IT-Kompetenz und polizeiliche Kompetenz (einschließlich des sicheren Umgangs mit Schusswaffen) sind zwei paar Schuhe. Sicherlich wäre erstere wünschenswert, aber wenn sie weder Einstellungskriterium noch Ausbildungsgegenstand auf der Polizeischule ist, kann man ihr Fehlen den Beamten schlecht zum Vorwurf machen.
In diesem Punkt sind sie genauso unbedarft wie der Bevölkerungsdurchschnitt.
"Zugangsdaten nicht weitergeben" ist keine IT-Kompetenz. Das ist einfach nur verantwortungsvoller Umgang mit Daten oder noch banaler Einhaltung von Dienstvorschriften. Und beides kann man von einem Polizisten erwarten. IT-Kompetenz braucht es erst, um etwaige verdeckte Angriffe zu erkennen - nicht vertrauenswürdige Webseiten, mysteriöse Mailanhänge, gefälschte Eingabemasken und ähnliches spielen aber keine Rolle. Es handelt sich um von der IT gesicherte Dienstcomputer mit kontrollierter Software, eingeschränktem Internetzung und es gibt keine Hinweise auf Phishing-Mails (und auch die wiederum dürften nur bei Verletzung von Dienstvorschriften Erfolg haben, erst recht wenn bislang nur einmalige Anmeldung am Rechner erforderlich ist und somit jede Passwortabfrage nach dem Start suspekt). Auch von Hacks wurde nicht berichtet, sondern ganz banales "ich lasse den Kollegen mit meinen vertraulichen Zugangsdaten, die ich niemandem weitergeben darf, arbeiten". (Soweit jedenfalls die Behauptung.)
Wie gut das funktioniert, sehen wir ja gerade: Jeder im Revier kennt augenscheinlich die Zugangsdaten Anderer und wird, wenn er damit Daten für Drohmails heraussucht, vermutlich als Zugriffsgrund "Heil Kräuter!" angeben. Ihn selbst trifft's ja nicht und auch der Kollege, dessen Zugangsdaten verwendet werden, wird vermutlich nur einmal ganz dolle vom Chef ausgeschimpft, bis er weint und Besserung gelobt. Und wenn der böse andere Kollege nur vorgeschoben war, weint der Täter vermutlich nicht einmal wirklich, wenn er ausgeschimpft wird, sondern tut nur so und bessert sich natürlich auch nicht.
Bei einem System dieser Schutzstufe wäre spätestens nach den ersten Vorkommnissen vor über einem Jahr ein einfaches Feedbacksystem fällig gewesen, das einerseits multiple Logins mit dem gleichen Account registriert sowie Alarm gibt und andererseits dem Anwender Feedback gibt, wann "er" sich das letzte Mal eingeloggt hat oder zumindest eine Meldung rausgibt, wenn ein Login außerhalb der Arbeitszeit des Account-Inhabers erfolgt. Desweiteren würde es mich sehr wundern, wenn eine deutsche Behörde nicht noch die veralteten Empfehlungen zu ständig ändernden Passwörtern befolgt. Technisch ist das wirklich leicht, missbräuchliche Nutzung festzustellen, wenn man sich schon nicht darauf verlässt, Beamte unfähig sind, vertrauliche Daten vertraulich zu halten.
Deshalb schrieb ich ja auch, wenn ich mich kurz selbst zitieren darf: "2FA mit mindestens einem persönlichen, nicht auf andere Personen übertragbaren Zugangsmerkmal; gültig für die Abfrage selbst und nicht für einen Client mit generellem Zugriffsrecht auf - beispielsweise - das Melderegister."
Die PCs sollten neben dem Melderegister noch Zugriff auf eine ganze Menge weiterer brisanter Inhalte haben. Die alle einzeln abzusichern wäre ein ziemlicher Aufwand und aktuell in Bearbeitung befindliche Fälle dürften sogar auf dem Client vorliegen, ohne zwischengeschaltetes Portal. Es gilt also den Account selbst sicher zu halten, alles andere ist behelfsmäßiges Nachschminken.
Wenn man bedenkt, dass andernorts Home Office verboten wird, weil man nicht kontrollieren kann, wer möglicherweise über die Schulter auf den Bildschirm schaut und wir werden PCs mit weitreichenden Zugriffen auf alles mögliche einfach irgendwem überlassen...
Das ist aber ein hoher technischer Aufwand.
Und Webcams sind nicht vorhanden.
Bei einem Teil der Rechner dürften Webcams auch problematisch sein. Solche Daten werden ja nicht nur im Innendienst im Büro gebraucht, sondern auch im Außeneinsatz und auch an Rechnern, in deren Nähe Zeugen oder Verdächtige befragt werden. Also in Umgebungen, in denen selbst mit Verweis auf "Beamte müssen alles mögliche ertragen" keine Videoüberwachung oder etwas, das damit verwechselt werden kann, zulässig werden. Natürlich könnte man die Webcams nach jeder Anfrage wegstellen, aber dann halten sie vermutlich nicht lange und die Arbeit wird stellenweise massiv eingeschränkt. Sowas bringt nichts. Schon bei deutlich weniger invasiven Maßnahmen würde ich befürchten, dass die Beamten anfangen alle potentiell noch wichtigen Datensätze einfach komplett zwischenzuspeichern oder gar auszudrucken, sodass am Ende mehr Daten schlecht bis gar nicht gesichert sind, als jetzt.
Man muss halt einfach Passwörter mit mehr als 20 Zeichen verwenden.
Für "Password", "abcdef", oder "123456" braucht man kein Bruteforce. Da reicht eine Rainbowtable.
Problem ist bloß, wenn Dienste wie z.B. Uplay die Passwörter auf max. 16 Zeichen begrenzen.
Bei einem vernünftigen System ist schon ein fünfstelliges Zufallspasswort mehr als sicher genug oder alternativ ein achtstelliges mit minimal veränderten Realwörtern. Wir reden hier nicht von passiven Dateiarchiven oder reset baren offline-Geräten, sondern von kompletten, physisch geschützten Rechnern mit Netzwerkanbindung. So ein System kann man problemlos auf 10-20 fehlgeschlagene Loginversuche pro Tag und Account begrenzen. Wenn dann noch ein Abgleich mit der Aktivität des legitimen Inhabers erfolgt, sind schon die Top51-100 der meistgenutzten Passwörter sicher und die Länge dient eigentlich nur noch dazu, ein einfaches mitlesen des Passworts beim eintippen zu erschweren. Mit etwas mehr Aufwand und bei dem definitiv bestehenden Anlass würde ich das System sogar noch eine Mustererkennung verpassen, die nach mehreren Fehlversuchen in Folge prüft, ob da jemand bis auf normale Tippfehler das korrekte Passwort einzugeben versucht, oder ob sich einer durch ein Rainbow-Table tippt. Und wenn letzteres: Direkt Meldung an die IT und den Abteilungsleiter, nachsehen wer das ist.
Wäre übrigens auch ermittlungstechnisch im jetzigen Zustand das schlauere gewesen: Dem "ich wars doch nicht! Ehrenwort!! Ich bin nur blöd!!!"-Beamten eine Kopie ihres bisherigen Accounts mit neuen Zugangsdaten geben, den alten aber bestehen lassen. Und sobald ihn noch einmal jemand benutzen will: Zuschlagen.
Aber das wäre wohl zu einfach gewesen bzw. da hätte man ja wirkungsvoll gegen Polizisten ermittelt...
