By using this site, you agree to the Privacy Policy and Terms of Use.
Accept
Fass ohne BodenFass ohne Boden
  • Investigativ
    InvestigativShow More
    Johanna Mikl-Leitner - Sepa Media - Martin Juen
    Flüchtlingskrise: Geheimbericht belegt Missstände im Innenministerium
    26. Januar 2023
    Florian Krumpöck - Herbert Lehmann - picturedesk.com
    Semmering-Bombe: Krumpöck angeklagt – Büro Mikl-Leitner zittert
    12. Januar 2023
    Tierquälerei in Hühnermast - vgt.at
    Skandal: Tierquälerei in Hühnermast
    31. Dezember 2022
    Sujetbild Saunaclub - rawpixel.com - Adobe Stock
    Semmering: Bürgermeister Doppelreiter und das ukrainische Oligarchen-Netzwerk
    14. Juli 2022
    Sujetbild Geld - Foto Tomasz Zajda - Adobe Stock
    Aviso: Semmering, Schellenbacher und das Netzwerk der Ukrainer
    10. Juli 2022
  • Politik
    PolitikShow More
    Johanna Mikl-Leitner gebrochen - Sepa-Media - Martin Juen
    NÖ-Umfrage: ÖVP-Panik – Freifaller ohne Fallschirm auf 38%
    20. Januar 2023
    ÖVP NÖ Obfrau - Johanna Mikl-Leitner - Sepa Media Martin Juen
    ORF-NÖ Skandal: FPÖ fordert Rücktritt von Mikl-Leitner
    19. Januar 2023
    Udo Landbauer - Sepa Media
    Landbauer präsentiert mit Ex-ÖVPler “Hoffnungsmodell Landeskindergeld”
    17. Januar 2023
    Sujetbild Cash macht fesch - Alexa - pixabay
    Brisant: Inflation 2022 auf 8,6 Prozent gestiegen
    16. Januar 2023
    Johanna Mikl-Leitner gebrochen - Sepa-Media - Martin Juen
    Brutal: Verdacht auf gigantische ÖVP-Wahlkampfkosten 
    15. Januar 2023
  • Nachrichtendienst
    NachrichtendienstShow More
    li Oleksandr Nakonechny - Foto Pravda Gerashchenko - Telegram - Re: PublicDomainPictures - Pixabay
    Ukraine: Regionaler Geheimdienstchef tot aufgefunden
    21. August 2022
    Sujetbild OSINT und Agent - Przemek Klos - Adobe Stock Foto
    OSINT: Mossad schult europäische Geheimagenten
    20. Juli 2022
    Sujetbild Hacker - AdobeStock - DC Studio
    Spionage-Tool “Hermit” löst Überwachungssoftware “Pegasus” ab
    18. Juni 2022
    links: Gert Polli - rechts: BVT Gebäude
    Gert Polli über Wien: “Hauptstadt der Spione und Intrigen”
    27. April 2022
    Guantanamo - Wikimedia - USMC - Shane T. McCoy
    Spione, Strippenzieher und Geheimdienste: Gezielte Entführungen, Folterungen und Liquidierungen durch die USA
    5. April 2022
  • Sicherheit
    SicherheitShow More
    Sujetbild HIMARS - Russell J. Good - Wikimedia
    Panzer für Ukraine gefördert
    19. Januar 2023
    AO Raiffeisenbank - Foto Raiffeisenbank International
    Raiffeisen hilft russischen Soldaten bei Krediten
    9. Januar 2023
    Bundesheer Sujetbild - BMLVS - flickr.com
    Drama: Wachsoldat beim Jagdkommando getötet
    6. Januar 2023
    Sujetbild-Folter - Jonathan Stutz - Adobe Stock
    Ukraine: 25 Folterlager in Charkiw entdeckt
    3. Januar 2023
    Bundesheer Grenzkontrolle - Foto Peter Scharmueller.jpg
    75.000 Flüchtlinge wurden bisher aufgegriffen
    16. Oktober 2022
Reading: BMI-Datenleck: Programmierer konnten unbemerkt auf Polizeidaten zugreifen
Share
Notification Show More
Latest News
Johanna Mikl-Leitner - Sepa Media - Martin Juen
Flüchtlingskrise: Geheimbericht belegt Missstände im Innenministerium
Investigativ
Johanna Mikl-Leitner gebrochen - Sepa-Media - Martin Juen
NÖ-Umfrage: ÖVP-Panik – Freifaller ohne Fallschirm auf 38%
Politik
ÖVP NÖ Obfrau - Johanna Mikl-Leitner - Sepa Media Martin Juen
ORF-NÖ Skandal: FPÖ fordert Rücktritt von Mikl-Leitner
Politik
Sujetbild HIMARS - Russell J. Good - Wikimedia
Panzer für Ukraine gefördert
Sicherheit
Udo Landbauer - Sepa Media
Landbauer präsentiert mit Ex-ÖVPler “Hoffnungsmodell Landeskindergeld”
Politik
Aa
Aa
Fass ohne BodenFass ohne Boden
  • Politik
  • Investigativ
  • Sicherheit
  • Nachrichtendienst
  • Politik
  • Sicherheit
  • Investigativ
  • Nachrichtendienst
Hast du einen Account? Sign In
Follow US
  • Advertise
© 2022 Foxiz News Network. Ruby Design Company. All Rights Reserved.
Fass ohne Boden > Blog > Investigativ > BMI-Datenleck: Programmierer konnten unbemerkt auf Polizeidaten zugreifen
Investigativ

