Schweden: Regierungsdaten in der Cloud mit eingebauter Sicherheitslücke

26.7.2017 - Bei der Auslagerung von Behördendaten in die Cloud sind in Schweden gravierende Fehler gemacht worden. Die die Cloud betreuenden Mitarbeiter des Dienstleisters IBM wurden nicht sicherheitsüberprüft. Ein "unglaublich ernster Vorfall", sagt die Regierung.

Daten der schwedischen Behörde für Privat- und Berufsverkehr (Transportstyrelsen) und des schwedischen Militärs sind in einer IBM-Cloud gespeichert worden. Die sie betreuenden Mitarbeiter von IBM und von IBM-Subunternehmen in Tschechien und Rumänien wurden aber nicht sicherheitsüberprüft, wie die Behörde mitteilte. Der schwedische Ministerpräsident Stefan Löfven sprach am Montag von einem "unglaublich ernsten Vorfall". Noch sei nicht geklärt, ob es durch die fehlenden Sicherheitschecks der Mitarbeiter auch zu Datenabflüssen gekommen ist.

Aus Kostengründen verlagert Schweden seit 2015 seine Datenbanken in die Cloud. Das Führerscheinwesen und das KFZ-Register sowie die Fahrzeugs-Bestandsplanung des Militärs wurden in eine in Schweden beheimatete Cloud überführt, die von IBM-Mitarbeitern betreut wird. Diese greifen dafür wiederum auf Subunternehmen in Tschechien und Rumänien zurück. Wie 2016 bekannt wurde, unterblieben dabei die Sicherheitsüberprüfungen, die etwa den deutschen Ü2- (Zivil) und Ü3-Standards (Militär) entsprechen, weil die Zeit drängte. Solche Sicherheitsüberprüfungen dauern auch in Schweden bis zu einem Jahr und laufen entsprechend länger, wenn es um ausländische Mitarbeiter geht. Wegen dieser Nachlässigkeit wurde die Leiterin von Transportstyrelsen 2016 ihres Amtes enthoben und musste eine Strafe von rund 7500 Euro zahlen.

Noch unklar, ob Daten abgeflossen sind

Mit gehöriger Verspätung sorgt der Fall jetzt für politische Aufregung, weil die Oppositionsparteien mit einem Misstrauensantrag drohen. Dieser wird erstmals auch von der Linkspartei befürwortet, die sonst die regierenden Sozialdemokraten unterstützt. Für die Aufregung ist eine Stellungnahme des schwedischen Inlands-Nachrichtendienst (Säkerhetspolisen) verantwortlich, der die fehlende Sicherheitsüberprüfung als "größte Gefahr" für das Königreich bezeichnete und nun darauf drängt, dass ausschließlich überprüfte schwedische IBM-Mitarbieter die Cloud betreuen. Wie Ministerpräsident Löfven erklärte, untersuchen die Nachrichtendienstler jetzt, ob Daten aus der Cloud geleakt worden sind.

Quelle: heise.de