Politik
Jahrelanges Daten-Leck im Innenministerium
Externe IT-Dienstleister sollen über Jahre hinweg Zugriff auf sensible Daten des Innenministeriums gehabt haben. Das wurde am Freitag bekannt.
Diesmal waren es keine Hacker, sondern ein IT-Unternehmen, das Daten einsehen konnte, die nicht für externe Augen bestimmt waren.
Im Innenministerium (BMI) hat es scheinbar ein Datenleck gegeben, das über Jahre hinweg unbemerkt geblieben ist. Programmierer eines externen IT-Unternehmens hätten jahrelang Zugriff auf sensible Daten des Innenministeriums gehabt, heißt es.
Der Bericht erschien am Freitag auf der Nachrichtenplattform "Fass ohne Boden" und in der APA. Den Journalisten liegen interne E-Mails vor, die sich auf das Leck beziehen.
Theoretisch Einsicht möglich
Die Programmierer hätten durch das Leck in das Schengen-Informationssystem oder die "Integrierte Kriminalpolizeiliche Datenanwendung" (IDKA) hineinschauen können. Theoretisch. Ob sie das tatsächlich getan haben, ist nicht bekannt und wird auch niemals geklärt werden können.
Das geht aus der internen BMI-Mail hervor, in der es heißt, dass "sämtliche Zugriffe und Aktivitäten, die direkt auf der Datenbank erfolgen, nicht protokolliert werden".
Erst im März geschlossen
Die Sicherheitslücke wurde demnach im März entdeckt und geschlossen. Das Innenministerium will die Causa vorerst nicht offiziell bestätigen: "Wie in allen anderen Fällen auch, werden wir auch hier genau prüfen. Sobald Ergebnisse vorliegen, werden wir umfassend und transparent informieren", verspricht man aber.
Im Büro von Ex-Ressortchef Herbert Kickl (FPÖ) kann man sich aber an die Causa erinnern und bestätigt das Datenleck: "Sobald wir davon erfahren haben, haben wir die Sicherheitslücke unverzüglich schließen lassen", erfuhr die APA.
Dem betroffenen IT-Unternehmen hat man im Innenministerium jedenfalls fast blind vertraut. Es hat schon mehrere Aufträge aus dem BMI erhalten, bis jetzt galt dabei auch kein Vieraugenprinzip mit internen technischen Mitarbeiter. Dies wurde - der BMI-Mail zufolge - nun geändert. Um das Leck zu reparieren, wurden die User-Accounts der Programmierer deaktiviert, bei heiklen Supportarbeiten gilt ab sofort ein Vieraugenprinzip mit internen BMI-Mitarbeitern.