Wie Ministerien Daten vernichten

7. September 2012, 10:38
  • Artikelbild
    foto: apa

Die Bundesministerien gehen mit alten Datenträgern unterschiedlich um - Eine einheitliche Strategie gibt es nicht

In Österreichs Amtsstuben fallen jährlich tonnenweise Datenträger an, die nicht mehr gebraucht werden oder unbrauchbar sind. Festplatten, Handys, digitale Diktiergeräte, Datenbänder, USB-Sticks, CD-ROMs, SD-Karten und so fort. Sie können bei ihrem Ausscheiden aus dem "öffentlichen Dienst" Daten enthalten, die nicht öffentlich werden sollten.

Daher macht sich der Nationalratsabgeordnete Rupert Doppler, gelernter Landmaschinenmechaniker, offenbar Sorgen um die Datensicherheit in den österreichischen Bundesministerien. Im Juni stellte er dem Bundeskanzler und einem Dutzend weiterer Bundesminister die gleichen 32 Fragen. Doppler wollte wissen, wie viele Speichermedien oder Geräte welcher Art im jeweiligen Ressort 2010 und 2011 entsorgt wurden und auf welche Weise.

Nun liegen die Antworten vor. Der WebStandard hat sie studiert und musste feststellen, dass jedes Ministerium nicht nur sein eigenes Briefpapier-Layout entwickelt hat. Sowohl die statistischen Angaben als auch die Methoden zur Entsorgung der Datenträger sind höchst unterschiedlich. Die folgenden Informationen beruhen alle auf den nicht überprüften Anfragebeantwortungen, wie sie auf der Website des Parlaments aufscheinen.

Wunderliche Zahlen

Die Angaben über entsorgte Datenträger schwanken nicht nur von Ministerium zu Ministerium enorm, sondern auch von einem Jahr zum anderen. Beispielsweise wurden 2010 in der Zentralstelle des Sozialministeriums 383 Festplatten ausgeschieden, 2011 aber keine einzige. In beiden Jahren zusammen soll keine CD, keine DVD, kein USB-Stick und kein Datenband am Ende gewesen sein. 2009 aber 36 Kilogramm davon und heuer voraussichtlich 18 Kilogramm.

Umgekehrt im Wirtschaftsministerium: 2010 null alte Festplatten, 2011 deren 156. Sehr langlebig sind die Platten, USB-Sticks und Speicherkarten angeblich im Gesundheitsministerium. Kein einziger Entsorgungsfall in 24 Monaten wird gemeldet. Im Justizministerium geht es härter zu, dort sind alleine an Festplatten über 4.600 angefallen.

Manche Ministerien geben an, dass CDs- und DVDs in den jeweiligen Abteilungen geschreddert werden, andere halten Datenschutzcontainer bereit. Diese werden im Zuge der Entsorgung gewogen, wobei die diversen Gewichtsangaben weit streuen. Und während im Verteidigungsministerium mehr als 2.000 Handys zum alten Eisen zählten, waren es bei der Finanz gerade einmal 152.

Die Schwankungen liegen natürlich auch an den unterschiedlich großen Belegschaften, und daran, dass manche Regierungsmitglieder nur Angaben über ihre Zentralstelle machen. Dem Leser drängt sich aber doch der Verdacht auf, dass auch sonst die statistische Grundlage womöglich wenig belastbar ist, oder dass die Entsorgungskette nicht allerorten mit gleicher Disziplin geschmiedet wird.

Handys

Einige Ämter lassen Festplatten vom Bundesrechenzentrum vernichten, andere setzen auf private Dienstleister. Das Unterrichtsministerium berichtet besonders detailliert von mehrfachem Überschreiben mit Software, anschließender Magnet-Behandlung und folgender Zerkleinerung von Platten aus einem RAID-5-Verbund.

Doch bei den Handys endet diese Vorsicht schon wieder: Sie werden im Unterrichtsressort nur per Software zurückgesetzt und dann karitativen Organisationen zur Verfügung gestellt. Damit seien "alle denkmöglichen Veranlassungen getroffen, um zu verhindern, dass Daten (...) in den Besitz unbefugter Personen gelangen", glaubt Ministerin Claudia Schmied. Zwar werden SIM- und Speicherkarten durchwegs entnommen, sonst aber sind auch in den anderen Ministerien einfache Software-Resets üblich. Nur Verteidigungsminister Norbert Darabos lässt Mobiltelefone schreddern.

