Beate Meinl-Reisinger (NEOS) trat im Sommergespräch des öffentlich-rechtlichen Rundfunks selbstbewusst auf. Die neue Außenministerin lobte die Errungenschaften ihrer Partei und sprach von Aufräumarbeiten im internationalen Parkett. Doch an einer Stelle wurde es heikel. Auf die Frage nach dem Sicherheits-Skandal im Außenministerium wich sie aus. Sie habe sofort reagiert und eine Kommission eingesetzt.
Was sie nicht sagte: Im Hintergrund liegt ein ungelöster Vorfall, der das Herzstück der Affäre bildet. Ende Dezember 2019 verschickte ein Angehöriger des Außenministeriums eine kompromittierte E-Mail. Sie ging an Mitarbeiter, sie war infiziert, und sie wurde zum Einfallstor für eine der schwersten Cyberkrisen der Republik.
Die vergessene Dezember-Mail
Wenige Tage vor Jahreswechsel 2019/2020 erreichte eine E-Mail die Mitarbeiter des Außenministeriums. Der Absender war ein Kollege, der scheinbar Weihnachtsgrüße übermittelte. Die Mail war echt im Sinne des Systems, sie wurde über BMEIA-Strukturen verschickt. Doch sie war kompromittiert. Der Anhang oder ein Link öffnete den Angreifern eine Tür. Bis zum jetzigen Zeitpunkt ist offiziell noch nicht geklärt, wer diese Mail tatsächlich verschickte. Der Absender wurde vom Außenministerium unter Alexander Schallenberg (ÖVP) geschützt.
Rundmail am 5.01.2020
Am 5. Jänner 2020, Punkt Mitternacht, verschickte die IKT-Abteilung eine Rundmail an alle Mitarbeiter. Zum Schutz der Quelle verzichten wir auf ein Faksimile:
„Sehr geehrte Kolleginnen und Kollegen,
die IT-Systeme des BMEIA sind derzeit Ziel eines schwerwiegenden Cyber-Angriffs.
Wir informieren Sie, dass auch Ihre personenbezogenen Daten betroffen sein könnten. Sofern Sie im Rahmen der IKT-Nutzungsverordnung die IKT-Infrastruktur für private Zwecke nutzen, könnten auch Ihre Passwörter betroffen sein.
Wir empfehlen daher, die entsprechenden Passwörter für private Anwendungen (private E-Mail, Social-Media-Accounts, Zugangsdaten) umgehend zu ändern und derzeit die BMEIA-Infrastruktur bis auf Weiteres nicht für private Zwecke zu verwenden.
Die dienstlichen Passwörter müssen zum aktuellen Zeitpunkt nicht geändert werden.
Wir danken für Ihr Verständnis.
Ihre IKT-Abteilung“
Diese Formulierung ist bis heute verdächtig. Wenn die Systeme kompromittiert waren, warum sollten dienstliche Passwörter unangetastet bleiben? Wollte man Panik vermeiden? Oder wusste die Abteilung, dass nur private Daten betroffen waren? Diese Logik bleibt zweifelhaft.
Die E-Mail wirkte wie Schadensbegrenzung. Doch sie wirft mehr Fragen auf, als sie beantwortet.
Die Krise eskaliert
Am 4. Jänner 2020 wurden Krisenmechanismen aktiviert. Das Innenministerium übernahm die Koordination. Externe Firmen wurden beigezogen. In Summe fielen über zehntausend Arbeitsstunden an. Eine Notfallbeschaffung von fast 1,7 Millionen Euro wurde durchgeführt.
Der Rechnungshofbericht zeichnet ein Bild der Überforderung. Es fehlte an Grundlagen, an Planung, an Übersicht. Die Attacke wurde der russischen Turla-Gruppe zugeschrieben. Sie legte Schwachstellen offen, die nicht nur das Außenministerium betrafen, sondern auch andere Systeme des Bundes.
Doch in all den Berichten, Protokollen und Analysen bleibt ein Detail am Rand: die kompromittierte Dezember-Mail.
Vertuschung und Schweigen
Warum wurde diese erste Mail nie in den Mittelpunkt der Aufarbeitung gestellt? Warum sprach man öffentlich nur vom Cyberangriff, aber kaum von der Tatsache, dass die Bedrohung über die eigene Infrastruktur verteilt wurde?
Die politische Führung entschied sich für den einfacheren Weg. Man sprach von einer großen ausländischen Hackergruppe. Man betonte die internationale Dimension. Die kleine, aber entscheidende Vorgeschichte im Dezember wurde verschwiegen.
Ein offenes Scheunentor
2025 zeigt eine Recherche von Fass ohne Boden, wie tief die Probleme reichen. 27 Datenlecks, fast 100 überprüfte Adressen, 46 kompromittierte Mitarbeiter. Darunter prominente Namen wie Alexander Schallenberg und Thomas Oberreiter.
Die private Nutzung von dienstlichen Adressen war nicht die Ausnahme, sondern die Regel. Mitarbeiter trugen ihre BMEIA-Adressen bei LinkedIn, bei Social-Media-Konten, sogar bei öffentlichen Büchereien ein. Adressen tauchten in internationalen Leaks auf. Passwörter waren kompromittiert, teilweise im Klartext.
Diese Muster belegen, dass das Außenministerium kein Einzelfall von 2019/2020 erlebte, sondern ein strukturelles Problem hatte.
Politische Dimension 2025
Als Meinl-Reisinger 2025 ins Amt kam, traf sie auf ein Ministerium voller ungelöster Altlasten. Der Skandal um den Sadomaso-Botschafter war nur das mediale Gesicht. Die eigentliche Krise liegt tiefer.
Die Außenministerin kündigte eine Kommission unter der Leitung von Thomas Starlinger an. IT-Experten, Nachrichtendienstler, Juristen sollen das Ministerium durchleuchten. Bis Oktober 2025 soll ein Bericht vorliegen. Darüber hinaus stellt sich die Frage, wie lange Starlinger und Oberreiter sich tatsächlich kennen. Dieser Frage gehen wir als Redaktion bereits auf den Grund.
Ein Strukturelles Problem
Die Affäre zeigt ein Ministerium ohne Sicherheitskultur. Private und dienstliche Nutzung wurden vermischt. Disziplin war ein Fremdwort. Regeln wurden ignoriert.
Erst 2025 legte das BMEIA neue Social-Media-Guidelines vor. Dort heißt es: private und dienstliche Accounts sind strikt zu trennen. Es ist ein spätes Eingeständnis dessen, was längst klar war.
Noch ungelöstes Rätsel
Die kompromittierte Mail vom Dezember 2019 bleibt noch der blinde Fleck der Affäre. Sie ist der Anfangspunkt, sie ist das Symbol.
Die offizielle Warnung vom 5. Jänner ist nun dokumentiert. Die zusätzlichen Kosten hat der Rechnungshof bereits festgestellt. Die Angreifer wurden benannt. Doch die entscheidende Frage wurde nie beantwortet. Wer schrieb diese Mail? Wer war der „Patient Null“, sprich jene Person, die die kompromittierte E-Mail an BMEIA-Angehörige versendet hat? Und die Wahrheit dürfte vielen in der ÖVP bitter aufstoßen.
In Niederösterreich laufen bereits erste Recherchen aus den Reihen der Partei, um unsere Redaktion zu denunzieren. Doch keine Sorge: „Unser Giftschrank“ ist prall gefüllt.
