BMI-Datenleck: Programmierer konnten unbemerkt auf Polizeidaten zugreifen

„PAD, IKDA, VStV BMI & SIRENE“: Datenleck oder Supergau?

Als Unternehmen, welches eine Vielzahl der Verwaltungsprogramme des Innenministeriums aufsetzt und betreut, würde man meinen, dass es kein Problem darstellen sollte, wenn Programmierer auf sensible Daten einen Zugriff haben. Dies mag auch stimmen, wenn man genau weiß, wer hat wann welchen Datensatz gesichtet. Ein internes Schreiben aus dem BMI wirft nun viele Fragen auf.

„sämtliche Zugriffe und Aktivitäten die direkt auf der Datenbank erfolgen nicht protokolliert“ und „keine Überwachung durch Betrieb IV/2/c möglich ist.“

Internes E-Mail aus dem BMI

Im Gegensatz zu den Beamten des Innenministeriums, wo jede Abfrage protokolliert wird, konnten die Programmierer eines externen IT-Unternehmens beliebig, vermutlich sogar über Jahre hinweg, auf die Datenbank des Innenministeriums zugreifen, und zwar „ohne Überwachung“. Der Zugriff auf diese sensiblen und personenbezogenen Daten betrifft aber nicht nur Daten aus Österreich, sondern laut E-Mail, auch Daten aus dem Ausland, konkret aus dem Schengener Raum. Wir sprechen von mehr als 76 Millionen Daten (Stand 2018).

Höchste Beamte des Innenministeriums aus dem IT-Bereich ließen daraufhin im März 2019 eine Sicherheitslücke schließen.

Wie kam man überhaupt auf das Datenleck?

Im Zuge eines sogenannten „Change-Requests“ des Bundeskriminalamts ist die Behörde überhaupt auf den unprotokollierten Zugang der Datenbank gestoßen.

Heikle Dokumente an Fass ohne Boden zugespielt

Was genau gemeint ist, erörtert das E-Mail, aus welchem zitiert wird: „sämtliche Zugriffe und Aktivitäten die direkt auf der Datenbank erfolgen nicht protokolliert“ und „keine Überwachung durch Betrieb IV/2/c möglich ist.“

So heißt es darüber hinaus in der E-Mail, die an eine Vielzahl an Beamte des Innenministeriums erging: „Die Umsetzung bewirkt/bedeutet, dass die definierten [Firmen] Useraccounts gesperrt/deaktiviert/gelöscht werden.“

So liest man in dem brisanten Mail weiter: Für „Supportarbeiten, die [Unternehmen] Mitarbeiter in die Räumlichkeiten des Betrieb IV/2/c kommen müssen und im Beisein eines Technikers die Supportleistungen zu erbringen haben.“

„@Hr H. auf Basis dieser Entscheidung bitte die eingerichteten [Unternehmen der Redaktion bekannt] Arbeitsplätze in der [genauer Ort der Redaktion bekannt] ebenfalls deaktivieren/vom Netz nehmen und die HW zurückgeben.“

Nach Lektüre der E-Mails lässt es die politische Diskussion über den damaligen Innenminister, Herbert Kickl (FPÖ), in ein anderes Licht rücken. Während seiner Amtszeit wurde das Datenleck geschlossen.

Auf welche Daten hatten externe Programmierer Zugriff?

Mitarbeiter der externen Firma, die das Innenministerium im IT-Bereich seit Jahren betreut, hatten „nicht protokollierten Remote-Zugriff“ auf Echtdaten, sondern auch Zugriff auf Programme und Datenbanken von „PAD, IKDA, VStV BMI & Sirene.“ Da nur einem Polizisten diese Kürzel etwas sagen, ein kurzer Überblick der Programme.

