Hallo! Mein Name ist Marc Dauenhauer. Ich bin Datenschutzbeauftragter und IT-Architekt. Sie befinden sich hier auf einem Blog, auf dem ich über Themen der Digitalisierung im weitesten Sinne berichte. Wenn Sie meine Dienstleistungen als Datenschutz-Experte oder IT-Spezialist suchen, klicken Sie bitte hier!

Staatliche Verantwortung Cybersicherheit

Die Schulen kriegen Stress. Statt funktionierende professionelle Lösungen zu nutzen, müssen Schulen wegen des Datenschutzes auf halbgar gestrickte Länderlösungen wechseln.

Die Diskussion ist jetzt nicht neu und man kann sich Fragen, warum der Dauenhauer jetzt schon wieder damit um die Ecke kommt. Bevor ich auf meinen eigentlichen Punkt komme, noch kurz etwas zu den Argumenten der Datenschützer an dieser Stelle.

Das Argument ist nämlich stichhaltig. Die “professionellen” Lösungen stammen meist von US-Anbietern, die durch zahlreiche Überwachungsgesetze der USA immer in dem Verdacht stehen, personenbezogene Daten an US-Behörden weitergeben zu müssen. Das sollte natürlich nicht mit Schülerdaten passieren, zumal die Schüler ja selbst gar nicht entscheiden dürfen, ob sie solche Lösungen nutzen wollen. Dass der Staat hier eine Fürsorgepflicht hat, steht außer Zweifel.

Es geht also um die Fürsorgepflicht des Staates, mit der Bürger und ihre Daten im Rahmen öffentlicher Aufgaben vor Missbrauch geschützt werden sollen.

Wenn wir das als Grundlage anerkennen, dann steht das staatliche Handeln, insbesondere auf kommunaler Ebene in einem krassen Widerspruch dazu. Während wir uns also wegen einer Handvoll Datensätzen ins Hemd machen, die tatsächlich an US-Behörden von Cloud-Anbietern geliefert wurden und wo vermutlich nicht ein einziger deutscher Schüler betroffen war (wir verhandeln hier also eher ein theoretisches Problem), werden derzeit eine Kommune nach der anderen gehackt, Daten entwendet, ins Darknet gestellt oder einfach der Betrieb der öffentlichen Verwaltung stillgelegt.

Die Zeitungen sind voll mit solchen Meldungen und ich habe persönlich aufgehört, die Berichte zu zählen.

Der Staat ist verpflichtet, seine eigenen Bürger zu schützen. Das grottenschlechte Niveau der Digitalisierung setzt sich an dieser Stelle fort. Meine Erwartungshaltung ist nicht, dass der Staat uns alle vor Cyberangriffen schützt. Aber er sollte es doch bei seiner eigenen Infrastruktur schaffen.

Es wird dabei immer Fehler geben. Angriffe werden auch in Zukunft erfolgreich sein. Das sollte man daher auch nicht überdramatisieren, so lange es sich dabei um Einzelfälle handelt. Aber der Zustand der Kommunen in Sachen Cybersicherheit ist offensichtlich so schlecht, dass sich die Meldungen erfolgreicher Angriffe mehren. Das ist beunruhigend, weil es auf ein systematisches Versagen hinweist.

Die Absicherung der Datenverarbeitung mag jeweils in der Hoheit der jeweiligen Verwaltungsebene liegen, was dazu führt, dass jede Kommune das Rad neu erfinden muss. Dass dabei aber nichts wirklich Gutes herauskommt, scheint ja empirisch belegbar zu sein.

Wann wachen die Verantwortlichen endlich auf bzw. wann zieht man die Verantwortlichen endlich auch zur Rechenschaft. Opfer eines Cyberangriffs zu werden, ist nichts ehrenrühriges. Es sei denn, man ist Mittäter durch Unterlassen. Und letzteres ist es, was ich vielen Kommunen unterstelle.