BMI-Datenleck: Programmierer konnten unbemerkt auf Polizeidaten zugreifen

Alexander Surowiec
Last updated: 2019/10/20 at 9:34 AM
By Alexander Surowiec 11 Min Read
Share
BMI-Datenleck - Fass ohne Boden - Foto: Pexels - Pixabay
BMI-Datenleck - Fass ohne Boden - Foto: Pexels - Pixabay
SHARE

„PAD, IKDA, VStV BMI & SIRENE“: Datenleck oder Supergau?

Als Unternehmen, welches eine Vielzahl der Verwaltungsprogramme des Innenministeriums aufsetzt und betreut, würde man meinen, dass es kein Problem darstellen sollte, wenn Programmierer auf sensible Daten einen Zugriff haben. Dies mag auch stimmen, wenn man genau weiß, wer hat wann welchen Datensatz gesichtet. Ein internes Schreiben aus dem BMI wirft nun viele Fragen auf.

Contents
„PAD, IKDA, VStV BMI & SIRENE“: Datenleck oder Supergau? Wie kam man überhaupt auf das Datenleck?Heikle Dokumente an Fass ohne Boden zugespieltAuf welche Daten hatten externe Programmierer Zugriff?Nationale Sicherheitsinteressen vs. AusschreibungDie sogenannten „nationalen Sicherheitsinteressen“Daten aus dem SIRENE-Büro: Höchste Sensibilität EU-Datenschutz-Grundverordnung: Meldung von DatenschutzverletzungenFazit

„sämtliche Zugriffe und Aktivitäten die direkt auf der Datenbank erfolgen nicht protokolliert“ und „keine Überwachung durch Betrieb IV/2/c möglich ist.“

Internes E-Mail aus dem BMI

Im Gegensatz zu den Beamten des Innenministeriums, wo jede Abfrage protokolliert wird, konnten die Programmierer eines externen IT-Unternehmens beliebig, vermutlich sogar über Jahre hinweg, auf die Datenbank des Innenministeriums zugreifen, und zwar „ohne Überwachung“. Der Zugriff auf diese sensiblen und personenbezogenen Daten betrifft aber nicht nur Daten aus Österreich, sondern laut E-Mail, auch Daten aus dem Ausland, konkret aus dem Schengener Raum. Wir sprechen von mehr als 76 Millionen Daten (Stand 2018).

Höchste Beamte des Innenministeriums aus dem IT-Bereich ließen daraufhin im März 2019 eine Sicherheitslücke schließen.

Wie kam man überhaupt auf das Datenleck?

Im Zuge eines sogenannten „Change-Requests“ des Bundeskriminalamts ist die Behörde überhaupt auf den unprotokollierten Zugang der Datenbank gestoßen.

Heikle Dokumente an Fass ohne Boden zugespielt

E-Mail an diverse IT-Entscheidungsträger des BMI

Was genau gemeint ist, erörtert das E-Mail, aus welchem zitiert wird: „sämtliche Zugriffe und Aktivitäten die direkt auf der Datenbank erfolgen nicht protokolliert“ und „keine Überwachung durch Betrieb IV/2/c möglich ist.“

So heißt es darüber hinaus in der E-Mail, die an eine Vielzahl an Beamte des Innenministeriums erging: „Die Umsetzung bewirkt/bedeutet, dass die definierten [Firmen] Useraccounts gesperrt/deaktiviert/gelöscht werden.“

So liest man in dem brisanten Mail weiter: Für „Supportarbeiten, die [Unternehmen] Mitarbeiter in die Räumlichkeiten des Betrieb IV/2/c kommen müssen und im Beisein eines Technikers die Supportleistungen zu erbringen haben.“

„@Hr H. auf Basis dieser Entscheidung bitte die eingerichteten [Unternehmen der Redaktion bekannt] Arbeitsplätze in der [genauer Ort der Redaktion bekannt] ebenfalls deaktivieren/vom Netz nehmen und die HW zurückgeben.“

Nach Lektüre der E-Mails lässt es die politische Diskussion über den damaligen Innenminister, Herbert Kickl (FPÖ), in ein anderes Licht rücken. Während seiner Amtszeit wurde das Datenleck geschlossen.