Ganz spezielle Handys ohne Datenspeicher dürften in den Arbeitsinspektoraten zum Einsatz kommen. "Alle Daten sind auf der SIM-Karte gespeichert. Die SIM-Karten sind weiterhin in Verwendung (...) Es kann ausgeschlossen werden, dass datenschutzrelevante Daten dritten Personen zugänglich sind", glaubt Sozialminister Hundstorfer.

Burn, Baby, Burn

Mancherorts ist von thermischer Behandlung vulgo Verbrennen von Datenträgern die Rede. CDs und DVDs werden auch schon mal bewusst zerkratzt oder zerbrochen. Viele IT-Abteilungen überschreiben Magnetspeicher, und wenn das nicht mehr geht werden sie eventuell angebohrt. Einmal wird angeführt, dass Datenbänder zerschnitten werden.

Nicht alle ausgeschiedenen Geräte oder Speichermedien sind wertlos. Handys werden gerne Entsorgungsfirmen gegeben, die einen symbolischen Betrag spenden. Einmal wird auch die Ö3 Wundertüte erwähnt. Teilweise werden Handys und andere Hardware vom Ministerium zum fortdauernden Gebrauch an Dritte weitergereicht. Empfänger sind dann etwa Schulen, das Bundesheer oder die Diakonie. Teilweise werden Festplatten vorher entnommen, manchmal sollen sie überschrieben worden sein.

Besonders beliebt ist die Überlassung an Mitarbeiter des jeweiligen Amtes. So haben Finanzbeamte alleine im Jahr 2011 mehr als 7.700 Laptops erhalten. Deren Festplatten waren den Angaben Maria Fekters zu Folge mehrfach überschrieben worden.

Garantie als Lücke

Nur ein Ministerium spricht offen über eine Lücke: Geht eine Festplatte vor Ablauf der Garantie über den Jordan, soll der Garantiegeber austauschen. Das bedeutet, dass er das beschädigte Stück behält. Was dann damit passiert, bleibt undeutlich.

Immer häufiger haben Drucker, Scanner und Kopierer eigene Festplatten, über die Informationen in falsche Hände geraten können. Gerade in diesem Bereich sind Leasing-Modelle weit verbreitet, so dass die ministeriellen Geräte eines Tages an den eigentlichen Eigentümer zurück gehen. Der hat dann auch die Entsorgung über. Der vorherige Ausbau der Datenträger kommt nur selten vor.

An das Gute im Menschen glaubt noch Bundeskanzler Werner Faymann: "Der Lieferant (das Bundeskanzleramtes wird) verpflichtet, die Vernichtung der Daten schriftlich zu bestätigen. (...) Entsprechend einer vertragskonformen Vorgehensweise des Lieferanten ist der Zugang für Dritte zur datenschutzrelevanten Daten auszuschließen."

Lediglich aus dem Innenministerium wird von einem "Data Overwrite Kit" berichtet, welches auf Multifunktionsgeräten zwischengespeicherte Informationen gleich nach deren Verarbeitung löscht. Bei Wechselmedien und externen Festplatten ruht sich Johanna Mikl-Leitner dafür auf drei Erlässen aus: "Basierend auf der Erlasslage hat der Anwender dafür zu sorgen, dass auf den externen Speichermedien alle vorhandenen Daten nach dem Stand der Technik gelöscht werden."

Zum Diktat

Digitale Diktiergeräte hat nur das Justizministerium auszusondern, davon aber gleich 939 in zwei Jahren. Die entsprechenden Datenkarten werden intern vernichtet.

Beim Bundesheer gibt es wohl auch digitale Diktiergeräte. Sie werden aber dezentral beschafft und vom Heereslogistikzentrum als biederer Elektroschrott entsorgt. Daten dazu hat Minister Darabos keine.

Frauenministerin nicht gefragt

Von der Bundesministerin für Frauen und Öffentlichen Dienst, Gabriele Heinisch-Hosek, liegen keine Angaben zum Thema vor. Sie ist aus dem Bundeskanzleramt heraus tätig und verfügt über keine eigenen Dienststellen. Abgeordneter Doppler hat ihr daher keine Anfrage übermittelt. (Daniel AJ Sokolov, derStandard.at, 07.09.2012)

Share if you care
Posting 1 bis 25 von 39
1 2
Verschwendung

Wieso kann man Festplatten nicht gleich im Vorhinein verschlüsseln (dann sind sie auch bei Diebstahl geschützt) nach Gebrauch mit der Gutmann-Methode zu überschreiben und danach karikativen Empfängern zukommen lassen? Der Abbau der Rohstoffe für Elektronik erfolg großteils unter menschenunwürdigen Bedinungen, der Staat könnte ein Vorbild sein und Nachhaltigkeit propagieren - aber nein, Festplatten und Handys müssen VERBRANNT werden.
Datenschutz lässt sich in einer hochtechnologiesierten Gesellschaft sicher auch anders anwenden.

