Leichtes Spiel für Hacker -
Bei der Deutschen Rentenversicherung (DRV) arbeiten immer noch 40.000 Rechner mit dem veralteten Betriebssystem Windows XP, das gegen gezielte Angriffe nur unzureichend gesichert werden kann. Die Bundesdatenschutzbeauftragte schätzt das nach Kontraste-Recherchen als ein "nicht tolerierbares Datenschutzrisiko" ein. Die Rentenversicherer sind für die persönlichen Daten von über 57 Millionen Versicherten zuständig.
Anmoderation: Stellen Sie sich vor, sie gehen zur Bank und wollen einen Kredit. Doch sie bekommen ihn nicht, - ohne dass sie wissen warum. Vielleicht sind dort sensible Daten von ihnen bekannt, die die Bank eigentlich nichts angehen, zum Beispiel, dass sie krank sind und bald nicht mehr voll arbeiten können. Damit solche hochsensiblen Sozialdaten eben nicht verbreitet werden können, müssen Rechner großer Unternehmen und Behörden penibel geschützt werden. Doch ausgerechnet bei der Deutschen Rentenversicherung, die die Daten von über 70 Mio Menschen verwaltet, scheint das nicht der Fall zu sein. Susanne Katarina Opalka und Norbert Siegmund.
O-TON Thomas de Maiziére (CDU), Bundesinnenminister
„Es liegt in der Natur des Menschen, Vorsorge zu treffen. In der digitalen Welt sollte es nicht anders sein.“
Die Deutsche Rentenversicherung. Personendaten von 73 Millionen Versicherten und Rentnern, Bankdaten, Informationen über Einkommen, Arbeitsfähigkeit, Krankheiten. Ein Datenschatz, der in Gefahr ist, Beute werden kann - von Hackern. Datenschützer sind alarmiert.
O-TON Dagmar Hartge, Datenschutzbeauftragte Brandenburg
„Ich sehe für die Versicherten das Risiko, dass Dritte unter meiner Identität im Geschäftsleben auftreten können. Sie können dann zum Beispiel Einkäufe tätigen. Was bei der Rentenversicherung sicher auch ein großes Problem ist: Sie verarbeitet auch Gesundheitsdaten, die, weil sie so sensibel sind, dann für die Betroffenen noch unangenehmer sind, wenn sie im Umlauf sind.“
Gefahr, weil die Rentenversicherung noch immer mit einem längst veralteten Computerbetriebssystem arbeitet - mit Windows XP. Über 40.000 Arbeitsplatzrechner sind bei der Deutschen Rentenversicherung und ihren Regionalträgern noch immer nicht auf ein aktuelles Betriebssystem umgerüstet – so Informationen von Kontraste.
Pikant: Schon bei einem Hausbesuch im vergangenen September wiesen Mitarbeiter der Bundesdatenschutzbeauftragten die Deutsche Rentenversicherung Bund darauf hin, dass – wörtlich – „eine Nutzung von Windows XP ein nicht tolerierbares Datenschutzrisiko birgt.“
Dabei war sogar schon vor 13 Jahren bekannt, dass der Support 2014 endet. Nun werden seit mittlerweile einem Jahr Sicherheitslücken von Windows XP nicht mehr per Update geschlossen.
O-TON Dagmar Hartge, Datenschutzbeauftragte Brandenburg
"Das ist eine Zeitbombe, wenn Sie sich vorstellen, Windows XP, das Betriebssystem wird nicht weiter gepflegt, d.h.: Es wird jeden Tag älter und letzten Endes wachsen diese Gefährdungen, die die Lücke des Betriebssystems nun hat."
Von der Deutschen Rentenversicherung will sich dazu niemand vor der Kamera äußern. Stattdessen teilt sie mit: ihre Daten seien verschlüsselt, und ihre Computer – trotz Windows XP - durch eigene Sicherheitskomponenten und ein umfassendes Sicherheitssystem vor Angriffen aus dem Internet geschützt.
Weiter heißt es:
„Eine direkte Verbindung der Geräte … mit dem Internet ist … nicht gegeben.“
Also keine Gefahr durch Datendiebe? Wir fragen den Berliner Hacker Felix Lindner, einen international gefragten Sicherheitsberater. Wir zeigen ihm unsere Recherchen über die Architektur der Datenverarbeitung bei der Deutschen Rentenversicherung Bund.
Brisante Einzelheiten wurden offenbar von Mitarbeitern arglos im Internet preisgegeben – auch der Einsatz des anfälligen Betriebssystems Windows XP. Ein anderer Beleg, der Kontraste zugespielt wurde: Der Ausdruck einer Computer-Bildschirmseite. Er zeigt: Mitarbeiter können vom ihrem XP-Rechner auf Mail und Internetangebote zugreifen - zumindest indirekt.
O-TON Felix Lindner, IT-Sicherheitsberater Recurity Labs
"Ich kann da E-Mails hinschicken, und das wird auch lokal aufgemacht. Das ist das Wichtige. Wikipedia muss ich nicht mal hacken. Da darf ja jeder drin rumeditieren. Das heißt: Auch ich kann das irgendwas reinpacken, wo die dann draufgehen, und damit das angreifen."
Heißt: Über normale Arbeitsplatzrechner – auch wenn sie nur indirekt über das Behördennetzwerk mit dem Internet verbunden sind, können Hacker angreifen. Ein gekaperter Rechner genügt – und das ganze Netzwerk ist in Gefahr. Dagegen setzt die Rentenversicherung auf Firewalls und Virenschutzprogramme. Doch einen professionellen Datendieb wehren solche Programme nicht unbedingt ab.
O-TON Felix Lindner, IT-Sicherheitsberater Recurity Labs
"Die erkennen nur Angriffe, die schon mal bekannt waren, Angriffsmuster, die bekannt sind."
O-TON Dagmar Hartge, Datenschutzbeauftragte Brandenburg
"Dieses Betriebssystem wird jeden Tag, jede Sekunde seine Lücken vergrößern, und dagegen kommen die Virenschutzsysteme und Firewalls schlicht nicht mehr an. Eigentlich müssten wir sofort sagen: Abschalten! Die Folge bei einer so großen Einrichtung, die so wichtige Bürgerdaten verarbeitet, wäre dann aber, dass sie ihre Arbeit, die Renten auszuzahlen, zu berechnen, Rehabilitationsverfahren durchzuführen, nicht mehr erfüllen könnte."
Abmoderation: Eine von der Rentenversicherung selbst verschuldete Misere - auf Kosten der Sicherheit von Millionen. Aufgeweckt durch die Kontraste-Recherchen wird nun das Bundesamt für die Sicherheit in der Informationstechnik die Rentenversicherung begutachten.
Beitrag von Susanne Katarina Opalka und Norbert Siegmund