Notebook-Schwund in den Ministerien
In Österreichs Ministerien kommt eine beachtliche Zahl an PCs und vor allem Notebooks abhanden, wie zwei parlamentarische Anfragen ergeben haben. Sensible Daten sollen dabei nicht in falsche Hände gekommen sein, obwohl die Daten nicht immer gut geschützt waren.
Die beiden Nationalratsabgeordneten Johann Maier [SPÖ] und Karl Öllinger [Grüne] haben in zwei parlamentarischen Anfragen bei den heimischen Ministerien nachgefragt, wie es denn hierzulande um die Datensicherheit im Falles des Verlusts oder Diebstahls von PCs und Notebooks eines Ministeriums bestellt ist.
Alle Ministerien gaben an, dass bei den bisherigen Fällen von Diebstahl und Verlust keine sensiblen und vertraulichen Daten, sondern "nur" dienstliche Daten abhandengekommen sind, doch allein die Zahl der gestohlenen und abhandengekommen Geräte zeigt, dass zumindest die Möglichkeit konstant gegeben ist - nicht zuletzt wegen der Absicherung der Daten selbst.
82 Notebooks, 14 PCs sind weg
Gemäß den Antworten auf die Anfrage Maiers waren es in Summe 82 Notebooks und 14 PCs, die in den letzten drei Jahren aus der Obhut der heimischen Ministerien verschwanden.
Öllinger hatte auch die untergeordneten Behörden der jeweiligen Ministerien abgefragt, wobei die Antworten hier teilweise zu allgemein und undifferenziert sind.
Geräteschwund im Innenministerium
Das Innenministerium etwa gibt zur Anfrage Maiers an, dass zwischen 2005 und 2007 acht Notebooks alleine aus dem Ministerium selbst gestohlen wurden. Ebenfalls als gestohlen gemeldet wurden 28 Handys.
Etwas besser ist die Bilanz im Justizministerium: Hier wurden laut Beantwortung der Anfrage von Öllinger zwischen 2005 und 2007 zwei Notebooks und ein PC als gestohlen gemeldet, zudem sechs Handys. Hoch ist die Quote wieder im Verteidigungsministerium: Hier kamen alleine 2007 sieben Notebooks weg, weitere drei in den Jahren 2005 und 2006, dazu noch neun PCs.
Finanzbehörden fehlen 65 Rechner
Dem Finanzministerium allein kamen im abgefragten Zeitrahmen durch unlauteren Zugriff elf Notebooks abhanden, samt den untergeordneten Behörden und Einrichtungen waren es 65 Notebooks und ein PC [gemäß Beantwortung der Anfrage Öllingers].
Dem Familienministerium fehlen drei Notebooks, dem Außenministerium sieben [weitere zwei wurden als "verlustig" gemeldet], der Bundeskanzler - inklusive Frauenministerium - vermisst acht Notebooks, das Wirtschaftsministerium sechs, das Infrastrukturministerium vier, das Sozialministerium drei und im Unterrichtsministerium kamen zwischen 2005 und 2007 ganze 15 Notebooks abhanden. Dem Umweltministerium fehlen vier Notebooks.
Laut Auskunft der Ministerien werden Informationen der Klassifizierungsstufen "vertraulich" und "geheim" gemäß § 9 der Informationssicherheitsverordnung
nur auf Geräten verarbeitet, die keine Vernetzung außerhalb des Ressorts haben. Somit sei auch kein Zugriff durch die entwendeten Rechner möglich.
Kein einheitlicher Schutz der Daten
Die Daten selbst waren etwa auf den Notebooks des Bundeskanzleramts durch "UserlD und Passwort geschützt", darüber hinaus waren sie, wie auch im Infrastrukturministerium und dem Unterrichtsministerium, nicht verschlüsselt.
Auch bei den anderen Ministerien sind die Angaben zum Teil sehr allgemein gehalten, etwa beim Finanzministerium: "Die Notebooks besitzen eine Vorrichtung, die es erlaubt, die Festplatten mit einem Passwort zu sichern, sodass auch bei Ausbau der Festplatten kein Zugriff möglich ist." Ob diese Möglichkeit auch zum Einsatz kam, wird nicht erwähnt.
Das Außenministerium erklärt, dass die Daten auf ihren Rechnern "durch geeignete technische und organisatorische Maßnahmen geschützt" sind - welcher Art genau, bleibt geheim.
Im Innenministerium sind die "kompletten Festplatten der Hochsicherheitsnotebooks des Ressorts" verschlüsselt, die der "Notebooks für Office-Anwendungen" nicht.
"Verschlüsselung mit 128bit AES"
Im Sozialministerium werden laut Angaben "Laptop-Festplatten mittels symmetrischer Verschlüsselung [mindestens 128bit AES] gesichert". Und laut Verteidungsministerium sind "PCs oder Notebooks des IT-Systems des Bundesministeriums für Landesverteidigung ausschließlich in Verbindung mit spezieller Hardware und Software nutzbar".
Sämtliche Daten auf Speichermedien dieser Systeme sind demnach verschlüsselt, ein Ausbau und eine Neumontage dieses Verschlüsselungssystems nicht möglich. Nähere Angaben werden aus Gründen der Geheimhaltung allerdings in diesem Rahmen nicht offenbart.
Datenverluste durch verloren gegangene CDs oder andere Speichermedien wie USB-Sticks sind in Österreichs Ministerien offenbar deutlich seltener möglich, auch weil mit [laut Beantwortung auf die Anfrage Maiers] insgesamt acht relativ wenig verschwanden - fünf davon allerdings immerhin im Verteidigungsministerium.
Kosten summieren sich
Die Kosten für die verloren gegangenen Rechner geben die Ministerien je nach Anfrage unterschiedlich an, wobei Handys kostenmäßig offenbar fast gar nicht ins Gewicht fallen: Die 13 verschwundenen Handys aus dem Ressort des Infrastrukturministeriums wurden nicht als Buchwert erfasst, da sie als geringwertiges Wirtschaftsgut klassifiziert wurden.
Die Notebooks allerdings schlagen durchaus zu Buche: Das Finanzministerium gibt bei der Anfrage Maiers den Verlust für den Bund mit 8.411 Euro an, gegenüber Öllinger für alle verloren gegangenen Geräte mit rund 46.000 Euro.
Das Außenministerium beziffert die Schadensumme mit 8.904 Euro, und der Bundeskanzler musste einen Buchwert von 7.303 Euro abschreiben. Auch das Unterrichtsministerium vermisst einen Buchwert von 9.075 Euro.
Wiedergefunden wurden die Rechner in den seltensten Fällen, auch der oder die Täter wurden nur in den wenigsten Fällen gefasst. In einem Fall tauchte ein Notebook des Wirtschaftsministeriums zwar wieder auf, aber in einem derart desolaten Zustand, das es laut Angaben nicht mehr zu gebrauchen war.