Ich kann aus der Erfahrung bei Kunden ..

.. im öffentlichen Bereich berichten, daß die sich durchaus ALLE Gedanken machen, und vor dem DSG ganz viel Angst haben (und vor der Kanonenzeitungs-Titelsete).

Der übliche Ausweg ist halt über einen externen Dienstleister, der das vernichtet - üblicherweise derselbe, der auch den Papiermüll entsorgt. Dann ist im ISO27xxx das Hakerl zu setzen, und das Problem offiziell erledigt.

Das AKH (bzw. eine der 57 GmbHs, die da drin sitzen) hat übrigens vor einigen Jahren einen langwierigen Rechtsstreit mit HP bez. defekter Festplatten mit Patientendaten und Garantie ausgetragen (HP wollte die in Übersee beäugeln). Effekt: Garantiereparaturen gibt's nicht, punktausende, wenn eine Disk eingeht, wird sie thermisch verwertet und eine neue gekauft.

Nunja.

Das Problem ist ein rechtliches. Aufgrund der Garantiebedingungen darf man das Produkt nicht zerstören, wenn es bereits defekt ist, wenn man es gegen ein Neues umtauschen möchte.

Dafür gibt es allerdings Abhilfe. Einige wenige Hersteller verlangen einen geringen Obulus dafür, dass die Festplatte im Defektfall beim Kunden verbleiben kann. Man muß halt nur zu den Besten gehen.

Das hat dann zur Folge, dass dann die defekte Festplatte im Eigentum des Eigentümers bleibt, und möglicherweise nicht von fremden Institutionen gekaptert wird. Dann kann man sie dem Degausser, Shredder oder auch dem Hochofen zuführen, und alles ist weg.

Ich mach mir aber eher um die Latenzzeit des kollektiven Gedächtnisses sorgen. Die ist unberechenbahrer als ne HDD

Das war ja eh ..

.. was ich geschrieben hatte:
"Garantiereparaturen gibt's nicht, punktausende, wenn eine Disk eingeht, wird sie thermisch verwertet und eine neue gekauft."
Ob der Preis für die neue ein symbolischer Obulus ist, oder der volle, das bekam ich damals nicht mit - nur den Rechtsstreit über die verlangte Rückgabe bei gleichzeitiger Unmöglichkeit, die Patientendaten noch gesichert von (irgendwie) kaputten Disks zu löschen.
Der hat sich damals (das muss so '99 oder 2k gewesen sein) dann 2 Jahre gezogen, und vielen Anwälten viel Geld gebracht.

Mehrfaches Überrschreiben, Degausser, Shreddern, Raid 5. Das ist nett. Vorher verschlüsseln wär noch gut gewesen. Keine Ahnung, warum die Zuständigen im Unterrichtsministerium so paranoid sind. Aber das physisch zerstörte kompensieren sie dafür mit ihrer großen Klappe.

Defekte Festplatten interessieren nicht. Schöner wär da eher ein ein so ein Ministerialbeamter oder so, der sich wichtig macht. Die Justiz plaudert ja recht gern, sieht man ja immer wieder, wenn Staatsanwälte Akten an Medien zuspielen.

Naja. Einzelne defekte Platten interessieren niemanden. Nachdem die Ministerien sowieso undicht wie ein Schwamm sind, könntens die Platten aber eigentlich auch auf der Straße lagern ...

Im Rechenzentrums-Betrieb ..

.. wirst nicht mit Encryption anfangen. Das ist ein Performance-Killer.
Zumindest wenn der physische Zutritt eh nur befugtem Personal möglich ist.

(Und ich red jetzt nicht von einem 1/4 Rack bei der Interxion, sondern von in-house.)

Dem

stimme ich voll zu.

Ach ja, wie wurden nochmal die Psychotherapie-Abrechnungen entsorgt ... ?

klingt nicht gerade nach iso-zertifizierung ;-).

