Bundesministerien schützen sich gegen Datenklau

Berlin - Mal schnell reinspazieren und vertrauliche Unterlagen abzweigen - so einfach geht das nicht in Regierungsgebäuden. Wer einmal in einem Bundesministerium zu Gast war, kennt die recht strengen Sicherheitsvorkehrungen. Ausweiskontrolle, Metallscanner, ein persönlicher Begleiter - in den jeweiligen Häusern wird viel getan, um sich gegen ungewollte Besucher zu wappnen.

Die Maßnahmen sind richtig und wichtig. Doch dieser Tage offenbart sich durch den Fall des mutmaßlichen Apotheker-Spions im Gesundheitsministerium eine ganz andere Gefahr. Nicht Eindringlinge von außen sind das Problem, sondern Mitarbeiter, die sensible Daten über interne Computernetzwerke abzapfen und womöglich gegen Bares verkaufen.

Plötzlich fragen sich viele Verantwortliche in den Ministerien, wie es eigentlich um die Verwundbarkeit des eigenen Hauses steht.

Wenn mit krimineller Energie gearbeitet wird und womöglich Bestechung im Spiel ist, können die Ministerien wenig ausrichten. Eine lückenlose Kontrolle ist schlicht nicht machbar.

In den Ministerien ist man überzeugt, dass die Sicherheitsvorkehrungen schon jetzt streng sind. Schon seit den Zeiten des Kalten Krieges wird sehr genau hingeschaut, wer Zugriff auf sensible Daten hat. Grundlage ist das "Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes", das sogenannte Sicherheitsüberprüfungsgesetz (SÜG).

Eigene Mitarbeiter werden dem Aufgabenbereich entsprechend in drei Sicherheitsstufen - Ü1 bis Ü3 - eingeteilt. Je größer der Zugriff auf sensible Informationen, desto höher die Sicherheitsstufe. Externe Mitarbeiter, die an besonders heikle Daten ohnehin nicht herankommen, müssen deshalb nur den Ü1- oder Ü2-Check über sich ergehen lassen.

• Beispiel Verbraucherschutzministerium (BMELV): Dort heißt es, externe Unternehmen und deren Mitarbeiter würden "mindestens mit der Stufe Ü1 sicherheitsüberprüft". Seit Anfang des Jahres sei außerdem eine "Ü2- Sabotageschutzüberprüfung erforderlich". Über die Vorgaben wacht im BMELV wie in anderen Häusern die Geheimschutzbeauftragte.
• Im Finanzministerium sieht man sich ebenfalls maximal gegen Maulwürfe gewappnet. "Wir halten uns streng an die SÜG-Vorgaben", sagt eine Sprecherin. Außerdem arbeite man lediglich mit einem zentralen internen Dienstleister zusammen, dessen Mitarbeiter alle entsprechend überprüft würden.
• Auch im Innenministerium ist man der Überzeugung, in Sachen Sicherheit keine Lücken zu haben. Im Unterschied zu einigen anderen Ressorts wird hier zudem weitgehend verschlüsselt kommuniziert.
• Im Wirtschaftsministerium gibt es eine eigene Stabsstelle Geheimschutz in der Wirtschaft. Die Stabsstelle kontrolliert und betreut jene Unternehmen, die von Bundesbehörden Aufträge erhalten, die als Verschlusssache eingestuft sind. Besonderes Augenmerk liegt auf Geschäften im Rüstungsbereich.

Für die Überprüfungen nach dem Bundesdatenschutzgesetz sind die Landesämter für Verfassungsschutz beziehungsweise das Bundesamt zuständig. Während der Ü1-Check noch relativ grob ausfällt, ist die nächste Stufe schon detaillierter. So wird beispielsweise auch der Partner des jeweiligen Mitarbeiters unter die Lupe genommen. Auf dieser Stufe war wohl auch der Maulwurf im Gesundheitsministerium überprüft worden. Gereicht hat das trotzdem nicht.

Ü3 bedeutet, dass die Verfassungsschützer das komplette Lebensumfeld unter die Lupe nehmen. Auch die Vergangenheit wird durchleuchtet. Ex-Freundinnen werden befragt, Nachbarn, ehemalige Mitschüler. "Das hat es wirklich in sich", sagt einer, der diesen Check hinter sich hat. Entsprechend klein ist der Ü3-Personenkreis in den Ministerien. Externe IT-Mitarbeiter sind nicht darunter und werden es auch in Zukunft nicht sein.

Wirklich geschützt, das wird dieser Tage klar, sind die Ministerien trotz all der peniblen Sicherheitsvorkehrungen nicht. Wer kriminelle Energie hat, wird auch vor schärfsten Kontrollen nicht zurückschrecken. Die Experten in den Ministerien hoffen nun, dass der Maulwurf im Gesundheitsministerium ein Einzelfall bleibt. Eine Verschärfung der Sicherheitsmaßnahmen ist jedenfalls nicht geplant.