Warnung vor dem Daten-Super-GAU

Auch im Bundesrechenzentrum ist inkriminierte US-Hard- und Software installiert: Man hätte gerne europäische Systeme
Die gesamte Bundesverwaltung ist wegen veralteter Systeme angreifbar geworden.

Der "Biefie-Skandal", bei dem durch ein Datenleck in einem rumänischen Server Prüfungsdaten von österreichischen Schülern an die Öffentlichkeit gelangten, ist nur ein Vorgeschmack dessen, was tatsächlich drohen könnte. Der Professor für Softwaretechnik und Interaktive Informatik von der TU Wien, Martin Grechenig, warnt: "Fast alle in Österreich in Verwendung stehenden Systeme sind angreifbar."

Wie steht es mit der Datensicherheit in einem Land, das angeblich nicht einmal die Prüfungsergebnisse der Schüler unter Kontrolle hat? Was passiert, wenn der Zugriff auf Gesundheitsdaten gelingt und sich Pharmakonzerne für bestimmte Diagnosegruppen interessieren? Oder Versicherungen für Patientengruppen, Arbeitgeber für Bewerber, Geheimdienste für den Gesundheitszustand politisch exponierter Personen, Firmen für den Gesundheitszustand ihrer Mitbewerber oder Erpresser schlicht für vermögende Personen?

Angreifbar

Warnung vor dem Daten-Super-GAU
Grechenig sieht Gefahrenherde für die gesamte Bundesverwaltung. Der Grund: "Die meisten jetzt bestehenden Systeme sind durch und durch angreifbar und löchrig, weil sie in Zeiten entstanden sind, zu denen Sicherheit und Privatheit der Informationen wenig bis keine Rolle spielten."

Die von Bildungsministerin Gabriele Heinisch-Hosek geortete "nicht gewährleistete Datensicherheit" betreffe die gesamte Republik. Datenunsicherheit sei mit ein Grund, dass das sogenannte "eVoting" vom Verfassungsgerichtshof gekippt wurde – was die Österreicher an Wahltagen weiterhin zu den Wahlurnen zwingt – und sie beeinträchtige die Verwaltung insgesamt: "Ministerien und Ämter müssen heute entweder täglich improvisieren, am Rande der Legalität arbeiten oder sie geben einfach auf."

Die Hintergründe des "Biefie-Skandals" sind noch unklar, vermutlich stecken nur herkömmliche Kriminelle dahinter – aber Grechenig sieht zusätzlich ein noch weit größeres Problem: den flächendeckenden Einsatz billiger US-amerikanischer Hard-und Software. Stichwort NSA-Skandal: Grechenig mutmaßt, dass US-Hersteller bei ihren Sicherheitssystemen "Hintertüren" für ihre Geheimdienste offen ließen. Das glaubt auch der frühere Verfassungsschutzchef und nunmehrige Unternehmensberater Gert-René Polli: Diese "Hintertüren" würden US-Diensten den Zugriff vor allem auf heimische Firmen und Universitäten öffnen. Dafür bräuchten sie aber auch Bundes-Daten.

US-Technik beherrsche laut Grechenig die sensibelsten Bereiche der Republik – etwa das Bundesrechenzentrum. Und im Hauptverband der Sozialversicherer habe eine NSA-nahe Firma Sicherheitssysteme bei der elektronischen Gesundheitsakte ELGA implementiert.

EU-Systeme

Warnung vor dem Daten-Super-GAU
Polli war von 2002 bis 2008 Leiter des BVT, das Bundesamt für Verfassungschutz und Terrorismusbekämpfung
Die dramatischen Befunde decken sich auch mit den Ergebnissen der EU-weiten Cyberkonferenz in Bonn im November, wo von EU-Kommissarin Neelie Kroes forderte, eigene IT-Systeme zu entwickeln. Denn solange die Europäer keine genügenden Serverkapazitäten schaffen und Systeme billig im Ausland kaufen, dürfen sie sich nicht wundern, wenn sie ausspioniert werden.

Eine Erkenntnis, die auch der Vorstand des Bundesrechenzentrums teilt. In einer Auskunft an den KURIER wird zwar eingeschränkt, dass man neben US-Unternehmen wie IBM, Microsoft und anderen auch große europäische Hersteller wie SAP und lokale Dienstleister beschäftige. Aber: "Es ist anzumerken, dass aus strategischer Sicht mehrere und stärkere europäische IT- Unternehmen wünschenswert wären."

Der Lösungsvorschlag von Univ-Prof. Martin Grechenig, maßgeblicher Architekt des eCard-Systems, klingt einfach: "Wenn sie alle Teile eines Systems IT-technisch selbst gebaut, programmiert, geprüft haben, dann kann dort niemand einbrechen." Grechenig verweist auf die Rufdatenspeicherung. Die wird über das Bundesrechenzentrum (BRZ) abgewickelt. Doch ein Missbrauch durch einen BRZ-Mitarbeiter sei auszuschließen. Denn die Daten wurden so verschlüsselt, dass sie nur der Endabnehmer – in der Regel ein Staatsanwalt – lesen könne. Das System hat er auch im Parlament für die elektronische Gesundheitsakte ELGA vorgeschlagen, ist aber damit abgeblitzt. Während die ELGA-Verantwortlichen die Sicherheit beteuern, fürchtet Grechenig hier einen echten "Daten-Super-GAU".

Unterstützung bekommt er von Hans Zeger von der Arge Daten: "Ein System in dem es keinen Letztverantwortlichen gibt, kann nicht sicher betrieben werden." ELGA sei verfassungswidrig.

Kommentare