Auf welche Daten hatten externe Programmierer Zugriff?

Mitarbeiter der externen Firma, die das Innenministerium im IT-Bereich seit Jahren betreut, hatten „nicht protokollierten Remote-Zugriff“ auf Echtdaten, sondern auch Zugriff auf Programme und Datenbanken von „PAD, IKDA, VStV BMI & Sirene.“ Da nur einem Polizisten diese Kürzel etwas sagen, ein kurzer Überblick der Programme.

PAD steht „Protokollieren-Anzeigen-Daten“ und protokolliert automatisch jedes eingehende Geschäftsstück von Polizisten. Mehr als 28.000 Beamte – vom Streifenpolizisten bis zum Ermittler des Bundeskriminalamts – arbeiten seit 2007 mit dem Computerprogramm PAD. Anzeigen und Vernehmungen werden mit diesem Programm administriert. Erst im vergangenen Jahr wurde das PAD System gegen PAD ND (= Next Generation) umgestellt. 26 Millionen Akten und 60 Millionen Ordnungszahlen (OZ) mussten ins neue System übernommen werden. Weitere Informationen über PAD.

IKDA bedeutet „Integrierte Kriminalpolizeiliche Datenanwendung“. Das Bundeskriminalamt verarbeitet mit dem Programm IKDA nationale und internationale kriminalpolizeiliche Daten. Durch Analyse und Aufbereitung der Daten erhofft man sich neue Erkenntnisse in der Kriminalitätsbekämpfung. Weitere Informationen über IKDA.

VStV BMI bedeutet „Verwaltungsstrafverfahren“ des BMI. Seit 2013 wird österreichweit ein Programm für Verwaltungsstrafverfahren verwendet. Dieses Programm dient zur Erstellung und Übermittlung von Verwaltungsübertretungsdaten an die Verwaltungsstrafbehörden.

SIRENE ist das Akronym für „Supplementary Information Request at the National Entry.“ Ob Haftbefehle, Abgängige, Aufenthaltsverbote, Aufenthaltsermittlungen, Fahrzeuge, Identitätsdokumente, Blankodokumente, Schusswaffen oder Banknoten: Das Sirene-Büro im Bundeskriminalamt kann auf 76,8 Millionen Ausschreibungen im Schengener Informationssystem (SIS II) zugreifen. Dieses Programm ist das Kernstück der Schengen-Zusammenarbeit. Das österreichische System ist in einem Hochsicherheitsbereich des BMI untergebracht. Weitere Informationen hier SIRENE und die Möglichkeit über die eigenen Daten des SIS II abzufragen.

Nationale Sicherheitsinteressen vs. Ausschreibung

Der Aufstieg des Softwaredienstleisters wurde bereits in der Vergangenheit als “Erfolgsgeschichte” dargestellt. 2001 wurde das Unternehmen gegründet. Laut Firmenbuch hatte das Unternehmen 2018 bereits 180 IT-Mitarbeiter. Darüber hinaus verfügt das Unternehmen über Beteiligungen in der Schweiz und Deutschland. Laut Recherchen vom STANDARD und Profil aus dem Jahr 2017 dürfte das Unternehmen seit 2007 mehr als zehn Aufträge des Ministeriums erhalten haben.

Aufgrund von „nationalen Sicherheitsinteressen“ gab es aber keine öffentlichen Ausschreibungen: „Das Innenministerium vergab in zehn Jahren Aufträge im Volumen von 13,6 Millionen Euro an immer dieselbe Wiener Softwareschmiede.“ (derstandard.at, 2017) Die Journalisten vom Standard halten fest, dass es keine Ausschreibungen gegeben hat, sondern das Unternehmen erhielt die staatlichen Aufträge durch Direktvergabe.