Kaernten

soll die modernsten Technologien haben, wenns um Datenvernichtung geht.

Eher die Stadt Linz.
Da sind während dem Swap-Prozess gegen die BAWAG alle E-Mails bei einem "Update" unwiderbringlich gelöscht worden...

dunkler Kelleraum in einer Kaserne

StWm: Alle Ordner vor '95 shredderst durch. Das Konfetti kommt in die Müllsäck. Aber immer nur Blatt für Blatt mehr schafft der Krempl nimmer!
Rekr: Blatt für Blatt?!
StWm: Ich habn nit hingmacht. Und wenns zuviel staubt, Schutzmaske. Wünsche viel Vergnügen.
Rekr: Kann man das nicht reparieren?
StWM: Der WiO wollte eine CD durchlassen, da geht nix mehr. So, shreddern.
Rekr: Jawoll, shreddern.

Da würde sich bei mir folgende Frage anschließen: Am 31.12.2010 hatte das Finanzministerium einen Personalstand von 10.876 Personen. Denen wurde im Jahr 2011 7.700 Laptops überlassen. Wie alt waren die Geräte? Wenn die Geräte noch neuwertig waren, wurde das als Sachbezug versteuert?

ein bekannter von mir

der bei der finanz arbeitet hat für das notbook 80 euro zahlen müssen. die anderen 7.669 höchstwahrscheinlich auch. und soweit ich weiss waren die geräte über 3 jahre alt.

Waren die Geräte mehr als 3 Jahre im Betrieb?

Wenn ja, dann sind die Geräte schon durch die AfA abgeschrieben und scheinen in keiner Bilanz mehr auf! Den "Erinnerungsschilling" gibt es ja auch nicht mehr ;-)

Deshalb auch meine Frage Wie alt waren die Laptops? Mir sind die buchhalterischen Konsequenzen schon klar.

Ich kenn so ein überlassenes Gerät

zwar ein IBM/Lenovo, aber locker 4-5 Jahre alt, die neue Besitzerin (Bekannte eines Finanzbeamten, der es ihr geschenkt hat), hat nach zwei Jahren aufgegeben und sich einen neuen zugelegt.

Warum sollen die Laptops als Sachbezug zu versteuern sein?

"Überträgt der Arbeitgeber den PC kostenlos dem Arbeitnehmer ins Privateigentum, dann ist
der Wert des Gerätes (Buchwert) als Sachbezugswert zu versteuern."
Quelle: Lohnsteuerrichtlinien 2002 idF 14.12.2011, Rz 214a

von kostenlos war aber auch nicht die Rede

Da wir zwei relevante Informationen nicht haben - ob die Geräte noch einen Buchwert hatten und ob die Geräte von den Mitarbeitern zu einem Preis erworben wurde, der unter dem Buchwert lag - ist auch eine weitere Diskussion sinnlos. Mein Thread begann auch mit "Da würde sich bei mir die Frage anschließen ...".

Weil in privaten Firmen von der Finanz bzw. Sozialversicherung schon genau geschaut wird ob die Mitarbeiter bei der Weihnachtsfeier nicht zu üppig essen. Wenn das Überlassen von neuwertigen Geräte keinen Sachbezug darstellt, dann könnte man das ja auch in der Privatwirtschaft für die Abgeltung von Überstunden hernehmen. Wenn es alte Geräte sind ist es eh ok.

Mir kommen 7.700 in der Relation zu 10.876 sehr viel vor. Aber es kann sein, dass die Laptops immer alle nach xx Monaten getauscht werden um die Reparaturkosten zu reduzieren. Das Wort "Mtarbeiteraktion" lässt auch offen ob die Notebooks entgeltlich oder unentgeltlich überlassen wurden.

soweit ich gehört habe gibt es in der gesamten finanz KEINE desktop pc's mehr sondern nur mehr ausschließlich notebooks.

Das Wort "Mtarbeiteraktion" lässt auch offen ob die Notebooks entgeltlich oder unentgeltlich überlassen wurden.

Also früher gab es einzelne Mittelgroße Betriebe, die haben sowas auch öfter gemacht. So bin ich in den 90er Jahren zu alten IBM Desktops gekommen - zum Basteln oder Zocken von DOS Spielen waren die ausreichend und schnell genug :-)

Fesplatten enthalten trotz entgegenlautenden Gerüchten nach dem 1-fachen überschreiben keine Daten mehr.
Diese Verschwender!!!

Posting 1 bis 25 von 39
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.