12.07.2016, 22:04 Uhr

BigData im Bundesheer - Sind die Personaldaten der Bediensteten geschützt?

2015 Cyberabwehr-Übung SCUDO beim Bundesheer (Foto: Bundesheer Carina Karlovits)
Im März 2015 veröffentlichte die Bundesrechenzentrum GmbH ihr White Paper zu „Big Data“ in der Öffentlichen Verwaltung. Bereits ein halbes Jahr später leitete Ex-SPÖ-Minister Klug mit einer Weisung an den Generalstab die Überleitung des heeresinternen Personalmanagementsystems PERSIS-NT (samt anderer zusammenhängender Anwendungen im BMLVS) in das Personalmanagement des Bundes (PM-SAP) ein. Am 26. Jänner 2016 wurde überraschend erstmals ein eigenes „Staatssekretariat für Digitales“ eingerichtet. Ex-SPÖ-Staatssekretärin Steßl, damals zuständig für die Verwaltung und den Öffentlichen Dienst im Bundeskanzleramt, übernahm zusätzlich den Bereich „Digitales“. Mit Einleitung der digitalen Volksregisterzählung 2011 und der Zusammenführung von personenbezogenen Datenregistern aller Bürger scheint nun der Abschluss für das Gesamt-BigData-Projekt der Republik Österreich bevorzustehen.

Anlass zur Sorge durch zwei aktuelle schwerwiegende Sicherheitsvorfälle in Deutschland und in der Schweiz im EDV-Bereich ihrer Verteidigungsministerien

Bei einem Spionageangriff auf die Ruag in der Schweiz sind die Personalien der geheimen Militär-Sondereinheit AAD 10 entwendet worden. Es wird geprüft, den Soldaten neue Identitäten zu verleihen. Es wird davon ausgegangen, dass ausser den Personalien der Elitesoldaten weitere geheime Daten von Ruag und dem Schweizer Militär über Rüstungsvorhaben, die strategische Ausrichtung der Armee und technologische Projekte gestohlen worden seien. Alle Details hier auf www.nzz.ch

Vertraulicher Bericht in Deutschland: Gefährliche Sicherheitslecks im Datennetz der Bundeswehr. Der Rechnungshof kritisiert die laxen Vorgaben zur Sicherung der IT-Netze der Bundeswehr. In einem vertraulichen Prüfpapier wird mangelnde Kontrolle kritisiert. Die Einsatzbereitschaft der Truppe sei in Gefahr. Das Urteil der Prüfer ist alarmierend: Durch fehlende Kontrollen des Ministeriums bei der Inhouse-Firma BWI IT, die das gesamte Datennetz der Truppe betreibt, könne man "nicht ausschließen, dass Daten soweit verändert werden, dass dies die Einsatzbereitschaft der Bundeswehr gefährdet". Alle Details hier auf www.spiegel.de

Big-Data im Bundesheer und die bevorstehende Datenüberführung in den Bund

Grundlage für die Entscheidung im BMLVS ist eine vorgeschlagene Lösungsvariante des Generalstabes aus dem Jahr 2015. Diese Lösungsvariante soll in einem Generalstabsprojekt mit dem Namen „Change Management IT 2020“ (CMIT 2020) unter Einbindung der Linienorganisation und ziviler Experten umgesetzt werden. Notwendig wurde diese Maßnahme gemäß Minister Klug durch Änderungen in der strategischen Ausrichtung des Bundes und eingehender Gesetze wie dem Bundeshaushaltsgesetz 2013 und dem IKT-Konsolidierungsgesetz 2012.

SAP-HRS Studie schlägt die Transformation der Personaldaten vor

Eine weitere treibende Kraft im Bund ist das Projekt „Human Resources Shared Services HRS“, womit die Schnittstellen zwischen den IKT-Systemen des Bundes (Bundesrechenzentrum – BRZ) und dem BMLVS als zweckmäßig aufgezeigt wurden. Die „SAP-HRS Studie“ schlägt die Transformation der Personalmanagementsysteme des BMLVS vor. Betroffen sind davon nicht nur PERSIS-NT sondern alle davon abhängigen IT-Applikationen des BMLVS. Somit könnte auch für den ELAK-KIS, der derzeit als interne Applikation des BMLVS läuft, die letzte Stunde geschlagen haben.

Minister Klug hat jedoch einige spezielle Vorgaben für diese Überleitung definiert und per Weisung angeordnet.