Die sogenannten „nationalen Sicherheitsinteressen“

Das betroffene Unternehmen [Name ist der Redaktion bekant] ist sowohl aus dem BVT-Pamphlet, als auch aus dem BVT-Untersuchungsausschuss bekannt. So hat das Innenministerium wiederkehrend in der Vergangenheit erörtert, dass direkte Vergaben möglich sind. Dies werde im Bundesvergabegesetz klar geregelt:

Dieses Bundesgesetz gilt nicht für:

  1. “Aufträge im Verteidigungs- und Sicherheitsbereich, die dem BVergGVS 2012 unterliegen, sowie für Aufträge, die gemäß § 9 BVergGVS 2012 vom Geltungsbereich des BVergGVS 2012 ausgenommen sind,
  2. […]
  3. Vergabeverfahren, sofern der Schutz wesentlicher Sicherheitsinteressen der Republik Österreich nicht durch weniger einschneidende Maßnahmen gewährleistet werden kann,
  4. Vergabeverfahren, sofern ein Sektorenauftraggeber aufgrund der Anwendung der Bestimmungen dieses Bundesgesetzes verpflichtet würde, Informationen zu übermitteln, deren Offenlegung nach Auffassung der Republik Österreich ihren wesentlichen Sicherheitsinteressen zuwiderlaufen würde (Art. 346 Abs. 1 lit. a AEUV).” Siehe auch ris.gv.at.

Daten aus dem SIRENE-Büro: Höchste Sensibilität

Eines der vier genannten Programme in der E-Mail heißt SIRENE. Das Schengener Informationssystem als gemeinsames elektronisches Fahndungssystem ist das Kernstück der Schengen-Zusammenarbeit. Es wurde als eine der wichtigsten Ausgleichsmaßnahmen für den Wegfall der Binnengrenzkontrollen zur europaweiten Bekämpfung der grenzüberschreitenden Kriminalität eingerichtet. Daher gelten für diese Daten enorme Sicherheitsstandards.

Der Europäische Datenschutzbeauftragte überwacht, dass die Tätigkeiten der Verwaltungsbehörde zur Verarbeitung personenbezogener Daten im Einklang mit dieser Verordnung durchgeführt werden. Darüber hinaus gewährleistet er, dass die Verarbeitung personenbezogener Daten mindestens alle 4 Jahre überprüft wird. Ein Bericht über diese Überprüfung wird dem Europäischen Parlament, dem Rat, der Verwaltungsbehörde, der Kommission und den nationalen Kontrollinstanzen übermittelt.

EU-Datenschutz-Grundverordnung: Meldung von Datenschutzverletzungen

Die Wirtschaftskammer gibt eine klare Empfehlung ab, wie man im Falle eines „data breach“ zu reagieren habe. „Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ (data breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.

Laut Wirtschaftskammer müsse man, im Falle einer Verletzung des Schutzes personenbezogener Daten, wie folgt folgende Melde- und Benachrichtigungspflichten wahrnehmen:

  1. „Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
  2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.“

Darüber hinaus ist der Informationsseite des Schengener Informationssystems der zweiten Generation (SIS II) folgendes zu entnehmen: „wird jemand durch den Betrieb des nationalen SIS-II-Systems geschädigt, so haftet ihm hierfür jeder Mitgliedstaat. Auch stellt jeder Mitgliedstaat sicher, dass jedweder potenzielle Missbrauch von im SIS II gespeicherten Daten und jedweder verordnungswidrige Austausch von Zusatzinformationen mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen geahndet wird.“ (wko.at)

Fazit

Warum hat das Innenministerium überhaupt unprotokollierten Zugriff auf die Datenbank, sprich Zugriffe und Aktivitäten, den IT-Mitarbeitern des Unternehmens gestattet? Und kann definitiv ausgeschlossen werden, dass IT-Mitarbeiter des Unternehmens nicht aus eigenem Antrieb heraus Anzeigen der Polizei, Vernehmungen von Zeugen und Beschuldigten, Verschlussakte, nationale und internationale kriminalpolizeiliche Daten oder gar Informationen aus dem Schengener Informationssystem gesichtet haben?

Zuerst muss der Nachfrage nachgegangen werden, ob das Innenministerium nach wie vor mit dem Unternehmen zusammenarbeitet. Es muss aber auch geklärt werden, ob die IT-Mitarbeiter von den „Produktionsumgebungen PAD, IKDA, VStV BMI & SIRENE“ nach wie vor gesperrt sind.

Eine Frage der Transparenz und dem korrekten Umgang mit personenbezogen Daten: Das 4-Augen-Prinzip. Warum wurde erst mit Wahrnehmung des Datenlecks die Weisung erteilt, dass IT-Mitarbeiter des Unternehmens im Beisein eines Technikers des BMI in den Räumlichkeiten des Betriebs IV/2/c Supportleistungen zu erbringen haben, und nicht von Anfang an, sprich bereits mit dem Start des Projekts?

