Outsouring an IBM resultiert in größter Datenpanne in Schwedens Geschichte

In Schweden kommen allmähliche Details des wahrscheinlich umfangreichsten Datenschutzskandals ans Licht, der bereits bis ins Jahr 2015 zurückdatiert. Damals wurden im Zuge von Personaleinsparungen von der schwedischen Verkehrsbehörde Swedish Transport Agency (STA) Dienste an IBM und NCR ausgelagert. Die erbrachten die Dienstleistungen aus der Tschechische Republik respektive aus Serbien. Allerdings waren die Sicherheitsmaßnahmen völlig unzureichend und hatten womöglich Unbefugte Zugriff auf zahlreiche geheime und umfangreiche personenbezogenen Daten der schwedischen Regierung und Bevölkerung.

Zu den ausgelagerten Daten gehörte unter anderem eine Datenbanken mit Informationen über alle Führerscheininhaber in Schweden. Wie Rick Falkvinge, einer der Gründer der schwedischen Piratenpartei in einem Blog ausführt gehörten dazu unter anderem aber auch Daten zu Zeugenschutzprogrammen, personenbezogene Daten von Elitesoldaten und Kampfpiloten sowie Listen der von Behörden und Armee genutzten Fahrzeuge.

2016 entdeckte der schwedische Geheimdienst, dass die STA, um dem Kostendruck gerecht zu werden, die oben genannten Daten entgegen aller Sicherheitsregeln in die Cloud-Angebote der beiden Dienstleister übertragen hatte. Außerdem hatten diverse Mitarbeiter dieser Dienstleister vollumfänglichen Zugriff auf diese Daten. Im Falle von IBM waren das nicht nur Mitarbeiter in der Tschechischen Republik, sondern auch noch in elf anderen Ländern. Und im Falle von NCR in Serbien lagen die Daten – auch das entgegen jeder Vorschrift – noch außerhalb der EU.

Die Ermittlungen des Geheimdienstes führten zunächst zur Entlassung von Maria Ågren, der verantwortlichen Leiterin der STA. Schwedische Medien haben inzwischen herausgefunden, dass sie offenbar nicht böswillig, sondern einfach inkompetent war. Für das Dienstvergehen musste sie eine Strafe von 70.000 Kronen – rund 7300 Euro – bezahlen. Das entsprach einem halben Monatsgehalt. Das Verfahren darüber hat nun die ganze Geschichte ans Tageslicht gebracht.

Normalerweise muss das Personal, das mit den von der STA ausgelagerten Informationen arbeitet, extra geschult und einer Sicherheitsüberprüfung unterzogen werden. So soll gewährleistet werden, dass der Zugriff durch sie keine Gefahr für den schwedischen Staat darstellt. Diese Sicherheitsüberprüfung dauert aber recht lange. Ågren drängte offenbar darauf, dass die IBM-Mitarbeiter eher und unbeschränkten Zugriff auf die Daten bekommen, um den Prozess zu beschleunigen. Dabei wurden drei schwedische Gesetze gebrochen. Als die internen IT-Mitarbeiter auf die Problematik hingewiesen haben, wurden sie einfach aus dem weiteren Verfahren ausgeschlossen.

Als der schwedische Nachrichtendienst Säpo erfuhr, dass geheime und personenbezogene Daten von der Behörde im Ausland verarbeitet und gelagert werden sollten, empfahl er nach einer Prüfung die Umstellung sofort abzubrechen. Diese Anordnung wurde von der STA und deren Leitung jedoch ignoriert, die mit der Umstellung wie geplant fortfuhr. Unklar ist noch, ob die Missbrauchsmöglichkeit für die Daten tatsächlich ausgenutzt wurde.

[mit Material von Reynald Fléchaux , silicon.fr]