Rheinland-Pfalz: Eklatante Schieflage im Bereich mobile Endgeräte

Der Landesrechnungshof Rheinland-Pfalz hat in seinem Jahresbericht 2019 über den Einsatz mobiler Endgeräte (Smartphones und Tablets) in der Landesverwaltung informiert. Die Ergebnisse sind mehr als gruselig:

Die Landesverwaltung setzte 2017 fast 2.000 mobile Endgeräte (Smartphones und Tablets) ein. Es wurden 201 Gerätetypen von 16 Herstellern verwendet. Auf knapp 1.000 Geräten (ohne Polizei) waren 59 verschiedene Betriebssystemversionen installiert. Eine einheitliche Produktstrategie auf Grundlage einer Wirtschaftlichkeitsuntersuchung war nicht vorhanden.

Die Betriebssysteme von 62 % der Geräte waren nicht auf einem aktuellen Stand. Sicherheitsrelevante Updates waren nicht durchgeführt worden oder nicht mehr verfügbar. Dadurch waren ein sicherer Betrieb und der Datenschutz nicht gewährleistet.

Die Konfiguration des überwiegenden Teils der mobilen Endgeräte entsprach nicht den Mindestanforderungen des Bundesamts für Sicherheit in der Informationstechnik. Landeseinheitliche und verbindliche Mindeststandards für die technischen und organisatorischen Sicherheitsmaßnahmen für den Einsatz mobiler Endgeräte fehlten.

Auf den zentral verwalteten mobilen Endgeräten waren fast 700 verschiedene Apps installiert, ohne dass die damit verbundenen Risiken für die Informationssicherheit in einem Freigabeprozess bewertet worden waren. Eine Prüfung, ob ein dienstlicher Bedarf für die Nutzung der Apps besteht und welcher Schutzbedarf für die verarbeiteten Daten und Informationen zu berücksichtigen ist, war unterblieben.

Bei über 700 Geräten, die nicht zentral verwaltet wurden, konnten keine einheitlichen Sicherheitsstandards durchgesetzt und Notfallaktionen ausgelöst werden. Ein großer Teil dieser Geräte hatte Zugriff auf die IT-Infrastruktur des Landes.

Bei auch privater Nutzung dienstlicher Geräte lagen keine Einwilligungserklärungen der Benutzer vor, die es den Dienststellen gestatteten, die für die IT-Sicherheit und den Datenschutz erforderlichen Zugriffe, Kontrollen und Maßnahmen durchzuführen.

Auch ohne Captain Obvious kann hoffentlich jeder erkennen: Das kann auf die Dauer nicht gut gehen. Insgesamt ist das ein Skandal. Wie kann man den staatlichen Verwaltungsprozess in eine solche Schieflage bringen? Angesichts dieses Berichts kann man davon ausgehen, dass etliche personenbezogenen Daten von Bürgern fahrlässig an Dritte übermittelt wurden. Einfach unfassbar.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