© Bildagentur PantherMedia  / sangriana

Heise.de fühlt E-Mail-Servern deutscher Kommunen auf den Zahn

Es ist ja so: Manchmal behaupten wir, dass uns eine Sache unglaublich wichtig wäre, aber unser Verhalten spricht eine ganz andere Sprache. Wir sagen zum Beispiel, dass uns die kleinen Läden an der Ecke total viel bedeuten würden, wegen Lebensgefühl und so – und bestellen trotzdem bei Amazon. Landläufig wird das gerne als Doppelmoral bezeichnet, aber ich glaube, dass es einfach Unbewusstheit ist. Wir können durchaus ein Bild von uns haben und ihm nicht gerecht werden. Das ist sogar der Normalfall.
Anders verhält sich die Sache, wenn der Kontext ein professioneller ist. Aber auch hier wird nur mit Wasser gekocht. Das zeigte kürzlich ein Test, den das IT-Magazin heise.de in diesem Wahljahr durchführte. Gegenstand waren die Mail-Server der Wahlleiter. Wahlleiter sind nach dem Bundeswahlgesetz Wahlorgane, nicht zu verwechseln mit Walorganen… Es gibt einen Bundeswahlleiter, der für das gesamte Wahlgebiet zuständig ist und in jedem Bundesland einen Landeswahlleiter. Und dann gibt es üblicherweise noch in jedem Wahlkreis einen Kreiswahlleiter.
In Wahlangelegenheiten ist das Thema Kommunikation ausgesprochen wichtig und daher sollte es auch in einem Rahmen stattfinden, der höchsten Anforderungen an Sicherheit genügt. Wahlleiter sind zwar keine Ärzte, aber Vertraulichkeit in einer Sache, die stark mit Begriffen wie „Wahlgeheimnis“ aufgeladen ist, sollte schon gewährleistet sein. Bei der Kommunikation mit Wahlleitern wirkt die Vorstellung, dass jemand mitlesen könnte, zum Beispiel sehr befremdlich.
Die Realität in deutschen Behörden sieht aber anders aus. Während die Politik sich das Thema Digitalisierung ganz groß auf die Fahnen schreibt, werden in deutschen Amtsstuben in puncto Digitalisierung oftmals nicht einmal grundlegende Anforderungen an Sicherheit und Vertraulichkeit erfüllt. Beinahe ein Viertel aller Mailserver, die mit der behördlichen Kommunikation mit den Wahlleitern (und sicher nicht nur damit) betraut waren, genügte nicht den Sicherheitsstandards.
Von 291 offiziellen Mail-Domains, die getestet wurden, gab es bei 66 mindestens ein Problem. Und bei den Mail-Servern fielen 78 von 340 durch Mängel auf. In vielen Fällen waren ungültige Zertifikate das Problem. Zertifikate sollen garantieren, dass die Kommunikation auch wirklich mit der Instanz vonstattengeht, mit der sie das tun soll. Wenn ich mit Fritz sprechen will und einer nur so tut als wäre er Fritz und ich glaube ihm das, weil er sich nicht ausweist, dann läuft etwas falsch. Auf Behördenebene ist das natürlich extrem unschön. Neben abgelaufenen Zertifikaten waren auch selbst signierte Zertifikate, die bis in alle Ewigkeit gültig sein wollen (Spitzenreiter war der Kreis Steinfurt, dessen Zertifikat bis ins Jahr 2058 datiert ist) ein Problem.
Abgesehen von Schlampereien mit Zertifikaten, fehlte auch in mehreren Fällen die Möglichkeit einer verschlüsselten Mailübermittlung – üblicherweise über TLS (Transport Layer Security), früher bekannt als SSL (Secure Sockets Layer). Das sind im Prinzip Standards, die im privaten Mailverkehr schon gang und gäbe sind – im heise.de-Artikel  wird ein recht treffender Vergleich mit einem Sicherheitsgurt im Auto gezogen.
Der Test ließ viele Behörden nachbessern. Alles andere wäre auch äußerst peinlich gewesen.
Nun stellt sich natürlich die Frage, wie diese Schlampereien zustande kommen. In den meisten Fällen sind es zwar keine allzu gravierenden Mängel – es ist nicht so, als gäbe es in einer Großküche ein massives Rattenproblem, eher so, als hätten einige Köche nicht so wahnsinnig viel Lust darauf, sich die Hände zu waschen. Und trotzdem sollte es nicht passieren. Ob es nun der Wurschtigkeit der Verantwortlichen geschuldet ist oder einer gewissen Überforderung angesichts zu vieler Aufgaben, werden wir wohl nie erfahren.
Aber es sollte nicht erst das Gesundheitsamt kommen müssen, um die Köche darauf hinzuweisen, dass Handhygiene eigentlich eine feine Sache ist, wenn mit Lebensmitteln gearbeitet wird. Kurz: Es wäre schön, wenn Digitalisierung nicht nur propagiert, sondern gerade auf Behördenebene auch verantwortungsvoll gelebt würde.