Der Tagesspiegel ist einer ganz heißen Sache auf der Spur: „Desaster beim Software-Update“ trompete er gestern – hunderte Beamte der Direktion 2 haben „alle Daten“ (sic!) verloren [1]. Heute waren die Recherchen weiter gediehen [2]: Ein „IT-Mitarbeiter“ wars (angeblich). Der „löschte Daten“ „durch ein Update der Computer von Windows7 zu Windows10“. Ihr Verlust bedeutet, dass „das gesammelte Ermittlerwissen von unzähligen Beamten nun unwiderbringlich verloren“ ist.

Wenn denn wahr wäre, was da geschrieben steht, wäre das ein echter Skandal. Nach etwas genauerem Hinsehen lässt sich allerdings nur feststellen, dass viele Detailbehauptungen so nicht stimmen (können). Doch ‚Rauch‘ ist da zweifelsohne. Soll damit etwa eine Trugspur gelegt werden: Hat die Berliner Polizei womöglich ein Computervirus-Problem? | Lesedauer: Ca. 6 Minuten



Details [aus 2] genauer betrachtet

1. Zum (angeblichen) Datenverlust beim Update der Windows-Version

Man muss nicht bei der Polizei arbeiten, um damit schon mal zu tun gehabt zu haben: Auch viele Privatleute und auch Journalisten mussten das Betriebssystem Windows auf ihren Rechner schon einmal updaten. Sie alle werden bestätigen, dass die Nutzerdaten aus der Festplatte durch den Update-Prozess nicht berührt werden. Und schon gar nicht gelöscht werden. Die Ursachenzuschreibung ‚Windows-Update führt zur Datenlöschung‘ ist also nicht haltbar.

2. Zum „gesammelten Ermittlerwissen von unzähligen Beamten“

2.1 Ermittlungsrelevanten Daten werden auf zentralen Servern im Vorgangs- bzw. Fallbearbeitungssystem gehalten

Die Arbeitsplatzrechner in den Büros der Berliner Kripo sind vernetzt. Nur in der weit zurückliegenden, frühen „Steinzeit der IT“ standen den Ermittlern Einzelplatzsysteme zur Verfügung. Das waren damals, in der grauen Vorzeit, in der Tat nicht mehr als einzelne, zum lokalen Speichern fähige Schreibmaschinen.

Seit rund 20 Jahren arbeiten auch die Polizeibehörden in Berlin mit polizeilichen Informationssystemen im Netz. Sie bestehen aus Servern, auf denen die „ermittlungsrelevanten“ Daten gespeichert werden. Und zwar vorwiegend in Datenbanken unter der Steuerung eines Vorgangsbearbeitungssystems. Das heißt POLIKS bei der Berliner Polizei. Oder – für bestimmte, komplexe Fälle – in einem Fallbearbeitungssystem. Das heißt in der Berliner Polizei CASA.

Jeder Arbeitsplatzrechner, den der einzelne Kripo-Beamte nutzt, ist über das Netz mit dem Server des Vorgangs- bzw. Fallbearbeitungssystem verbunden und dient dem Nutzer für die Eingabe, Bearbeitung und Abfrage entsprechender Vorgangs- oder Fallinformationen aus diesen Informationssystemen. Das Gros der ermittlungsrelevanten Informationen befindet sich also in diesen Datenbanken auf den Servern und kann daher von einem Windows-Update der Arbeitsplatzsysteme nicht tangiert werden.

2.2 „Ermittlungsrelevante Daten“ bzw. das „gesammelte Ermittlerwissen“ hat auf lokalen Festplatten nichts zu suchen

Bei den Daten handle es sich um „sogenannte vorgangsrelevante Daten, Notizen und Auswertungen von Beamten zu Ermittlungen gegen Intensivtäter, zu Betrugsfällen und zu Raub“, die (angeblich) „das gesammelte Ermittlerwissen von unzähligen Beamten“ darstellen.

Würde diese Vision zutreffen, würde der Datenschutzbeauftragte der Berliner Polizei rotieren. Und nicht nur der: Denn ermittlungsrelevante Daten, die Teil des Strafermittlungsverfahrens (und der entsprechenden Akte werden) sollten generell nicht auf einer lokalen Festplatte gespeichert sein. Sie gehören ins Vorgangsbearbeitungs- oder Fallbearbeitungssystem auf dem jeweiligen Server. Insofern zeugt diese Darstellung von großer Distanz zur Arbeitsweise der Polizei. Und die Aussage, dass es sich dabei um „das gesammelte Ermittlerwissen“ handeln soll, ist nur noch der Poesie oder der Phantasie des Autors zuzuschreiben.