Die Autarkie des BMLVS zur Erfüllung der im Wehrgesetz festgelegten Aufgaben im In- und Ausland ist grundsätzlich zu erhalten.

Standardisierter Software und diesbezüglicher Verfahren ist Vorrang vor Eigenentwicklungen zu geben.

Frei werdende IT-Ressourcen (Anmerkung Red.: Damit sind wohl auch Bedienstete im KdoFüU gemeint) sind mittelfristig für die Führungsunterstützung von Streitkräften einzusetzen.

Die intensive Zusammenarbeit mit dem Finanzministerium und dessen Bundesrechenzentrum (BRZ) wird empfohlen.

BigData-Projekt der Bundesverwaltung als Servicedienst der Bürger oder eine riesige rasterfahndungsfähige Staatsdatenbank?

Das BRZ schreibt in seinem „White Paper“ vom März 2015: „Bürger/innen und Unternehmen fordern von der öffentlichen Verwaltung einerseits die hohe Servicequalität und Effizienz, die sie aus Angeboten der Privatwirtschaft von Amazon bis Google gewohnt sind, andererseits einen besonders hohen Datenschutz. Diese Gratwanderung zu schaffen ist eine der Herausforderungen für eine moderne öffentliche Verwaltung, denn im Gegensatz zur Privatwirtschaft stellen Bürger/innen und Unternehmen der öffentlichen Verwaltung ihre Daten meist nicht freiwillig zur Verfügung.“

Der Gesetzgeber hat jedoch vorgesorgt. Trotz Datenschutzgesetz 2000 und Bereichsabgrenzungen im E-Government-Gesetz gibt es Möglichkeiten zur gesetzeskonformen Nutzung von Daten. „Nicht-personenbezogene Daten“ sind nicht vom Datenschutzgesetz erfasst. Bei der Verarbeitung anonymisierter, pseudoanonymisierter oder zulässigerweise veröffentlichter Daten gelten die schutzwürdigenden Geheimhaltungsinteressen grundsätzlich als nicht verletzt.

Was soll der Zugriff auf BigData-Daten und Analysen des Staates den Bürgern bringen?

Dazu schreibt das BRZ in seinem „White Paper: „Durch die Integration unterschiedlicher Kommunikationskanäle und den Zugriff auf verschiedenste Datenquellen können Anfragen konsistenter, qualitativ hochwertiger und effizienter bearbeitet werden. Dabei können im besten Fall aus dem gewaltigen Pool an vorhandenem Wissen (z. B. Verwaltungsanwendungen wie dem ELAK, aus dem Internet oder aus bisherigen Antworten etc.) sogar Antwortvorschläge automatisch erstellt werden.“

Als Beispiele werden eine mögliche automatische Ummeldung bei Umzug im Melderegister, oder die automatisierte Anweisung der Kinderbeihilfe ab Geburt oder auch die automatisierte Befüllung von amtlichen Formularen aus verschiedensten vorhanden staatlichen Datenquellen genannt. Aber auch das Innenministerium meldet seine Interessen bei der Terror- und Kriminalitätsbekämpfung an. Korruption und Cyber-Crime könnten durch BigData-Analysten und SAP-Forensiker besser bekämpft werden. Das Finanzministerium sieht Vorteile bei den Ermittlungen zur Steuerhinterziehung, zur Geldwäsche sowie zum Glückspiel und Wettbetrug. Es werden auch Vorteile zur Bewältigung des Katastrophenschutzes und der Landesverteidigung erkannt. Ein nicht unwichtiger Faktor zu möglichen Datenzugriffen besonders im BMLVS, ist die BigData-Datenauswertung/Analyse im Bereich der Forschung, dem Wissensmanagement und der Zentraldokumentation.

Für den Bereich des BMLVS wäre hier sowohl die Datenschutzkommission, der Datenschutzrat, aber auch der Zentralausschuss des BMLVS mit dem Datenschutzkonzept für die Überleitung der Personaldaten aus dem PERSIS-NT in das neue SAP-Personalsystem (PM-SAP) zu befassen. Im Zuge dieser Befassung sind die genauen Zugriffsberechtigungen auf personenbezogene Daten von ÖBH-Bediensteten im Allgemeinen und im Besonderen für den Bereich unseres S2/J2- sowie des nachrichtendienstlichen Personals (HNaA/AbwA) zu prüfen. Laut einer Anfragebeantwortung aus dem Finanzministerium hatten im Jahr 2013 bereits 62 externe Schnittstellenpartner/Dienstleister eine Zugriffsberechtigung auf die Bundes- und Personaldaten im BRZ.

