Datensicherheit in Österreichs Regierung zwischen Verkryptung und Sparwut

Teilweise nicht zum Besten bestellt dürfte es um die Datensicherheit in österreichischen Ministerien sein. Angaben der Minister zeichnen ein Bild unterschiedlichen Problembewusstseins bezüglich ausgedienter Datenträger. Im Juni hatte ein Journalist eine dem Bundesministerium für Verkehr, Innovation und Technologie (BMVIT) entsprungene Festplatte mit vertraulichen Daten im Internet ersteigert. Der SPÖ-Abgeordnete Johann Maier stellte daraufhin den Ministern parlamentarische Anfragen, unter anderem nach Datensicherheitsrichtlinien und Entsorgungsprozeduren. Die nun vorliegenden Antworten zeugten von einem "absoluten Desaster", meint Maier. Der Umgang mit ausgeschiedenen Computern und Festplatten sei "äußerst chaotisch, obwohl sich hochsensible Daten auf diesen Rechnern befinden. Datenschutz scheint in den meisten Ministerien ein Fremdwort zu sein", erläuterte der Oppositionspolitiker dem Pressedienst seiner Partei.

Besonders erstaunlich ist die Antwort der Bundesministerin für soziale Sicherheit, Generationen und Konsumentenschutz, Ursula Haubner (BZÖ). Die Löschung der Daten mit Spezialsoftware sei "nicht notwendig und würde dem haushaltsrechtlichen Gebot der Sparsamkeit" widersprechen. Da Festplatten nicht in den Inventarlisten enthalten wären, gäbe es auch keine Aufzeichnungen über die Menge der entsorgten Datenträger. Die beauftragen Entsorgungsunternehmen würden "mit der Vornahme der so genannten datenschutzmäßigen Entsorgung beauftragt". Die Zerkleinerung der Laufwerke soll künftig mit Stichproben kontrolliert werden – was sich angesichts unbekannter Mengen schwierig gestalten könnte.

Außenministerin Ursula Plassnik (ÖVP) verweist darauf, "dass auf den lokalen Festplatten der PCs keine Daten gespeichert werden dürfen". Bislang wurden die Platten formatiert und Entsorgungsfirmen übergeben. "Nunmehr hat das [Außenministerium] die Spezial-Software zur Löschung von Daten angekauft und wird die Festplatten damit in Hinkunft selbst löschen." Ob die Entsorgungsfirmen nun fachgerecht entsorgt oder nur gelöscht haben, ist unklar.

In Liese Prokops (ÖVP) Innenministerium werden alte Festplatten mehrmals überschrieben. Danach werden sie "als Altmaterial entsorgt, da keine verwertbaren Daten" enthalten seien. Eine anderweitige Entsorgung gäbe es nur bei Defekten und in Garantie- oder Gewährleistungsfällen. Sollten dabei von Unternehmen ministerielle Daten weitergegeben werden, droht diesen eine Konventionalstrafe von 50.000 Euro. Andere Minister berichten nicht von vertraglichen Absicherungen. Justizministerin Karin Gastinger (BZÖ) lässt "justizinterne IT-Leitbediener" physisch zerstören. Außerdem verweist sie auf die Regeln für Altpapier. "Auf die Wahrung dieser Bestimmungen wird auch bei der Entsorgung von Festplatten verstärktes Augenmaß zu legen sein." Verteidigungsminister Günther Platter (ÖVP) hält unter anderem fest, "dass die auf EDV-Rechnern in meinem Ressort verarbeiteten Daten derart verkryptet sind, dass sie ausschließlich ressortintern gelesen werden können."

In der Zentrale des Wirtschaftsministeriums von Martin Bartenstein (ÖVP) würden auf den Festplatten der Arbeitsplatzrechner keine "sicherheitsrelevanten Daten" gespeichert. Ein Subunternehmer des für den IT-Betrieb zuständigen externen Dienstleisters führe bei Aussonderung drei "Eraser Rounds" durch. In den nachgeordneten Dienststellen gibt es höchst unterschiedlichen Usancen, Bundesvergabeamt und Bundeswettbewerbsbehörde nutzen immerhin "kryptografische Verfahren". Bildungsministerin Elisabeth Gehrer (ÖVP) teilt mit: "Angaben zu den nachgeordneten Dienststellen – insbesondere Schulen – sind wegen des damit verbundenen unverhältnismäßig hohen Zeit- und Verwaltungsaufwands nicht möglich." Im Ministerium selbst würden auszuscheidende Festplatten mit Spezialsoftware überschrieben.

"Es wurden alle notwendigen und rechtlichen Vorkehrungen getroffen, rechtswidrige Handlungen sind aber nie auszuschließen. Dies betrifft auch den Einzelfall der medial verbreiteten Versteigerung einer Festplatte des Ressorts im eBay durch den Mitarbeiter einer Dienstleistungsfirma", schreibt der scheidende Technologieminister Hubert Gorbach (BZÖ). Nach sechsmonatiger Lagerung würden die Festplatten vor der Übergabe an eine Entsorgungsfirma mittels Degausser zerstört. Offen ist, wie der Mitarbeiter der Dienstleistungsfirma trotzdem eine Platte mit rekonstruierbaren Daten veräußern konnte.

Ein Lichtblick ist die Bundesrechenzentrum GmbH aus dem Zuständigkeitsbereich von Finanzminister Karl-Heinz Grasser. Das Unternehmen ist nach ISO 27001 zertifiziert. Entsorgungstransporte werden begleitet, die Vernichtung der Datenträger wird überwacht. Ob dieses Prozedere auch in anderen Finanzbereichen gilt, wird nicht deutlich.

Der Abgeordnete möchte nun den Datenschutzrat mit der Problematik befassen. Von der nach der Nationalratswahl am 1. Oktober antretenden Regierung wünscht Maier einheitliche Regelungen, eine eigene ÖNORM und einen Datenschutzbeauftragen. (Daniel AJ Sokolov) (jk)