1456/J XXVI. GP
Eingelangt am 18.07.2018
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Krisper, Kolleginnen und Kollegen
an den Bundesminister für Verfassung,
Reformen, Deregulierung und Justiz
betreffend der Datensicherheit in der WKStA
Im Zuge der laufenden BVT-Affäre ergeben sich nach unserer Einschätzung gravierende Probleme im Hinblick auf die Sicherheit der Dokumente und elektronischen Daten, welche im Zuge der Hausdurchsuchung im BVT und an anderen Orten sichergestellt wurden und sich nun in den Räumlichkeiten der WKStA befinden. Uns bekannte und vorliegende Informationen zeichnen das Bild eines mangelhaften Umgangs mit sensiblen Daten betreffend Transport, Lagerung und Bewachung. Neben der physischen Sicherheit dieser Daten scheint auch die elektronische Sicherheit derselben nur begrenzt gewährleistet zu sein.
Diese Besorgnis erregende Einschätzung wurde von jüngsten Medienberichten bestätigt.
Am 29.05.2018 veröffentlichte der Falter den internen Bericht eines BVT-Mitarbeiters, nach dem eine Festplatte mit Informationen zum Netzwerk "Neptun" beschlagnahmt wurde. Wer Informationen zu diesem System hat, weiß auch über den Austausch zwischen dem österreichischen Geheimdienst und seinen ausländischen Pendants Bescheid. Selbiger Artikel sprach auch von der Beschlagnahmung der ZQB-Datenbank, ein nicht minder kritischer Datensatz, da dieser die Informanten des BVT beinhaltet. Ein Bekanntwerden der Namen der BVT-Informanten bedeutet nicht nur einen Informationsverlust für das BVT, sondern auch eine erhebliche Gefahr für Leib und Leben der Informanten selbst. In den Salzburger Nachrichten vom 30.03.2018 äußerte sich BVT-Direktor Gridling kritisch indem er andeutete, dass seit der Hausdurchsuchung die ausländischen Partnerdienste an der Verlässlichkeit Österreichs als Partner zweifeln. Ein Vertrauensverlust bei ausländischen Partnerdiensten zeitigt für die Aufgabenerfüllung des BVT in höchstem Ausmaß negative Auswirkungen, insbesondere im Bereich der Terrorismusbekämpfung.
Am 11.06.2018 veröffentlichte der Kurier, dass die beschlagnahmten Daten, neben den oben genannten Informationen, auch die Zugriffe des BVT auf Daten im Schengen-Informationssystem beinhalten. Die Auswertung dieser Informationen kann offenbaren, für welche Personen sich das BVT interessierte. Sollten derartige Informationen an die falschen Leute geraten, ist ein erheblicher Schaden für die Pflichterfüllung des BVT unabwendbar.
Weiters schrieb der Kurier am 24.06.2018, dass laut Staatsanwältin die physische Sicherheit der Daten nicht gewährleistet sei. In einem Artikel der APA vom 28.06.2018 wurde ein BVT-Mitarbeiter zitiert, der von einem Abtransport von hochsensiblen Daten in Plastiksackerln (!) sprach. Der Standard wiederum berichtete am 27.06.2018 von der Lagerung der beschlagnahmten Daten hinter einer Glastür (!), an der zum Zeitpunkt der Verbringung noch nicht einmal ein Sichtschutz angebracht war. Ein solcher wurde laut Bericht erst am 01.03.2018 angefordert.
Bei den genannten Daten handelt es sich um in höchstem Ausmaß sensible Informationen, deren Bekanntwerden erheblichen Schaden für einzelne Personen und/oder die Republik Österreich nach sich ziehen kann.