Die Tragweite eines derartigen Datenlecks kann aus jetziger Sicht nicht einmal im Ansatz erfasst werden. Fass ohne Boden hat das Innenministerium und das betroffene Unternehmen bereits konfrontiert.

You Might Also Like

Flüchtlingskrise: Geheimbericht belegt Missstände im Innenministerium

Semmering-Bombe: Krumpöck angeklagt – Büro Mikl-Leitner zittert

Skandal: Tierquälerei in Hühnermast

Semmering: Bürgermeister Doppelreiter und das ukrainische Oligarchen-Netzwerk

Aviso: Semmering, Schellenbacher und das Netzwerk der Ukrainer

Share this Article
Facebook Twitter Email Print
Deine Meinung
Love0
Sad0
Happy0
Sleepy0
Angry0
By Alexander Surowiec Herausgeber
Follow:
All-Source Intelligence Specialist, Publisher, Ex-Sniper. #OSINT #HUMINT #BigData #investigativ #Sicherheit #Militär #Politik
Previous Article Über die Gießkanne der öffentlichen Hand - pixabay - Ralph Klein Über die Gießkanne der öffentlichen Hand
Next Article Projekt Mezzo - Operation Daviscup - Verschlussakt - Foto Jeremias Münch - Adobe stock Mezzo-Verschlussakt: Operation “Daviscup” – Beamte vom Bundeskriminalamt und der Finanzpolizei involviert
4 Comments
  • Renate Lechner sagt:
    18. September 2019 um 12:40 Uhr

    Nachlässigkeiten , die bewusst oder unbewusst bzw. für einen gezielten Zweck gesteuert, sehr leicht missbraucht werden! Ein Sprichwort sagt : Der Fisch stinkt vom Kopf !? Vernachlässigung der Aufsichtspflichten ! Sehr gut, dass es bis hierher ans Licht gekommen- weiter viel Erfolg !

    Antworten
  • Martin sagt:
    18. September 2019 um 14:09 Uhr

    Im (normalen) IT – Bereich ist das gang und gebe. Der IT – Dienstleister bekommt durch Unterzeichnung einer Geheimhaltungsvereinbarung Zugriff auf produktive Daten. Das ist für die zu erbringende Dienstleistung auch nötig. Aus Kostengründen findet die Dienstleistung oft remote und somit ohne Aufsicht statt.

    Antworten
  • Harald sagt:
    19. September 2019 um 17:32 Uhr

    Ist bekannt, seit wann dieser unkontrollierte Zugang möglich war?

    Antworten
  • Ehemaliger R.....n-Mitarbeiter sagt:
    20. September 2019 um 21:01 Uhr

    Name der Firma der Redaktion bekannt. Wurde in den Ö3-Nachrichten genannt bzw. ist das kein großes Geheimnis …

    @Martin: Jein, kann man so nicht stehen lassen. Zum Testen/Entwickeln kann man einen anonymisierten Auszug der Datenbank (Tabellen) erstellen und damit könnten die Programmierer dann unbeaufsichtigt arbeiten. Natürlich unterschreiben die eine Geheimhaltungsvereinbarung, aber Vertrauen ist gut, Kontrolle besser.

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Social Media

Facebook Like
Twitter Follow
Unterstütze uns
Ad image

Latest News

Johanna Mikl-Leitner - Sepa Media - Martin Juen
Flüchtlingskrise: Geheimbericht belegt Missstände im Innenministerium
Investigativ
Johanna Mikl-Leitner gebrochen - Sepa-Media - Martin Juen
NÖ-Umfrage: ÖVP-Panik – Freifaller ohne Fallschirm auf 38%
Politik
ÖVP NÖ Obfrau - Johanna Mikl-Leitner - Sepa Media Martin Juen
ORF-NÖ Skandal: FPÖ fordert Rücktritt von Mikl-Leitner
Politik
Sujetbild HIMARS - Russell J. Good - Wikimedia
Panzer für Ukraine gefördert
Sicherheit

© 2023 Fass ohne Boden. All Rights Reserved.

Investigative Rechercheplattform aus erster Hand.

Unser Newsletter informiert und belehrt nicht. Exklusive Enthüllungen, Hintergrundinformationen und Veranstaltungen

Kein Spam, Abbestellung jederzeit möglich.

Removed from reading list

Undo
Welcome Back!

Sign in to your account

Lost your password?