Gefahr der gezielten illegalen oder „versehentlichen“ Verknüpfung von sensiblen Daten aus dem BigData-Pool. Geben wir unsere Staatsdaten in die „Hände“ ausländischer (meist US-) Dienstleister?

Trotz verschiedener schwerwiegender Datenvorfälle in Österreich, wie zum Beispiel dem BIEFIE-Datenskandal, dem illegalen Handel mit Gesundheitsdaten, Meldedaten, Bonitätsdaten, dem ÖBB-Datenskandal, Apotheken-Datenskandal, Datenskandal bei der Justiz mit Exekutionsdaten oder dem Verdacht des illegalen Sammelns von Visa-Daten, dem Verdacht der Mitarbeit an der neuen Gesundheitsakte ELGA durch NSA-nahe IT-Dienstleister, sieht die Republik anscheinend kein Problem darin, auch weiterhin externen meist US-Dienstleistern, Firmen und Konzernen unsere vertraulichen und kostbaren Staatsdaten von Bürgerinnen und Bürgern anzuvertrauen.

EU-Kommissarin Neelie Kroes forderte im Rahmen einer EU-weiten Cyberkonferenz in Bonn, dass die EU eigene IT-Systeme entwickeln müsse, um auf der sicheren Seite zu stehen. Laut einem Kurierbericht teilt diese Erkenntnis auch der Vorstand des BRZ mit der Einschränkung, dass man neben US-Unternehmen wie IBM, Microsoft und anderen auch große europäische Hersteller wie SAP und lokale Dienstleister beschäftige. SAP Aufsichtsrat Jim Hagemann Snabe sah dies vor einigen Jahren anders:

„Ein Zusammenschluss einiger europäischer IT-Unternehmen mit dem Ziel, sich vom Weltmarkt abzugrenzen, macht überhaupt keinen Sinn“, sagte Hagemann der Nachrichtenagentur Reuters. „Die Idee eines staatlich verordneten europäischen IT-Champions ist von vornherein zum Scheitern verurteilt.“ Dies führe nur zu weniger Wettbewerb, Innovation und Wachstum in der global ausgerichteten Branche. Bundeskanzlerin Angela Merkel und andere Unionspolitiker hatten als Konsequenz aus der Ausspähaffäre um den US-Geheimdienst NSA gefordert, die Kräfte in Europas IT-Industrie nach dem Vorbild des Flugzeugbauers Airbus zu bündeln.

Marktführer SAP gelingt es anscheinend, mit "Lösungen fur die innere Sicherheit" im staatlichen Bereichen Fuß zu fassen


Das primäre Angebot heißt "SAP Investigative Case Management for Public Sector" und scheint eine weitere Vorgangsverwaltung mit einfachen Mining-Möglichkeiten zu sein; offenbar versucht SAP, aus den Wirtschaftsverwaltungen heraus, in den operativen und dispositiven Bereich zu drängen. „Durch den Zugriff auf Informationen aus Personalverwaltung (ÖBH PM-SAP), Haushaltsmanagement (ÖBH HV-SAP), Controlling und Logistik (ÖBH PBCT-SAP) erhalten Sie eine ganzheitliche, vollständige und jederzeit aktuelle Sicht auf die Organisation“, so ein Werbeflyer aus dem Jahr 2008!

Die Standardsoftwarebibliotheken von SAP R/3 und BV-HOST bilden derzeit die Grundlage für die laufenden Systeme im BRZ. SAP will aber auch immer mehr Polizeibehörden, Nachrichtendienste und andere mit Sicherheitsaufgaben betraute Organisationen bei der Wahrnehmung ihrer Kernaufgaben unterstützen. Die neue Lösung "SAP Investigative Case Management (SAP ICM) for Public Sector" deckt dabei alle Phasen eines sicherheitsrelevanten Vorgangs ab; vom Beginn der Untersuchung über deren weitergehende Bearbeitung und Analyse bis hin zum Abschluss des Falls und dessen Nachbereitung.