3. Der IT-Mitarbeiter, der so einfach in die Büros geht und Daten löscht

Massiver Unmut aus der Direktion 2 wird weiter kolportiert: Ein IT-Mitarbeiter sei einfach (am Wochenende) in die Büros gegangen …

Auch diese Aussage deckt sich nicht mit langjährigen Erfahrungen aus der Praxis.

Büros von Sachbearbeitern in der Kriminalpolizei [d] stehen nicht einfach offen. Wenn sie nicht besetzt sind (z.B. am Wochenende) sind sie i.d.R. abgeschlossen. Wenn sie NICHT abgeschlossen sind, ist der Raumtrakt selbst zutrittsgesichert. Einfach so in ein Büro gehen, den Computer anschalten und loslegen, wäre höchst ungewöhnlich. Dies würde und müsste berechtigt zum massiven Unmut führen.

DatenSICHERUNG von lokalen Datenbeständen ist nicht Sache eines Mitarbeiters des IT-Dienstleisters, sondern immer Sache des Nutzers dieses Arbeitsplatzrechners. Denn wo und wie sollte denn der Mitarbeiter aus der IT-Abteilung diese Daten sichern und verwahren?? Dazu passt ja auch die Darstellung, dass die IT-Abteilung den Kripo-Mitarbeitern ein Tool zur Verfügung gestellt habe zum Sichern der lokalen Daten.

4. Der IT-Mitarbeiter habe Daten der lokalen Festplateen gelöscht

Dieser Punkt ist widersprüchlich dargestellt im Tagesspiegel [2]. Eingangs ist angeblich der Windows-Update ursächlich für das Löschen der Daten von den lokalen Festplatten. Weiter hinten dann heißt es, dass nach entsprechender Ankündigung per Email im Zuge des Updates auch Daten von der lokalen Festplatte gelöscht worden sein sollen.

5. Informationen an die Nutzer über den Update der Arbeitsplatzrechner

Auch in diesem Punkt gibt es Widersprüche: Zunächst heißt es im Artikel des Tagesspiegels, „Vorabinformationen oder Absprachen, dass die Umstellung an diesem Wochenende vorgenommen werden sollte, habe es nicht gegeben“. Ein Polizeisprecher sagt dagegen, dass die langfristig geplante Maßnahme rechtzeitig per Email angekündigt worden sei. Ende Oktober sei den Nutzern in einer weiteren Mail mitgeteilt worden, wie mit den (zu sichernden lokalen) Daten zu verfahren sei. Jeder habe also genug Zeit, sowie das notwendige Werkzeug gehabt, um seine Daten zu sichern.

6. Widersprüche über den Umfang der „verschwundenen“ Daten

„Desaster“, „hunderte Polizisten verlieren alle (sic!) Daten“, „das gesammelte Wissen von mehreren hundert Beamten der Direktion: Lageberichte, Auswertungen über Intensivtäter, Notizen zu Raubtanten, Vermerke, Konfigurationen für die Datenerfassung … weg, alles weg.“ [Fettdruck im Original]

[1]

Einen Tag später ist es – zunächst – gar nicht so schlimm: „Betroffen seien nur 16 Rechner, nur vereinzelte Beamte hätten sich beschwert und den Verlust von Daten angezeigt“. Doch einen Absatz weiter unten heißt es dann, anscheinend unter Berufung auf eine Flurfunk-Quelle in der Direktion 2: „Es seien auch weitaus mehr Beamte von Datenverlust betroffen, als die Behörde es darstelle.“

Dieser Insider-Hinweis könnte auf etwas ganz anderes hinweisen …

Fazit: Da ist Rauch, aber woher kam das Feuer?

Aus den Artikelnim Tagesspiegel lässt sich eigentlich nur eines ersehen: Da ist Rauch! Fraglich ist nur, wer oder was das Feuer dazu verursacht hat.

Überlegung 1: Wenn EINZELNE Kripo-Mitarbeiter aufgrund eigener Versäumnisse ihre Nutzerdaten nicht sichern, ist das eigentlich nicht ein solches Aufheben wert.