PAD steht „Protokollieren-Anzeigen-Daten“ und protokolliert automatisch jedes eingehende Geschäftsstück von Polizisten. Mehr als 28.000 Beamte – vom Streifenpolizisten bis zum Ermittler des Bundeskriminalamts – arbeiten seit 2007 mit dem Computerprogramm PAD. Anzeigen und Vernehmungen werden mit diesem Programm administriert. Erst im vergangenen Jahr wurde das PAD System gegen PAD ND (= Next Generation) umgestellt. 26 Millionen Akten und 60 Millionen Ordnungszahlen (OZ) mussten ins neue System übernommen werden. Weitere Informationen über PAD.

IKDA bedeutet „Integrierte Kriminalpolizeiliche Datenanwendung“. Das Bundeskriminalamt verarbeitet mit dem Programm IKDA nationale und internationale kriminalpolizeiliche Daten. Durch Analyse und Aufbereitung der Daten erhofft man sich neue Erkenntnisse in der Kriminalitätsbekämpfung. Weitere Informationen über IKDA.

VStV BMI bedeutet „Verwaltungsstrafverfahren“ des BMI. Seit 2013 wird österreichweit ein Programm für Verwaltungsstrafverfahren verwendet. Dieses Programm dient zur Erstellung und Übermittlung von Verwaltungsübertretungsdaten an die Verwaltungsstrafbehörden.

SIRENE ist das Akronym für „Supplementary Information Request at the National Entry.“ Ob Haftbefehle, Abgängige, Aufenthaltsverbote, Aufenthaltsermittlungen, Fahrzeuge, Identitätsdokumente, Blankodokumente, Schusswaffen oder Banknoten: Das Sirene-Büro im Bundeskriminalamt kann auf 76,8 Millionen Ausschreibungen im Schengener Informationssystem (SIS II) zugreifen. Dieses Programm ist das Kernstück der Schengen-Zusammenarbeit. Das österreichische System ist in einem Hochsicherheitsbereich des BMI untergebracht. Weitere Informationen hier SIRENE und die Möglichkeit über die eigenen Daten des SIS II abzufragen.

Nationale Sicherheitsinteressen vs. Ausschreibung

Der Aufstieg des Softwaredienstleisters wurde bereits in der Vergangenheit als “Erfolgsgeschichte” dargestellt. 2001 wurde das Unternehmen gegründet. Laut Firmenbuch hatte das Unternehmen 2018 bereits 180 IT-Mitarbeiter. Darüber hinaus verfügt das Unternehmen über Beteiligungen in der Schweiz und Deutschland. Laut Recherchen vom STANDARD und Profil aus dem Jahr 2017 dürfte das Unternehmen seit 2007 mehr als zehn Aufträge des Ministeriums erhalten haben.

Aufgrund von „nationalen Sicherheitsinteressen“ gab es aber keine öffentlichen Ausschreibungen: „Das Innenministerium vergab in zehn Jahren Aufträge im Volumen von 13,6 Millionen Euro an immer dieselbe Wiener Softwareschmiede.“ (derstandard.at, 2017) Die Journalisten vom Standard halten fest, dass es keine Ausschreibungen gegeben hat, sondern das Unternehmen erhielt die staatlichen Aufträge durch Direktvergabe.

Die sogenannten „nationalen Sicherheitsinteressen“

Das betroffene Unternehmen [Name ist der Redaktion bekant] ist sowohl aus dem BVT-Pamphlet, als auch aus dem BVT-Untersuchungsausschuss bekannt. So hat das Innenministerium wiederkehrend in der Vergangenheit erörtert, dass direkte Vergaben möglich sind. Dies werde im Bundesvergabegesetz klar geregelt:

Dieses Bundesgesetz gilt nicht für:

1. “Aufträge im Verteidigungs- und Sicherheitsbereich, die dem BVergGVS 2012 unterliegen, sowie für Aufträge, die gemäß § 9 BVergGVS 2012 vom Geltungsbereich des BVergGVS 2012 ausgenommen sind,
2. […]
3. Vergabeverfahren, sofern der Schutz wesentlicher Sicherheitsinteressen der Republik Österreich nicht durch weniger einschneidende Maßnahmen gewährleistet werden kann,
4. Vergabeverfahren, sofern ein Sektorenauftraggeber aufgrund der Anwendung der Bestimmungen dieses Bundesgesetzes verpflichtet würde, Informationen zu übermitteln, deren Offenlegung nach Auffassung der Republik Österreich ihren wesentlichen Sicherheitsinteressen zuwiderlaufen würde (Art. 346 Abs. 1 lit. a AEUV).” Siehe auch ris.gv.at.

