Waren die BMG-Mails zu schlecht geschützt?

Nach diesen Erklärungen begann die erste der drei geplanten Zeugenvernehmungen, die sich vornehmlich um den beruflichen Werdegang des Angeklagten Christoph H. bei den Gesellschaften des IT-Dienstleistungskonzerns Bechtle drehte. Dazu wurden zwei Führungskräfte aus dem Bechtle-Unternehmen befragt. Beide sagten aus, dass Christoph H. vor seiner Tätigkeit für das BMG als Service-Techniker auch Administrationsarbeiten für das Bundesumweltministerium und das Ministerium für Arbeit und Soziales durchgeführt hatte.

Bis auf ein in der Personalakte dokumentiertes Vorkommnis gab es aus der Erinnerung der beiden Führungskräfte keine Auffälligkeiten bezüglich des Verhaltens von Christoph H. Einer der beiden Zeugen beschrieb sein Auftreten als „stets korrekt und freundlich“. Der andere Zeuge bestätigte auf Nachfrage des Richters, dass der Angeklagte Service-Techniker Im Januar 2013 aufgrund der Ermittlungen zu den aktuell verhandeltem Ausspähen der Daten gekündigt wurde.

Vielfältige Zugriffsmöglichkeiten auf die E-Mail-Postfächer

Bei dem dritten und letzten vernommenen Zeugen handelte es sich um einen direkten Kollegen des Angeklagten Christoph H. Dieser habe sich nach eigener Auskunft kontinuierlich Notizen über seinen Kollegen gemacht, insbesondere über dessen genaue Dienstzeiten im Schichtbetrieb. Der Zeuge brachte im weiteren Verlauf der Vernehmung weitere Details über die IT-Arbeit beim BMG zu Tage.

Beispielsweise war es einem IT-Administrator theoretisch möglich, sich Nutzungsrechte für die E-Mail-Postfächer des BMG zu verschaffen. Auch über die regelmäßigen Datensicherungen auf Bändern war es den Administratoren möglich, einzelne E-Mails wiederherzustellen, ohne dass der ursprüngliche Adressat der Mail davon Kenntnis nahm. Dieser Vorgang war eigentlich für den Fall einer versehentlichen Löschung von E-Mails und anderen wichtigen Dateien durch BMG-Mitarbeiter vorgesehen.

Zudem erwähnte er, dass die USB-Schnittstellen auf den Rechnern des Ministeriums nicht für alle BMG-Mitarbeiter freigeschaltet waren. Wollte sich ein BMG-Mitarbeiter beispielsweise für eine Dienstreise ein „Datenpaket“ mit Dokumenten auf einem Stick mitnehmen, war es möglich, dies bei der IT zu beauftragen.

Christoph H. hatte alle administrativen Rechte

Darüber hinaus wies der Zeuge darauf hin, dass sein Ex-Kollege Christoph H. ausschließlich über einen sogenannten nicht personalisierten „Vertretungsaccount“ gearbeitet habe. Mit diesem anonymen Zugang hatte er alle administrativen Rechte. Allerdings könne dieser Zugang durch einfaches Zurücksetzen des Passworts theoretisch auch anderen IT-Administratoren zur Verfügung stehen.

Zuletzt erklärte der Zeuge, dass IT-Mitarbeiter von Bechtle durch die sogenannte Cluster-Struktur der Bechtle-Server vom Standort Berlin aus auch auf die Dateien des BMG-Servers in Bonn zugreifen konnten und umgekehrt. Zur Erklärung: Teile des Gesundheitsministeriums sind nach wie vor in Bonn angesiedelt.