App des Bundes: Anonyme User konnten sensible Daten einsehen

Die Eidgenössische Finanzkontrolle (EFK) hat Mängel beim Datenschutz im Bundesamt für Verkehr (BAV) festgestellt, der Aufsichtsbehörde über den öffentlichen Verkehr.
 
Die Mängel betrafen die im Rahmen einer Voranalyse der BAV-Applikationslandschaft ausgewählte Fach-App "Transportunternehmensverzeichnis" (TU-V), wie die EFK in einem Bericht schreibt.
 
In dieser Applikationsversion aus dem Jahr 2008 war 2015 eine Erweiterung implementiert worden. Dazu gehören Datenfelder für Personendaten, inklusive besonders schützenswerte Personendaten, etwa Informationen zu Straftaten und Hinweise zu medizinischen Problemen.
 
Dabei verpassten es die Verantwortlichen, den Schutzbedarf der neuen Daten abzuklären. "Die Anwendung war grundsätzlich nicht auf den Schutz dieser Daten ausgelegt", so die EFK. Der Change-Management-Prozess war nicht genügend und "dies führte dazu, dass Vorgaben des Datenschutzgesetzes nicht eingehalten wurden", konstatiert die EFK.
 
Das war kein zufälliges Vorkommnis. "Da zum Change-Management innerhalb des BAV kein formeller Prozessablauf mit Dokumentationsvorgaben festgelegt ist, war zum Zeitpunkt der Prüfung nicht nachvollziehbar, wie vorgenommene Änderungen freigegeben worden waren und ob die Funktionentrennung in den Änderungsprozessen angemessen war", schreiben die Kontrolleure.
 
Im Januar 2018, während der Prüfung, informierte die EFK das offenbar ahnungslose BAV über die Datenschutz-Verletzungen, zudem die zuständigen Stellen des Departements und den Eidgenössischen Datenschutzbeauftragten. Das BAV habe daraufhin Sofortmassnahmen ergriffen und der Finanzkontrolle einen Plan unterbreitet, heisst es im Bericht.
 
Seither wurde ein Change-Management-Prozess gemäss den Empfehlungen durch das BAV in Kraft gesetzt.
 
"Zugriffsschutzmassnahmen sind zu verbessern"
Ein zweites grundsätzliches Problem stellten die Kontrolleure ebenfalls fest: "Ein klar geregelter und formalisierter Prozess zur Benutzermutation (Ein-, Aus- und Übertritt) ist nicht vorhanden. Die Rechtevergabe erfolgt ohne angemessene Überprüfung der Funktionentrennung und basiert auf Vertrauen. Nicht registrierte Benutzer innerhalb des Bundesnetzes verfügen über den Rechte-Umfang des 'Anonymous User'" so die EFK.
 
Weil das Rollen- und Rechtemanagement inexistent war, konnten anonyme User auch besonders schützenswerte Daten einsehen. Wer welche Zugriffsrechte hat, wurde nicht dokumentiert, was den Missbrauch erleichtert. Verantwortlichkeiten waren nicht festgelegt.
 
Auch in den Betriebsprozessen stellten die Prüfer Mängel fest, hingegen nicht in Aspekten der Wirtschaftlichkeit oder der Plattform an sich.
 
Das BAV schreibt in seiner Stellungnahme, die Empfehlungen deckten sich mehrheitlich mit eigenen Feststellungen. Die Arbeiten für die Umsetzung seien bereits im Gang.
 
Die Firma Geocloud (vormals bdh. Solutions) war vorgängig und zum EFK-Prüfungszeitpunkt (Juli 2017 bis Februar 2018) in einem befristeten Vertrag mit der Wartung der Anwendung TU-V beauftragt. Deren Betrieb erfolgt durch das Bundesamt für Informatik und Telekommunikation (BIT).
 
Seit Anfang März ist auf simap eine Ausschreibung für die Wartung, Support und Weiterentwicklung der Applikation zwischen 2019 und 2028 im Gange. Diese wurde im EFK-Bericht bereits angekündigt. (mag/sda)