Die Aufdeckerplattform Fass ohne Boden hat heute Erstaunliches ans Licht gebracht: Mitarbeiter einer privaten Firma konnten unprotokolliert auf zahlreiche Datenbanken des Innenministeriums zugreifen. Keiner kann sich sicher sein, ob Daten abgesaugt, manipuliert oder gelöscht wurden. Dieser Skandal nahm seinen Ausgangspunkt unter den ÖVP-Innenministern. Erst unter Herbert Kickl wurde das Datenleck geschlossen.
Fass ohne Boden liegen zu diesen Vorgängen interne Mails aus dem BMI vor, aus denen hervorgeht, dass “sämtliche Zugriffe und Aktivitäten, die direkt auf der Datenbank erfolgen, nicht protokolliert” werden und “keine Überwachung durch Betrieb IV/2/c möglich ist”. Zugriffe waren auf folgende sensible IT-Anwendungen möglich, die alle von der gleichen Firma betreut wurden:
IKDA = Integrierte Kriminalpolizeiliche Datenanwendung
Das Bundeskriminalamt verarbeitet hier nationale und internationale kriminalpolizeiliche Daten in der IKDA. Durch Analyse und Aufbereitung der Daten erhofft man sich neue Erkenntnisse in der Kriminalitätsbekämpfung.
PAD = Protokollieren-Anzeigen-Daten
PAD protokolliert automatisch jedes eingehende Geschäftsstück.
SIRENE = Supplementary Information Request at the National Entry (aus dem Schengener Informationssystem wie z.B. Aufenthaltsverbote, Aufenthaltsermittlungen, Fahrzeuge, Identitätsdokumente, Blankodokumente, Schusswaffen oder Banknoten)
VStV BMI = Verwaltungsstrafverfahren
Seit 2013 wird österreichweit ein Programm für Verwaltungsstrafverfahren verwendet. Dieses Programm dient zur Erstellung und Übermittlung von Verwaltungsübertretungsdaten an die Verwaltungsstrafbehörden.
Das betroffene Unternehmen hat seit 2007 zahlreiche Aufträge des Ministeriums erhalten, aufgrund von “nationalen Sicherheitsinteressen” gab es aber keine öffentliche Ausschreibung. “Das Innenministerium vergab in zehn Jahren Aufträge im Volumen von 13,6 Millionen Euro an immer dieselbe Wiener Softwareschmiede.“, recherchierte der Standard 2017. Verantwortliche Minister: Maria Fekter (ÖVP), Johanna Mikl-Leitner (ÖVP), Wolfgang Sobotka (ÖVP).
Seltsame Netzwerke
Wie der Standard recherchierte, gab es enge Verflechtungen zwischen der Softwarefirma und führenden Mitarbeitern im BMI:
In anonymen Briefen, die STANDARD und “Profil” erhalten hatten, war Mitarbeitern des Innenministeriums Vetternwirtschaft unterstellt worden. Tatsächlich ist Rubicon-Mitgründer Grassnigg angeheiratet mit dem ehemaligen Kabinettschef Michael Kloibmüller verwandt.
Doch intensive Recherchen von STANDARD und “Profil” lieferten keine Hinweise auf eine Einflussnahme. Die beteiligten Personen bestreiten dies auch vehement. Allerdings sind Rubicon IT und Innenministerium mittlerweile auch auf andere Art eng verzahnt. Gesellschafter der Rubicon sind über Stiftungen Johannes Strohmayer und Robert Schächter, deren zwei Stiftungen neunzig Prozent an der Österreichischen Staatsdruckerei halten.
Diese hat wiederum ein Monopol auf Sicherheitsdrucksorten der Republik Österreich, also eine enge Geschäftsbeziehung zum Innenministerium. Aber auch durch diese Beteiligung soll es laut Grassnigg “definitiv” zu keinen Einflussnahmen bei der Auftragsvergabe an die Rubicon gekommen sein. Eine Anfrage an Strohmayer und Schächter blieb unbeantwortet.
Fass ohne Boden resümiert wie folgt:
Warum hat das Innenministerium überhaupt unprotokollierten Zugriff auf die Datenbank, sprich Zugriffe und Aktivitäten, den IT-Mitarbeitern des Unternehmens gestattet? Und kann definitiv ausgeschlossen werden, dass IT-Mitarbeiter des Unternehmens nicht aus eigenem Antrieb heraus Anzeigen der Polizei, Vernehmungen von Zeugen und Beschuldigten, Verschlussakte, nationale und internationale kriminalpolizeiliche Daten oder gar Informationen aus dem Schengener Informationssystem gesichtet haben?
Zuerst muss der Nachfrage nachgegangen werden, ob das Innenministerium nach wie vor mit dem Unternehmen zusammenarbeitet. Es muss aber auch geklärt werden, ob die IT-Mitarbeiter von den „Produktionsumgebungen PAD, IKDA, VStV BMI & SIRENE“ nach wie vor gesperrt sind.
Eine Frage der Transparenz und dem korrekten Umgang mit personenbezogen Daten: Das 4-Augen-Prinzip. Warum wurde erst mit Wahrnehmung des Datenlecks die Weisung erteilt, dass IT-Mitarbeiter des Unternehmens im Beisein eines Technikers des BMI in den Räumlichkeiten des Betriebs IV/2/c Supportleistungen zu erbringen haben, und nicht von Anfang an, sprich bereits mit dem Start des Projekts?
Die Tragweite eines derartigen Datenlecks kann aus jetziger Sicht nicht einmal im Ansatz erfasst werden. Fass ohne Boden hat das Innenministerium und das betroffene Unternehmen bereits konfrontiert.
