Datenleck beim Staat – Medicoleak, ein Jahr danach

Publiziert

Datenleck beim StaatMedicoleak, ein Jahr danach

LUXEMBURG – Ein Jahr ist seit dem Datenleck vergangen. Die Ermittlung nimmt ihren Lauf, doch wie steht es heute um die Sicherheit staatlicher Datenbanken?

Die Frage, wie viele Datenbanken mit sensiblen, personenbezogenen Daten in öffentlichen Verwaltungen und Diensten derzeit im Gebrauch sind, steht weiterhin unbeantwortet im Raum.

Die Frage, wie viele Datenbanken mit sensiblen, personenbezogenen Daten in öffentlichen Verwaltungen und Diensten derzeit im Gebrauch sind, steht weiterhin unbeantwortet im Raum.

Vor rund einem Jahr gab es das bisher potenziell größte Datenleck, das Luxemburg bisher gesehen hatte. Ein Unbekannter hatte durch Zufall die Zugangsdaten zu einer Datenbank des «Service Médico-Sportif» des Sportministeriums aufgeschnappt, in der medizinische Angaben von knapp 49'000 Athleten und Freizeitsportlern gespeichert sind.

Anstatt sich nur mit den offensichtlichen Sicherheitsproblemen im sportmedizinischen Dienst zu beschäftigen, beschloss die Regierung, Anzeige gegen den unbekannten «Leaker» zu erstatten, da sie laut Gesetz bei einem derartigen Verstoß dazu verpflichtet ist. Etwa zwei Monate später kam es zu Hausdurchsuchungen bei Sven Clement, dem Präsidenten der Piratepartei, sowie bei einem Mitarbeiter des nationalen IT-Sicherheitsteams CIRCL. Dabei wurden private Rechner und Datenträger beschlagnahmt und Verbindungsdaten im Ausland angefragt.

Die Staatsanwaltschaft beantragte Anklage gegen beide Verdächtige wegen Diebstahls von Zugangsdaten sowie dem Verstoß gegen das Gesetz über den elektronischen Datenverkehr. Die Justiz hat ihre Ermittlung mittlerweile abgeschlossen. Ob es zu einem Prozess kommt oder die Anklage fallengelassen wird, ist noch nicht bekannt: Über den Fall wird derzeit in der Ratskammer des Bezirksgerichts Luxemburg beraten.

Zahlreiche Lücken, die es zu stopfen gilt...

Unabhängig von den juristischen Folgen zeigte die Affäre, wie unzureichend eine Reihe von Datenbanken mit personenbezogenen Informationen im öffentlichen Dienst gesichert waren. Die Ermittlungsakte im Rahmen der «Medicoleak»-Affäre spricht Bände: Aufgrund eines Bedienungsfehlers benutzte beispielsweise eine Person über einen längeren Zeitraum ein unverschlüsseltes WLAN-Netz, um auf die Datenbank des sportmedizinischen Dienstes zurückzugreifen - offenbar ohne es zu wissen. Die Daten hätten also theoretisch von Dritten jederzeit mitgelesen werden können. Der Schluss liegt nahe, dass es vielen Benutzern solcher Datenbanken schlichtweg an den nötigen Kompetenzen mangelt, um die Sicherheit der Daten zu gewährleisten.

Es stellte sich jedoch auch die Frage nach der Verantwortung der betreffenden Verwaltungsstellen, die im Endeffekt alle für den Betrieb der Datenbank haften. Laut Artikel 22 und 23 des Datenschutzgesetzes sind die Betreiber solcher Datenbanken verpflichtet, «sämtliche technischen und organisatorischen Maßnahmen» zu ergreifen, um Unbefugten den Zugriff auf die Daten zu verwehren.

