EU-Kommission fordert, keine Aufträge für polizeiliche IT-Systeme mehr an „externe Anbieter“ zu vergeben

Die EU-Kommission reagiert auf nicht autorisierte Zugriffe von Unbekannten auf Polizeidatenbanken der EU-Mitgliedstaaten. Alle betreffenden Regierungen werden laut einem Kommissionspapier aufgefordert, keine Aufträge für den Betrieb des Schengener Informationssystems (SIS II) an „externe Anbieter“ zu vergeben. Es ist unklar, wer damit gemeint ist. Hintergrund ist ein Angriff von 2012. Damals war die dänische Kontaktstelle für das SIS-Fahndungssystem betroffen. Ihre technische Infrastruktur war von einer Tochterfirma des US-Konzerns Computer Sciences Corporation (CSC) betrieben worden. Die auch in Deutschland aktive Firma ist für ihre Kooperation mit US-Geheimdiensten bekannt.

Gewöhnlich sind die SIS-Zentralstellen bei den nationalen Kriminalpolizeien angesiedelt, im Falle Deutschlands etwa beim Bundeskriminalamt. In der Schweiz werden nationale und internationale Fahndungsdatenbanken beispielsweise vom Bundesamt für Informatik und Telekommunikation (BIT) und dem Informatik Service Center des Eidgenössischen Justiz- und Polizeidepartements (ISC-EJPD) verwaltet.

Auch deutsche Daten kamen abhanden

Laut der Bundesregierung hatte die dänische Regierung am 6. Juni 2013 alle Schengen-Mitgliedstaaten über den Angriff informiert. Demnach seien 1,2 Millionen Datensätze kopiert worden. Im Januar hatte die dänische Polizei bereits Daten von der schwedischen Polizei erhalten, die dort bei Untersuchungen „mehrerer Cyberangriffe“ anfielen. Daraus ging hervor, dass das SIS betroffen war. 272 606 Datensätze hatte Deutschland in das SIS eingestellt. Verantwortlich gemacht wurde für den Hack aber nicht CSC Solutions, sondern zwei Mitgründer des Filesharing-Dienstes Piratebay. Einer von ihnen, Gottfrid Svartholm Warg, ist im Oktober deswegen verurteilt worden. Er bestritt die Tat und trug vor, jemand sei in seinen Rechner eingedrungen und habe den Angriff darüber ausgeführt.

Das SIS enthält größtenteils Daten ausreisepflichtiger MigrantInnen und wurde parallel zum Abbau der Binnengrenzkontrollen eingerichtet. Im System werden aber auch Ausschreibungen zur Fahndung, Beobachtung beim Grenzübertritt oder polizeiliche Anordnungen gespeichert – auch der Haftbefehl für Julian Assange ist dort eingestellt. Inzwischen können auch Anhänge gespeichert werden, darunter biometrische Daten wie DNA-Profile und Fingerabdrücke sowie Fahrzeugregisterdaten. Das SIS und alle anderen großen polizeilichen EU-Datenbanken werden mittlerweile von einer eigenen „IT-Agentur” beaufsichtigt.

Schwachstellen in Polen und Malta

Nach dem Angriff hatte die EU eine „Arbeitsgruppe mit Informatikexperten“ eingesetzt, um zu verhindern dass die Schwachstelle erneut ausgenutzt werden kann. Ihr Bericht liegt nun offenbar vor. In dem EU-Papier wird darüber berichtet, dass die Mitgliedstaaten ihre IT-Systeme regelmäßig selbst überprüfen lassen sollen. Weitere Unregelmäßigkeiten werden aus Polen berichtet, wo die nationale SIS-Kontaktstelle eine „physische Unsicherheit“ aufweise. Details werden nicht genannt.

Andere Schwachstellen liegen aber beim EU-Mitglied Malta. Die dortigen Grenzbehörden nutzen ein Grenzkontrollsystem vom US-Geheimdienstpartner Booz Allen Hamilton, das als Mittel im „Kampf gegen den Terrorismus“ angepriesen wird. Es enthalte laut der Firma zahlreiche Werkzeuge zur Sammlung, Verarbeitung und Analyse sowie ein „tracking system“.

Würde dieses Grenzkontrollsystem über eine Hintertür für US-Geheimdienste verfügen, könnten sich diese dadurch Zugang zu allen EU-Polizeidatenbanken verschaffen an denen Malta beteiligt ist. Es ist nicht bekannt, inwiefern die EU-Kommission Malta zu einer Sicherheitsüberprüfung aufgefordert hat. Durch die nun erfolgte Initiative zur Auftragsvergabe für den Betrieb des SIS II müsste sich die Regierung aber angesprochen fühlen.

Die Grenzkontrollsysteme von Booz Allen werden von der US-Regierung übrigens als Entwicklungshilfe weltweit verschenkt oder billig überlassen. Zu den „Begünstigten“ gehören etwa Pakistan, die Türkei, der Irak und Jemen.

1 Ergänzungen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.