Schutz gegen Manipulation: ARM-Werkzeuge für zuverlässige Verfahren in Behörden

Laut Medienberichten könnte eine Sicherheitslücke im Bundesamt für Migration und Flüchtlinge (Bamf) nach Einschätzung der eigenen Innenrevision Manipulation von Asyl-Verfahren und Entscheidungen nach sich ziehen. Grund: Unzulängliche Berechtigungsprozesse in der Behörde. Der Revisionsbericht 2018 zeigt, dass Tausende BAMF-Mitarbeiter Asylakten umprotokollieren könnten.

Bamf-Skandal: Mangelhafte Arbeit in der Behörde

Der „Tagesspiegel“ berichtete am 1. Juni 2018, dass die Akten im Flüchtlingsamt nicht sicher sind. Laut Bericht wollen die Revisoren herausgefunden haben, dass fast die Hälfte aller Bamf-Mitarbeiter Asylakten, die im elektronischen Aktensystem „Maris“ von rund zwei Millionen Asylverfahren verwaltet werden, weitreichend „umprotokollieren“ und damit theoretisch manipulieren können, wie z.B. Verfahrenstypen zu ändern oder Akten verschieben. Auch Eingriffe in das Verfahren selbst seien möglich, so die Prüfer.

Teures Risiko: Unbefugte Zugriffe

Matthias Schulte-Huxel, CSO bei Protected Networks, sagt: „Das ist eine fahrlässige und gefährliche Unachtsamkeit. ‚Wer im Bamf Zugriff auf welche Daten haben darf‘ ist eine Maßnahme unter vielen, um ‚theoretische‘ Manipulationen von Vorgängen in einer derart wichtige Behörden künftig zu verhindern. Zu den gesetzlich festgelegten Aufgaben des Staates gehört auch, Sicherheitslücken wie sie weitreichende Zugriffs- und Änderungsmöglichkeiten darstellen zu schließen. Die Praxis von Datenschutz und IT-Sicherheit darf nicht hinter problematischen IT-Strukturen und fehlgeleiteter Organisation zurücktreten. Sind keine geeigneten Lösungen im Einsatz, steht bei Sicherheitsvorfällen durch internes Fehlverhalten mit Datenmißbrauch für die Behörde viel auf dem Spiel. Abgesehen von möglichen rechtlichen Konsequenzen, finanziellen Kosten für Schadensersatz, Rechtsstreit und ein gravierender Vertrauensverlust.“

Zugriffe auf Akten zuverlässig verwalten

Eine sichere und gesetzeskonforme Berechtigungsverwaltung kann für die notwendige Transparenz und klare Kriterien für geordnete Berechtigungen von Beschäftigten sorgen. Mit einer standardisierten und prozessualen Software-Lösung wie 8MAN erfolgen viele Arbeitsschritte automatisiert und fehlerfrei. Mit dem Werkzeug lässt sich steuern, dass nur ausgewählte Mitarbeiter Rechte nach definierten Regeln und dem „need-to-know“-Prinzip für Zugriff auf sensible Daten erhalten. Eine massenhafte Rechtevergabe für „jedermann“ wird dadurch vermieden. Rechte können tätigkeitsbezogen nach Notwendigkeit für Lesen, Ändern und Löschen bei Datenzugriff vergeben werden.

Weitere Vorteile sind:
• Die Protokollierung und Übersicht über umfassende Daten zur Bedrohungsanalyse sind für IT-Administratoren in der Behörde eine Grundvoraussetzung, um Sicherheitsvorfälle wie unbefugte Datenzugriffe präventiv zu vermeiden bzw. im Schadensfall zu ermitteln und korrektive Maßnahmen gegen Schwachstellen zu ergreifen.
• Die Anwendung sorgt auf Knopfdruck für Klarheit, zeitnahe Auskunftsfähigkeit und Nachweise über regelkonformes Berechtigen im Auditprozess oder bei periodischen Prüfungen (Rezertifizierung) und stellt dafür verständliche Reporte bereit.
• Die lückenlose Dokumentation sämtlicher Berechtigungsprozesse ist Voraussetzung für zu erbringendende Nachweise über die Einhaltung von Compliance-Vorgaben gemäß BSI IT-Grundschutz, IT-Sicherheitsgesetz/KRITIS, DSGVO und BDSG-neu.
• 8MAN ist Wegbereiter für Sorgfalts- und Leistungsnachweise einschlägiger Sicherheitsstandards wie ISO/IEC 2700x für Informationssicherheit.