Die Regierung musste zudem zugeben, dass niemand genau wisse, wie viele Server mit personenbezogenen Daten überhaupt in Betrieb sind und inwiefern diese gegen unbefugte Zugriffe gesichert sind. Die nationale Datenschutzkommission, die zwar die Genehmigungen zu deren Betrieb gab, aber aus Gründen mangelnder Ressourcen keine technischen Überprüfungen durchführt, hatte in der Folge der Affäre zugegeben, dass die lückenlose Überwachung solcher Datenbanken eher an Wunschdenken grenzt.

Nachdem das Leck im sportmedizinischen Dienst bekannt geworden war, versprachen François Biltgen und Romain Schneider in einer gemeinsamen Pressemitteilung Abhilfe. Eine interministerielle Arbeitsgruppe, das «Cyber Security Board» (CSB), das die Umsetzung der nationalen Strategie für Informationssicherheit überwachen soll, wurde mit dem Problem der Datenbanken befasst.

Was hat sich seither getan?

Die Regierung hat seitdem tatsächlich gehandelt, wie die Verantwortlichen des zuständigen «Service Médias et Communications» des Staatsministeriums gegenüber «L’essentiel Online» bestätigten. Die Datenbank des sportmedizinischen Dienstes ist seit Anfang Mai 2012 via Luxtrust gesichert, was bedeutet, dass zur Anmeldung kein einfaches Passwort mehr ausreicht, sondern eine Chipkarte benötigt wird. Die Personen, die Zugang zur betreffenden Datenbank haben, sollen inzwischen eine spezielle Fortbildung in Sachen Informationssicherheit absolviert haben.

Eine Arbeitsgruppe wurde zudem ins Leben gerufen, um alle bestehenden Datenbanken in öffentlichen Dienststellen zu identifizieren. Gleichzeitig sollen deren aktuelle Zugangsparameter sowie der Sensibilitätsgrad der gespeicherten Daten untersucht werden. Die Ergebnisse dieser Bestandsaufnahmen sollen «in Kürze» vorliegen, wie es heißt.

Das CSB empfiehlt mittlerweile den Einsatz der Luxtrust-Authentifizierung für alle Datenbanken mit sensiblem Inhalt. Zudem sollen bindende Sicherheitsprozeduren ausgearbeitet werden, die entsprechend der Sicherheitsstufe angepasst werden. Bei der Schaffung jeder neuen Datenbank soll in Zukunft eine spezifische Vorschrift geschaffen werden. Das CSB empfiehlt zudem, ein systematisches Sicherheitstraining in die Beamtenausbildung einfließen zu lassen.

Vetrauen ist gut, Kontrolle ist besser...

Eine weitere Frage, die sich im Rahmen der «Medicoleak»-Affäre stellte, betrifft die Lücken im Gesetzesrahmen bezüglich der Experten, die die Sicherheit der öffentlichen und privaten IT-Systeme in Luxemburg gewährleisten sollen. Jener CIRCL-Mitarbeiter, der im Rahmen der Ereignisse vom vergangenen Januar strafrechtliche Folgen befürchten muss, erfüllte seinen Auftrag als Experte des nationalen IT-Sicherheitsteams, indem er den Zugriff auf die besagte Datenbank überprüfte. Er machte sich aufgrund der derzeit gültigen Rechtsvorschriften jedoch gleichzeitig strafbar. Das ist in etwa so, als wenn man Feuerwehrleute, die im Rahmen von Löscharbeiten Türen eintreten, wegen Sachbeschädigung anklagen würde.

Laut dem «Service Médias et Communications» wolle man auch diesen Missstand beseitigen. Man sei derzeit dabei zu untersuchen, «ob eine Anpassung des Rechtsrahmens opportun sei», wie es heißt.

Bei allen umgesetzten (und vor allem angekündigten) Maßnahmen bleibt die Frage, wie zügig diese umgesetzt und wie gründlich sie danach angewandt werden. Ein Prinzip der IT-Sicherheit lautet nämlich immer noch, dass der Mensch stets das schwächste Glied der Sicherheitskette darstellt.

(Michel Thiel/L'essentiel Online)

Deine Meinung