Die unterfertigenden Abgeordneten stellen daher folgende
1. Seit wann wurde vonseiten der WKStA eine Hausdurchsuchung im BVT bzw. an den anderen Orten in Erwägung gezogen?
2. Seit wann wurde vonseiten der WKStA eine Hausdurchsuchung im BVT bzw. an den anderen Orten konkret geplant?
3. Wann wurde vonseiten der WKStA mit den Vorbereitungen der Sicherungsmaßnahmen der Daten begonnen, von deren Beschlagnahmung im Zuge der Hausdurchsuchungen auszugehen war?
4. Wurden hier bereits passende Räume im Vorhinein bereitgestellt und eingerichtet?
a. Wenn ja, nach welchen Kriterien wurden diese ausgesucht?
b. Wenn nein, warum nicht?
c. Stimmen die Medienberichte, die von einer Lagerung hinter Glastüren ohne Sichtschutz sprechen? Wenn ja, wie lange dauerte dieser Zustand an und wann wurde er durch Ergreifen welcher Maßnahme abgestellt?
5. Welche Maßnahmen wurden wann angeordnet, um die ordnungsgemäße Sicherstellung von sensiblen Daten zu gewährleisten? Bitte jeweils um Nennung der Maßnahme und dem entsprechenden Datum.
6. Welche Maßnahmen wurden wann angeordnet, um den ordnungsgemäßen Transport von sensiblen Daten zu gewährleisten? Bitte jeweils um Nennung der Maßnahme und dem entsprechenden Datum.
a. Stimmen die Berichte, die von einem Abtransport hochsensibler Daten in Plastiksackerln und offenen Kartons sprechen? Wenn ja, entspricht dieses Vorgehen den internen Sicherheitsstandards im BMVRDJ für den Transport hochsensibler Informationen?
7. Welche Maßnahmen wurden wann angeordnet, um die ordnungsgemäße Verwahrung von sichergestellten sensiblen Daten in den Räumlichkeiten der WKStA zu gewährleisten? Bitte jeweils um Nennung der Maßnahme und dem entsprechenden Datum.
8. Welche Maßnahmen wurden wann angeordnet, um die ordnungsgemäße Bewachung von sensiblen Daten zu gewährleisten? Bitte jeweils um Nennung der Maßnahme und dem entsprechenden Datum.
a. Inwiefern wird in concreto für die physische Bewachung der Daten Sorge getragen?
9. Ist die Serverinfrastruktur bei der WKStA nach ebenso hohen Sicherheitsstandards angelegt, wie jene im BVT?
a. Wenn nein, welche Vorkehrungen wurden getroffen, um ein gleichwertiges Maß an Datensicherheit zu gewährleisten?
10. Wurden beschlagnahmte elektronische Daten in das interne System bei der WKStA eingespielt, bzw. befinden sich beschlagnahmte Daten auf dem Server der WKStA?
a. Wenn ja, welche Maßnahmen wurden ergriffen, um diese Daten vor unbefugtem Zugriff zu schützen?
11. Verfügt die WKStA über ein internes Datensystem, welches von jenem des BMVRDJ getrennt ist?
12. Kann von außerhalb der Räumlichkeiten der WKStA auf deren Server zugegriffen werden?
a. Wenn ja, ist dies auch für Bedienstete des BMVRDJ möglich, die nicht Teil der WKStA sind?
13. Werden Rechner auf denen sich beschlagnahmte Daten befinden innerhalb der WKStA genutzt?
14. Welche Positionen haben konkret jene Personen inne, die Zugang auf die bei der WKStA verwahrten Daten haben?
a. Nach welchen Kriterien wurden die Zugriffsberechtigungen erteilt?
15. Wurden Personen, denen Zugang zu den genannten Informationen gewährt wird, einer Sicherheitsüberprüfung gemäß den Grundsätzen der §§ 55ff SPG unterzogen?
a. Wenn nein, warum nicht?
16. Gab, beziehungsweise gibt es Daten, die außerhalb der Räumlichkeiten der WKStA verwahrt werden?
a. Wenn ja, wann und welche Maßnahmen in Hinblick auf Verwahrung, Bewachung und Schutz vor unbefugtem Zugriff wurden dort ergriffen?