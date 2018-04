Keine Schranken bei Registrierung, teils interne Kommunikation abrufbar – Problem mittlerweile behoben

Mobil mit Arbeitskollegen in Kontakt zu bleiben kann per E-Mail einigermaßen mühsam sein. Daher hat in der österreichischen Verwaltung in den vergangenen Jahren Whatsapp Einzug gehalten – inoffiziell freilich. Seit geraumer Zeit wird allerdings an einer Ablöse gearbeitet. Eine Chat-App namens "Ucom" soll Mitarbeiter des Bundeskanzleramts und der Verwaltung miteinander vernetzen und besseren Datenschutz gewährleisten.

Open-Source-Lösung statt Whatsapp

Die Einführung wurde noch unter der rot-schwarzen Koalition beschlossen, im Juni 2016 ging das System erstmals in Betrieb. Nun ist allerdings eine Panne passiert, die es jedem Besucher der Ucom-Seite ermöglichte, in den Behördenchat einzusteigen.

Ucom basiert auf dem Fairchat des Vorarlberger Unternehmens Fairkom. Dieser wiederum setzt auf dem Open-Source-Chatserver Rocketchat auf. Betreut wird die Implementation für die Verwaltung von der Fairkom als auch von Mitarbeitern des Bundesministeriums für Digitalisierung und Wirtschaftsstandort (BMDW).

screenshot: ucom

Einstieg mit (fast) jeder E-Mail-Adresse

Eigentlich, so erklärte man bei der Fairkom gegenüber dem STANDARD, sei die Plattform so konfiguriert, dass man sich nur mit einer dem Bund zuordenbaren E-Mail-Adresse (Domain endend auf "gv.at") registrieren und auch erst nach manueller Freischaltung einloggen könne. Die erste Schranke wurde jedoch aufgehoben, um auch externen Kontakten Zugang ermöglichen zu können, war aus dem BMDW zu erfahren. Dass aber auch eine Freischaltung nicht mehr erforderlich ist, war nicht vorgesehen, heißt es weiter.

Es war möglich, sich mit praktisch jeder beliebigen E-Mail-Adresse auf dem Portal zu registrieren und einzuloggen, ohne auch nur den anschließend verschickten Bestätigungslink für die Verifizierung der E-Mail-Adresse anklicken zu müssen. Nach dem Einstieg hatte man Zugriff auf rund 20 verschiedene öffentliche Kanäle, die von allen eingeloggten Nutzern eingesehen und genutzt werden können. Diese dienten zum Teil dem Sammeln von Problemen und Anregungen zur Chatplattform selber. In manchen war allerdings auch interne Kommunikation deponiert.

screenshot: ucom

Interne Kommunikation zu "nervöser" Ministerin

In einem Kanal wurde etwa ein Interview mit Wirtschaftsministerin Margarete Schramböck in der "ZiB 2" vom Jänner diskutiert. Daraus ist zu entnehmen, dass sich Schramböck offenbar nicht an die Empfehlungen eines Briefings gehalten habe. Die Mitarbeiter des Ministeriums beurteilen ihren Auftritt als "nervös".

In einem anderen Kanal finden sich angehängte Dateien, die wahrscheinlich zu Testzwecken hochgeladen wurden, darunter Bundesgesetzblätter, eine Videoaufnahme einer Berglandschaft und eine Audioaufzeichnung der Einleitung eines Ö1-"Morgenjournal"-Beitrags über ein Messerattentat in Frankreich. Inhalte von hoher Brisanz waren in den einsehbaren Chats allerdings nicht zu finden.

Auch private Gruppen möglich

Die Plattform unterstützt auch die Einrichtung privater Gruppen, die nicht für jeden sichtbar sind und erst auf Einladung durch den jeweiligen Gründer betreten werden können. Da Ucom laut Fairkom bereits intensiv genutzt wird, die öffentlichen Gruppen abseits technischen Feedbacks aber relativ leer sind, ist davon auszugehen, dass die Ressorts darüber ihren internen Austausch abwickeln.

Sich Zugang zu diesen zu verschaffen hätte Kenntnis über die Organisationsstruktur vorausgesetzt. Denkbar wäre etwa gewesen, sich als ein Mitarbeiter des Bundes auszugeben und dessen E-Mail-Adresse anzugeben – faktisch also Identitätsklau. Das hätte allerdings nur funktioniert, wenn diese Adresse nicht bereits bei Ucom registriert gewesen wäre.

foto: derstandard.at/pichler

Ursache für Panne unklar

Das Problem wurde mittlerweile behoben, der Zugang zu Ucom ist nun erst wieder nach Bestätigung der E-Mail-Adresse und manueller Freischaltung möglich, die zur Recherche angelegten Testaccounts wurden deaktiviert. Unklar ist, wie es zu der Konfigurationspanne gekommen ist und seit wann diese bestanden hat.

Eine entsprechende Anfrage wurde vom STANDARD an das Ministerium übermittelt, blieb aber aus Termingründen kurzfristig unbeantwortet. Eine Stellungnahme wurde jedoch zugesagt, diese wird bei Einlangen ergänzt. Das Ministerium und Fairkom wurden auch um Auskunft darüber gebeten, ob Ucom auch auf Stellen außerhalb der Verwaltung (etwa die Exekutive) ausgeweitet werden soll, von wie vielen Mitarbeitern es verwendet wird und wie hoch die Kosten für Betrieb und Betreuung sind. (Georg Pichler, 27.4.2018)