Überlegung 2: Wenn VIELE Kripo-Mitarbeiter tatsächlich „ermittlungsrelevante Informationen“ in nennenswertem Umfang NUR auf lokalen Festplatten gespeichert hatten, hat die Berliner Polizei ein Sicherheitsproblem und erhebliche Mängel in der IT-Ausbildung …

Überlegung 3: Womöglich sind tatsächlich VIELE Informationen in der Polizeidirektion 2 aktuell nicht mehr nutzbar. Das ist dann aber – siehe oben –

NICHT verursacht durch den Update auf Windows 10 und

auch NICHT verursacht durch die Löschung von Nutzerdaten auf den Arbeitsplatzrechnern.

These: Hat die Direktion 2 womöglich ein Computervirus-Problem?

In den Sinn kommt vielmehr ein gravierendes Problem beim Kammergericht Berlin, über das mehrere Berliner Zeitungen im Oktober 2019 berichteten: So z.B. der Berliner Kurier am 18.10.2019 [3] unter der Überschrift: Computervirus legt Berliner Kammergericht lahm: Demnach wurde Ende September 2019 aus dem Kammergericht Berlin [c] eine Email an eine andere Behörde verschickt. Diese enthielt den Computervirus ‚Emotet‘, den das Bundesamt für Sicherheit in der Informationstechnik [d] als „eine der größten Bedrohungen durch Schadsoftware weltweit“ einstuft und der auch in Deutschland aktuell hohe Schäden verursacht“.[/su_qote]

Der Virus wurde festgestellt durch Mitarbeiter des IT-Dienstleistungszentrums Berlin (ITDZ), welches für die IT-Betreuung der (nicht genannten) Empfängerbehörde des infizierten Emails zuständig ist. Das ITDZ betreibt auch das Berliner Landesnetz (BeLa), an das neben vielen anderen Behörden auch die Berliner Polizei ist angeschlossen ist.

Die Auswirkungen dieses Virus beim Kammergericht Berlin sind massiv, schreibt der Berliner Kurier weiter:





Da die Schadprogramme teilweise tiefgreifende sicherheitsrelevante Änderungen am infizierten System vor nehmen, sollten Rechner, die mit Emotet infiziert sind, neu aufgesetzt werden, empfiehlt das BSI. Ist der

Computer erst einmal infiziert, kann Emotet weitere Schadsoftware nachladen. Diese Schadprogramme ermöglichen den Kriminellen die vollständige Kontrolle über das System. In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werden

mussten.“ 'Abgeklemmt: Computervirus legt Berliner Kammergericht lahm' vom 18.10.2019 „‚Emotet‘ ist eigentlich ein sogenannter Banking-Trojaner, der Zugangsdaten für Online-Banking abgreift und auf das Betriebssystem Windows zielt. Seit Ende 2018 kann der Virus auch Inhalte von E-Mails auslesen. Betroffene Empfänger erhalten E-Mails mit echt aussehenden aber erfundenen Inhalten von Absendern, mit denen sie zuvor Kontakt hatten. Dazu sind Namen und Mailadressen von Absender und Empfänger in Betreff, Anrede und Signatur zu früheren E-Mails stimmig. Sie verleiten sogar sensibilisierte Nutzer zum Öffnen des schädlichen Dateianhangs oder des Links in der Nachricht. …Da die Schadprogramme teilweise tiefgreifende sicherheitsrelevante Änderungen am infizierten System vor nehmen, sollten Rechner, die mit Emotet infiziert sind, neu aufgesetzt werden, empfiehlt das BSI. Ist derComputer erst einmal infiziert, kann Emotet weitere Schadsoftware nachladen. Diese Schadprogramme ermöglichen den Kriminellen die vollständige Kontrolle über das System. In mehreren dem BSI bekannten Fällen hatte dies große Produktionsausfälle zur Folge, da ganze Unternehmensnetzwerke neu aufgebaut werdenmussten.“

Könnte es also sein, dass die Meldungen über den Datenverlust bei der Direktion 2 der Berliner Polizei ein Ablenkungsmanöver oder eine Trugspur sind?! Und nicht nur das Kammergericht Berlin, sondern auch deren Kooperationspartner in Strafermittlungsverfahren, nämlich eine Direktion der Berliner Polizei ein sehr viel größeres IT-Problem haben, als „nur“ verschwundene Nutzerdaten von einigen Arbeitsplatzrechnern?

Ich bin jedenfalls gespannt darauf, was sich aus diesem „Fall“ noch entwickelt …

