Schwedens größtes Datenleck: Strafe 7.320 Euro

Publiziert am 25. Juli 2017 von Günter Born

Schweden war 2015 vom größten Datenleck des Landes betroffen – damals wurden Millionen sensitive Daten von Schweden öffentlich. Die verantwortliche Person wurde jetzt zu einer Strafe von einem halben Monatsgehalt (ca. 7.320 Euro) verdonnert.

Anzeige

Inkompetenz und Outsourcing

Der Fall zeigt, wie Inkompetenz in der Verwaltung und Outsourcing zum größten Datenleck Schwedens führte. Im April 2015 fiel bei der Swedish Transport Agency (STA) (so etwas wie eine zentrale Verkehrsbehörde, bei der alle Daten schwedischer Fahrer und Fahrzeuge erfasst werden) der Beschluss, die IT-Dienste und die Verwaltung der Datenbanken an die Firma IBM (Schweden) outzusorcen. IBM-Schweden hat aber Unterauftragnehmer, so dass die Betreuung in Tschechien und NCR in Serbien ausgelagert wurde.

Die gesamte Datenbank der STA wurde im September 2015 auf Cloud-Server der betreffenden Firmen hochgeladen und die eigenen IT-Techniker gefeuert. Doof nur, dass damit die Angestellten der betreffenden Firmen vollen Zugriff auf die dort gespeicherten Daten hatte. Laut Berichten schwedischer Medien wurden folgende Daten zugreifbar:

  • Daten aller schwedische Führerscheininhaber
  • Persönliche Details in Schwedens Zeugenschutzprogramm
  • Personaldetails von Schwedens militärischen Eliteeinheiten
  • Persönliche Daten von Schwedens Kampfpiloten
  • Persönliche Daten aller schwedischer Piloten und Fluglotsen
  • Daten aller Personeneinträge in Schwedens polizeilichen Strafregistern
  • Daten aller militärischen und öffentlichen Fahrzeuge Schwedens
  • Informationen über Schwedens Straßen- und Transport-Infrastruktur

Ergänzung: in dieser Stellungnahme der Transportbehörde wird bestritten, dass Daten von Militärflugzeugen in den Datenbanken enthalten waren. Bei heise.de schreibt man zudem, dass eine der Subauftragnehmer in Rumänien sitzt.

Mit solchen Freunden in Politik und Verwaltung (den Ausdruck Nieten vermeide ich lieber), braucht es keine Feinde oder Spione mehr. Denn die Verantwortlichen haben nicht mal mitbekommen, was sie verursacht hatten.

Ergänzung: An dieser Stelle eine Präzisierung. Man kann ja durchaus Leistungen outsourcen, muss sich aber versichern, dass von den Auftragnehmern die gleichen Standards wie von den eigenen Mitarbeitern hinsichtlich Datenschutz etc. eingehalten werden. Wie es ausschaut, wurde auf die Sicherheitsüberprüfung der Subauftragnehmer – wohl aus Zeitmangel – verzichtet (siehe heise.de-Artikel).

Erst im März 2016 kam der schwedische Geheimdienst auf den Trichter, was für ein Gau passiert war. Damals wurde eine Untersuchung eingeleitet und es ging eine Warnung an Behörden, dass fremde Personen faktisch unautorisierten Zugriff auf die STA-Daten und die Kontrolle über die IT-Systeme haben. Die Verantwortlichen in der Swedish Transport Agency (STA) haben dazu die erforderlichen Sicherheitsregularien und Überprüfungen ignoriert bzw. sogar umgangen (siehe). Zweck war (mutmaßlich), die lokale IT-Mannschaft schnellstmöglich loszuwerden.

Die Auftragnehmer von IBM sitzen in Ländern, die sich in Richtung Russland ausrichten und eher gegen die EU eingestellt sind. Hinzu kommt, dass IBM auch anderen Subunternehmern in anderen Ländern den Zugriff auf die Daten gewährt bzw. die Verwaltung der IT-Infrastruktur an Subunternehmer delegiert hat bzw. haben könnte. Es ist also gewaltig was schief gelaufen.

Übrigens erhalten die Kontraktoren Zugriff auf das europäische, speziell abgesicherte STESTA Intranet. Und Schweden wird teilweise von interessierter Seite (z.B. bei der Abschaffung von Bargeld) als das große Vorbild hingestellt. Die Bürger von Schilda waren da nichts gegen diese Possen.

Folgen: Halbes Monatsgehalt Strafe für die Verantwortliche

Die Leiterin der Behörde, Maria Ågren, die wohl zurücktreten musste, wurde jetzt von einem Gericht schuldig gesprochen. Es gibt wohl den Tatbestand der 'Unachtsamkeit bei geheimen Daten ohne Absicht' (siehe, Mitglieder der Piratenpartei Schwedens sprechen von krimineller Energie bei der Abwicklung des Outsourcings an IBM Schweden). Die vom Gericht verhängte Strafe: 70.000 schwedische Kronen, ein halbes Monatsgehalt, was dem Gegenwert von 7.320 Euro entspricht.  (via)

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Allgemein abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Schwedens größtes Datenleck: Strafe 7.320 Euro

  1. Gaga sagt:
    25. Juli 2017 um 13:47 Uhr

    Und plötzlich, ach wer konnte das ahnen, sehen wir der Realität ins Auge. Unsere Daten (und Renten :-)) sind sicher… Wer's glaubt wird selig, wer's nicht glaubt kommt auch in den (Cloud) Himmel.
    Das Regierungen nicht (mehr) in der Lage sind uns Bürger zu schützen wird uns täglich vor Augen geführt… Das nimmt ein böses Ende, früher oder später…

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.