auch mit Briefen auf dem klassischen Postweg, sei man nicht weitergekommen.
Im August wurden konkrete Statistikergebnisse auf einem Workshop für Verwaltungsmitarbeiter im Athene-Center (Nationales Forschungszentrum für angewandte Cybersicherheit) in Darmstadt präsentiert.
