Desaströses Daten-Debakel: Der Cyberangriff auf die IT-Firma Xplain macht deutlich, dass der Bund ein grobes Sicherheitsproblem hat.
Unter den Daten, die Hacker beim Berner Softwareentwickler gestohlen haben, befinden sich nämlich nicht nur sicherheitsrelevante Informationen. Es sind auch schützenswerte Personendaten darunter.
Betroffen sind 766 Personen, die im September 2015 im sogenannten Hoogan-Register des Bundes standen. Sie waren vor Jahren bei einem Fussballspiel oder einer anderen Sportveranstaltung gewalttätig und landeten darum in dieser Hooligan-Datenbank. Sie erlaubt der Polizei zu kontrollieren, gegen wen Stadion- oder Rayonverbote vorliegen.
Die betroffenen Personen müssen jetzt davon ausgehen, dass ihre Daten öffentlich im Darknet kursieren – und für alle einsehbar sind, die danach suchen. Das Fedpol sagt, Angaben zu Delikten und Massnahmen gegen die betroffenen Personen seien im Leak nicht ersichtlich.
Wurden Daten nie gelöscht?
Bloss: Warum wurden die Daten aus dem Jahr 2015 nie gelöscht? Eigentlich müssen die Einträge nach drei Jahren aus der Datenbank getilgt werden – sofern sich eine Person nicht wiederholt gewalttätig gezeigt hat. Das sagen die Richtlinien des Justizdepartements.
Das Fedpol sagt auf Anfrage von Blick: «Die Hoogan-Datenbank läuft, wie die zugehörige Datenaufbewahrung, auf einer gesicherten Infrastruktur des Bundes.» Bei der betroffenen Datei, die nun im Darknet kursiere, handle es sich um einen Auszug aus dieser Datenbank, der 2015 erstellt worden sei. «Ersten Erkenntnissen zufolge gelangte diese Datei im Jahr 2015 – mutmasslich zu Testzwecken einer Anwendung – zur Firma Xplain.»
Besonders brisant: Das Fedpol scheint also im Dunkeln darüber zu tappen, wie der Auszug mit den schützenswerten Daten überhaupt zu Xplain gelangt ist. Es sagt, derzeit liefen Abklärungen, unter welchen Umständen operative Daten auf das System von Xplain gelangen konnten oder sich nach Abschluss von Tests noch immer dort befinden und angegriffen werden konnten. Es hat Strafanzeige gegen Unbekannt erstattet.
Leck wirft viele rechtliche Fragen auf
Das Hooligan-Leak werfe viele rechtliche Fragen auf, sagt Anwalt Martin Steiger, Experte für Recht im digitalen Raum. Im Vordergrund stehe die Verletzung des Amtsgeheimnisses. «Die entscheidende Frage ist: Wie hat man solch sensible Daten einer Softwareentwicklungsfirma zukommen lassen können? Es ist oft ein Zeichen von Bequemlichkeit, wenn man sich nicht die Mühe macht, in solchen Fällen Dummy-Daten für Testzwecke zu erstellen.»
Es sei naheliegend, dass betroffene Personen nun vom Fedpol und von der Firma Xplain Auskunft verlangen würden. Etwa: Welche Daten sind überhaupt wieso vorhanden und im Umlauf? Dann gelte es auch zu klären, was betroffene Personen von wem genau fordern.
Rechtsweg ist mühsam
«Sie könnten gegen die Firma Xplain zivilrechtlich wegen Persönlichkeitsverletzung klagen und Schadenersatz geltend machen. Auch könnten sie Genugtuung fordern», sagt der Anwalt. Zudem stelle sich auch die Frage einer Staatshaftung.
Betroffene Personen könnten ferner Strafanzeige wegen Amtsgeheimnisverletzung gegen das Fedpol und die Firma Xplain erheben. «Rechtlich gibt es viele Möglichkeiten. Das Problem dabei: Für Normalbürger ist der Rechtsweg immer sehr aufwendig», so Steiger.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte des Bundes (EDÖB) äusserst sich wegen laufender Untersuchungen nicht zum Fall. Bestätigt aber, dass den Betroffenen die Möglichkeit offen steht, zivil-, verwaltungs- und strafrechtliche Ansprüche einzuklagen.