Unser Daten-Fort-Knox: Wie sicher Österreichs Daten sind
KURIER-Lokalaugenschein. Sie sind mit den Angriffen konfrontiert: In den großen Datenzentren der Republik schützen Experten die Informationen
Was früher in Tiefspeichern und Kellern in tonnenschweren Akten gelagert wurde, ist längst nur mehr in Form von Bits und Bytes auf sogenannten Computer-Servern zu finden. Damit wurde vieles für die Verwaltung einfacher, die Frage der sicheren und effizienten Datenspeicherung ist aber auch zum MilliardenGeschäft geworden. Die USRegierung hat soeben einen 10-Milliarden-Dollar-Auftrag an Microsoft gegeben, alle Staatsdaten in einer „Cloud“des Tech-Giganten zu speichern.
Aber wie ist das in Österreich, wer speichert unsere Daten, vom Finanzamt, vom Grundbuch, bis hin zu den Verwaltungsdaten? Und wie sicher ist das?
Das unangefochtene Monopol bei der Datenspeicherung im öffentlichen Sektor liegt beim Bundesrechenzentrum (BRZ), einer 100-Prozent-Tochter des Bundes.
Datencenter des Staates
Im Hauptquartier im dritten Wiener Gemeindebezirk und an einem weiteren, streng geheimen Standort in Wien, hat das BRZ derzeit 4.000 DatenServer in Betrieb. Darauf liegen nahezu alle Daten der österreichischen Verwaltung, vom Führerscheinregister bis zu den Passport-Daten oder Anwendungen wie FinanzOnline.
Der KURIER durfte sich vor Ort umschauen, was gar nicht einfach zu bewerkstelligen war, denn das unscheinbare Gebäude gilt nicht zu Unrecht als Daten-Fort Knox der Republik: nicht nur virtuell – auch physisch. Ohne Zutrittskarte kommt niemand hinein. Vor den Server-Räumen gibt es Hightech-Sicherheitsschleusen, bei denen biometrische Daten als zusätzlicher Faktor zur Authentifizierung verwendet werden. Welche das genau sind, ist freilich geheim.
„Einmal im Jahr führen wir einen Einbruchsversuch durch“, erzählt Johannes Mariel. Der ehemalige Gendarm ist Leiter der Stabsstelle Sicherheit und Qualität im BRZ. Er engagiert Profis, die von außen in das Gebäude einzudringen versuchen. So will man Sicherheitslücken vorzeitig erkennen und ausschalten.
Ähnlich funktionieren die Sicherheitschecks im virtuellen Raum. „Jeden zweiten Tag versuchen wir, eines unserer Systeme selbst zu hacken“, sagt Mariel. Prävention sei das Wichtigste.
Denn Angriffe aus dem Cyberspace gibt es „laufend“. „Ich sage immer, da gibt es so ein Grundrauschen“, erklärt Stefan Poschinger, der Leiter des Computer Emergency Response Teams (CERT).
Katz-und-Maus-Spiel
Die meisten Angriffe können technisch durch eine Firewall abgefangen werden. Nicht immer stehen hinter den Angriffen menschliche Hacker:
„Ganz oft ist es ein Kampf von automatisierten Tools“, sagt Poschinger. „Die Technologie ist aber nicht soweit, alle Angriffe voll automatisiert abzuwehren.“Darum brauche es hoch qualifizierte Sicherheitsexperten. Zwischen Angreifer und Verteidiger gebe es ein andauerndes Katz und Maus-Spiel. Es sei eine permanente Herausforderung, sich auf die sich ständig ändernden Bedrohungen vorzubereiten.
Damit auf jede Situation, sei es ein Hacker-Angriff oder technisches Problem, sofort reagiert werden kann, ist das BRZ 365 Tage im Jahr rund um die Uhr besetzt. Meldet das System eine Auffälligkeit, schlägt das Team sofort Alarm.
Nicht beim BRZ liegen Gesundheitsdaten, wie etwa jene der Elektronischen Gesundheitsakte (ELGA), die von den Gesundheitsdienstanbietern gespeichert werden.
Auch einige Ministerien, wie das Verteidigungsministerium und das Innenministerium (samt Kriminalämtern und Verfassungsschutz) haben aufgrund der geheimdienstlichen Brisanz der Informationen individuelle Speicher-Lösungen. Aus Sicherheitsgründen wollen sie auf KURIER-Anfrage dazu aber keine Stellungnahme abgeben.
Über Datenlecks bei den Staats-Daten ist bisher nichts bekannt. Versuche gibt es andauernd – und sie werden jährlich mehr.