Führend auf dem BigData-Analysemarkt ist IBM mit Analyst's Notebook


IBM entwickelt unter dem Titel „Sicherheit und Justiz“ eine Software zur robusten Namenserkennung, Bildabgleich, Analyse von Videoüberwachung, Erschließung von Textdaten incl. multilingualem Tagging, Query Expansion und vieles mehr. In der Bundestags-Drucksache 17/11130 (DEU) wird erwähnt, dass das BKA, Bundespolizei und Verfassungsschutz (dieser schon seit 1994!) in Deutschland die Software "Analyst's Notebook" zur Datenanalyse und Datenforensik einsetzen.

Mit der Übernahme des Entwicklers i2 ist IBM Lieferant von Analyst's Notebook. Sowohl Geheimdienste, Nachrichtendienste, aber auch Controlling-Analysten in Wirtschaft, Forschung und Wissensmanagement sowie BigData-SAP-Forensiker in der Verbrechens- und Terrorbekämpfung sind bereits seit Jahren mit der professionellen Datenanalyse von BigData beschäftigt. Entsprechende Forschungsprojekte in Österreich (KIRAS) aber auch in der EU sowie der vorhandene Berufsmarkt an Spezialisten im Bereich SAP (Analyse/Forensik) bestätigen diese Entwicklung.

Wie sieht es nun beim Bundesheer mit der BigData-Sicherheit und den Datenschutz aus?

Die wichtigsten Analysetools auf dem Markt zur Auswertung von Massendaten im Bereich von SAP (BigData) sind derzeit IDEA, ACL, SAS, RayQ, AIS und Analyst’s Notebook von IBM. Es ist nicht bekannt, welches dieser Softwaretools beim Bundesheer wo eingesetzt werden soll.

Presseanfragen an BMLVS unbeantwortet - Gespräche mit Projektverantwortlichen im BMLVS bis dato offen


Es wurde versuchte über eine Presseanfrage an das BMLVS und Kabinett des Herrn Bundesministers Antworten zu vielen offenen Fragen im Bereich des Datenschutzes und der Sicherheit zur anstehenden Personaldaten-Transformation in Richtung SAP zu bekommen. Bis Redaktionsschluss lag keine Antwort dazu vor. Da aber von diesem Datentransfer, inklusive der künftigen Zugriffsregelungen, die gesamten Personaldaten aller Angehörigen des BMLVS betroffen sind, ist davon auszugehen, dass der Zentralausschuss im BMLVS zeitgerecht in dieses Projekt eingebunden wird.

Da auf die Presseanfrage an das BMLVS keine Reaktion erfolgte, ersuchte die Redaktion BHG Aktuell um einen Gesprächstermin mit einem Verantwortlichen des Projekts "Change Management IT 2020 (CMIT 2020)" im BMLVS. Es wurde hier auf eine derzeit noch fehlende Zustimmung der beiden Projektauftraggeber verwiesen. Wir sind jedoch zuversichtlich, dieses Gespräch noch vor Redaktionsschluss unserer Herbstausgabe 2016 führen zu können.

Auskunftsbegehren gem. Datenschutzgesetz an BRZ, Bundskanzleramt, BMI - Auskunft aus dem BMLVS unvollständig und lückenhaft

Zu den Systemen HV-SAP, PM-SAP und PBCT-SAP und verschiedenen anderen digitalen personenbezogenen Daten wurde durch einen Angehörigen der Redaktion Bundesheergewerkschaf Aktuell Auskunftsbegehren gem. Datenschutzgesetz 2000 an das BMLVS, Bundeskanzleramt, BMfF und an das Bundesrechenzentrum gestellt. Antworten aus dem Bundeskanzleramt, BMI und BRZ liegen bereits vor. Die Antwort zum Auskunftsbegehren an das BMLVS wurde unvollständig erteilt, was nun eine Beschwerde bei der Datenschutzbehörde zur Folge hat. Wir werden im Herbst darüber und über weitere Ergebnisse unserer Recherchen berichten.

Für alle Firmen, Institutionen, Personen und Ministerien gilt die Unschuldsvermutung.

Herbert UNGER - FGÖ-Bundesheergewerkschaft Medienreferent
Lesen Sie unsere Zeitungen Online-24 Stunden am Tag verfügbar:
https://www.yumpu.com/user/BHGAFH
0
1 Kommentarausblenden
1.396
Herbert UNGER aus Eisenstadt | 13.07.2016 | 17:16   Melden
Schon dabei? Hier anmelden!
Schreiben Sie einen Kommentar zum Beitrag:
Spam und Eigenwerbung sind nicht gestattet.
Mehr dazu in unserem Verhaltenskodex.