Daten aus dem SIRENE-Büro: Höchste Sensibilität

Eines der vier genannten Programme in der E-Mail heißt SIRENE. Das Schengener Informationssystem als gemeinsames elektronisches Fahndungssystem ist das Kernstück der Schengen-Zusammenarbeit. Es wurde als eine der wichtigsten Ausgleichsmaßnahmen für den Wegfall der Binnengrenzkontrollen zur europaweiten Bekämpfung der grenzüberschreitenden Kriminalität eingerichtet. Daher gelten für diese Daten enorme Sicherheitsstandards.

Der Europäische Datenschutzbeauftragte überwacht, dass die Tätigkeiten der Verwaltungsbehörde zur Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durchgeführt werden. Darüber hinaus gewährleistet er, dass die Verarbeitung personenbezogener Daten mindestens alle 4 Jahre überprüft wird. Ein Bericht über diese Überprüfung wird dem Europäischen Parlament, dem Rat, der Verwaltungsbehörde, der Kommission und den nationalen Kontrollinstanzen übermittelt.

EU-Datenschutz-Grundverordnung: Meldung von Datenschutzverletzungen

Die Wirtschaftskammer gibt eine klare Empfehlung ab, wie man im Falle eines „data breach“ zu reagieren habe. „Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ (data breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.

Laut Wirtschaftskammer müsse man, im Falle einer Verletzung des Schutzes personenbezogener Daten, wie folgt folgende Melde- und Benachrichtigungspflichten wahrnehmen:

1. „Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.“

Darüber hinaus ist der Informationsseite des Schengener Informationssystems der zweiten Generation (SIS II) folgendes zu entnehmen: „wird jemand durch den Betrieb des nationalen SIS-II-Systems geschädigt, so haftet ihm hierfür jeder Mitgliedstaat. Auch stellt jeder Mitgliedstaat sicher, dass jedweder potenzielle Missbrauch von im SIS II gespeicherten Daten und jedweder verordnungswidrige Austausch von Zusatzinformationen mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen geahndet wird.“ (wko.at)

Fazit

Warum hat das Innenministerium überhaupt unprotokollierten Zugriff auf die Datenbank, sprich Zugriffe und Aktivitäten, den IT-Mitarbeitern des Unternehmens gestattet? Und kann definitiv ausgeschlossen werden, dass IT-Mitarbeiter des Unternehmens nicht aus eigenem Antrieb heraus Anzeigen der Polizei, Vernehmungen von Zeugen und Beschuldigten, Verschlussakte, nationale und internationale kriminalpolizeiliche Daten oder gar Informationen aus dem Schengener Informationssystem gesichtet haben?

Zuerst muss der Nachfrage nachgegangen werden, ob das Innenministerium nach wie vor mit dem Unternehmen zusammenarbeitet. Es muss aber auch geklärt werden, ob die IT-Mitarbeiter von den „Produktionsumgebungen PAD, IKDA, VStV BMI & SIRENE“ nach wie vor gesperrt sind.

Eine Frage der Transparenz und dem korrekten Umgang mit personenbezogen Daten: Das 4-Augen-Prinzip. Warum wurde erst mit Wahrnehmung des Datenlecks die Weisung erteilt, dass IT-Mitarbeiter des Unternehmens im Beisein eines Technikers des BMI in den Räumlichkeiten des Betriebs IV/2/c Supportleistungen zu erbringen haben, und nicht von Anfang an, sprich bereits mit dem Start des Projekts?

Die Tragweite eines derartigen Datenlecks kann aus jetziger Sicht nicht einmal im Ansatz erfasst werden. Fass ohne Boden hat das Innenministerium und das betroffene Unternehmen bereits konfrontiert.