3192/J XXV. GP
Eingelangt am 25.11.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Peter Pilz, Freundinnen und Freunde an die Bundesministerin für Inneres
betreffend Schlüsselverlust bei heiklen Polizeidaten
Am 26. November 2014 berichtete die Tiroler Tageszeitung, dass im Innenministerium seit 25. Oktober der Zugriff auf einen Server, auf dem sensible Ermittlungsdaten und Vernehmungsprotokolle des Bundesamts für Korruptionsbekämpfung gespeichert seien, verloren gegangen sei. Betroffen seien auch Daten der Direktion für Spezialeinheiten, somit insbesondere auch Ermittlungsakten der Observationseinheiten des Bundeskriminalamts und des Verfassungsschutzes sowie die Daten der Sondereinheit Cobra.
Die Art des Problems wurde mit einem Tresor, dessen Schlüsselcode abhanden gekommen sei bzw. nicht mehr funktioniere, beschrieben.
Bemerkenswert war im Bericht weiters, dass offenbar die Wirtschafts- und Korruptionsstaatsanwaltschaft, welche auf die enge Kooperation mit dem Bundesamt für Korruptionsbekämpfung angewiesen ist, nicht über das Problem informiert worden war.
Gegenüber dem Online-Standard wurde am 7. November seitens des BMI-Sprechers Karl-Heinz Grundböck dementiert, dass auch Daten von Verfassungsschutz und des Bundeskriminalamts betroffen seien. Es handle sich um Archivdaten. Es existierte zwar eine Sicherung der Daten, auf welche jedoch ebenfalls nicht zugegriffen werden könne. Ursache des Problems sei ein Defekt im verwendeten Smartcard-System.
Am 14. November schließlich berichtete der Online-Standard, dass das Problem behoben worden sei.
Angesichts der Vorfälle stellen sich einige wesentliche Fragen nach der Datensicherheit der verwendeten Systeme.
Die unterfertigenden Abgeordneten stellen daher folgende
1) Was waren im Detail die Ursachen des mehrwöchigen Serverausfalls im BMI?
2) Wer hat den Code verloren?
3) Auf welche Art und Weise konnte der Serverausfall behoben werden?
4) Der Sinn von Verschlüsselungssystemen ist es, einen Zugriff auf verschlüsselte Daten ohne Schlüssel unmöglich zu machen. Wie war es dennoch möglich, trotz „Verlust“ der Schlüssel bzw. eines Defekts des Verschlüsselungssystems wieder Zugriff auf die Daten zu erlangen?
5) Ergeben sich daraus Bedenken hinsichtlich der Sicherheit des eingesetzten Verschlüsselungssystems?
6) Können Sie ausschließen, dass Hintergrund der Probleme ein möglicher – versuchter oder auch erfolgreicher – unauthorisierter Zugriff auf die gespeicherten Daten durch Hacker oder ausländische Geheimdienste war?
7) In den Medien wurde berichtet, dass es sich bei dem Server bzw. Verschlüsselungssystem um ein US-amerikanisches System handle und dass zur Behebung der Probleme auch Unterstützung seitens des Herstellers herangezogen wurde. Auf welche Art und Weise wurde seitens des BMI sichergestellt, dass in dieses System keine „Hintertüren“ für US-Geheimdienste wie insbesondere die NSA eingebaut sind, welche einen illegalen Zugriff auf heikle österreichische Polizeidaten ermöglichen?
8) Welche Einheiten der Polizei waren von dem Problem betroffen?
9) Welche Arten von Daten waren auf dem betroffenen Serversystem gespeichert?
10) Waren neben schriftlichen Dokumenten auch audiovisuelle Daten, wie insbesondere Aufzeichnungen aus Telefonüberwachungen betroffen?
11) Ist es zutreffend, dass das Backup der gespeicherten Daten aufgrund desselben Defekts ebenfalls nicht zugänglich war?
12) Welchen Sinn hat ein Backup, das durch denselben Defekt wie das Hauptsystem außer Kraft gesetzt werden kann?
13) Handelte es sich bei diesem Backup um das einzige Backup?
14) Der BMI-Sprecher Grundböck betonte, dass es sich lediglich um „archivierte“ Daten handelte. Wie ist in diesem Zusammenhang „archiviert“ zu verstehen?
a. Waren auch Daten zu Verfahren betroffen, bei denen die Ermittlungen noch anhängig sind?
b. Waren auch Daten zu Verfahren betroffen, bei denen die Ermittlungen bereits abgeschlossen sind, aber noch nicht Anklage erhoben wurde?
c. Waren auch Daten zu Verfahren betroffen, bei denen bereits Anklage erhoben wurde, das Verfahren erster Instanz aber noch nicht abgeschlossen ist?
d. Waren auch Daten zu Verfahren betroffen, bei denen das erstinstanzliche Verfahren zwar abgeschlossen, die Rechtskraft aber noch nicht eingetreten ist?
e. Waren auch Daten zu Verfahren betroffen, bei denen zwar ein rechtskräftiges Urteil vorliegt, eine verhängte Strafe aber noch nicht vollständig abgeleistet wurde?
f. Waren auch Daten aus den Ermittlungen zum Telekom-Verfahren betroffen?
g. Waren auch Daten aus den Ermittlungen zum BUWOG-Verfahren betroffen?
h. Waren auch Daten aus den Ermittlungen zum Glücksspiel-Verfahren betroffen?
i. Waren auch Daten aus den Ermittlungen zum Tetron-Verfahren betroffen?
j. Waren auch Daten aus den Ermittlungen zum Eurofighter-Verfahren betroffen?
15) Sind durch die Probleme irgendwelche der unter Frage 14) genannten Daten dauerhaft verloren gegangen, und wenn ja um welche Daten handelt es sich?
16) Ist es zutreffend, dass die Wirtschafts- und Korruptionsstaatsanwaltschaft über das technische Problem vor den Medienberichten vom 6. November nicht informiert wurde, und falls ja warum nicht?
17) Hatte die Sondereinheit COBRA während der Dauer des Defekts Zugang zu aktuellen Einsatzplänen für alle Eventualitäten?
18) Welche Kosten sind durch den Defekt entstanden, und sind diese durch Gewährleistung, Garantien, Versicherungen oder Wartungsverträge abgedeckt?
19) Was werden Sie unternehmen, um in Zukunft einen sicheren und dauerhaften Zugang auf sensible Polizeidaten für die berechtigten Einheiten zu gewährleisten?