Nach Datenleck-Skandal

Update: KPMG-Bericht offenbart Datenschutz-Probleme der Zürcher Justizdirektion

Uhr
von René Jaun und Joël Orizet und tme, msc

Nach der Datenleck-Affäre in der Zürcher Justizdirektion soll eine Untersuchung von KPMG zeigen, wo die kantonale Verwaltung in puncto Datenschutz steht. Das Ergebnis: Bis heute pflegt die Justizdirektion einen problematischen Umgang mit heiklen Daten.

(Source: vectorjuice / Freepik)
(Source: vectorjuice / Freepik)

Update vom 01.02.2024: Ende 2022 kam der Fall ans Licht: Sensible Daten der Zürcher Strafverfolgungsbehörden, die längst hätten gelöscht werden sollen, waren im Drogen- und Rotlichtmilieu gelandet. Der Kantonsrat beschloss daraufhin, eine parlamentarische Untersuchungskommission (PUK) einzusetzen. Zusätzlich gab Regierungsrätin und Justizdirektorin Jacqueline Fehr (SP) interne und externe Untersuchungen in Auftrag. Zu diesen externen Untersuchungen liegt nun ein erster Bericht vor, verfasst von KPMG. 

Wie die "NZZ" berichtet, stellten die Wirtschaftsprüfer fest, dass der Umgang des Kantons Zürich und der Justizdirektion mit heiklen Daten bis heute problematisch ist. Der KPMG-Bericht listet demnach folgende Schwachstellen auf: 

  • Es gibt keinen expliziten, generell gültigen Löschprozess. Das heisst, alte Daten würden nicht systematisch gelöscht. Und auch neuere Daten würden nach Ablauf der Aufbewahrungsfrist nicht regelmässig vernichtet. 
  • Das Departement hinkt in der Digitalisierung hinterher. In zentralen Bereichen wie der Strafverfolgung und dem Justizvollzug würden Dossiers nach wie vor analog geführt. Zudem bestünden immer wieder Unstimmigkeiten zwischen den Papierakten und den Daten im System. 
  • Es gibt keine einheitliche Datenschutz-Policy für die gesamte Justizdirektion. Zudem fehlt ein direktionsweites Risikomanagement für Datenschutz und Informationssicherheit. Und nicht in allen Bereichen sei das Bewusstsein für Datenschutzfragen gleich hoch. 
  • Es gibt keine Vorschriften für den Umgang mit Verletzungen der Datensicherheit und auch keinen Notfallplan für Datenpannen.
  • Ämter und Fachstellen haben oftmals keine Übersicht über die Zugriffsberechtigungen - sie wissen also nicht, wer auf heikle Daten zugreifen kann. 
  • Es gibt keine regelmässigen Schulungen zu Datenschutz und Informationssicherheit.

Die Justizdirektion habe in den vergangenen Monaten allerdings durchaus Schwachstellen erkannt, Sicherheitsvorkehrungen erhöht, Prozesse angepasst und Verantwortliche bestimmt. "Wir fanden nicht nur eine konstruktive Fehlerkultur vor, sondern auch eine sehr hohe Motivation, Lücken rasch zu schliessen", zitiert die "NZZ" aus dem KPMG-Bericht. 

Originalmeldung vom 05.12.2022: 

Sensible Daten der Zürcher Justizbehörden landen im Drogenmilieu

In der Justizbehörde des Kantons Zürich ist es zu einem gigantischen Datenleck gekommen. Wie der "Blick" berichtet, landeten hochsensible Daten im Zürcher Drogenmilieu. Der Datenschatz beinhaltete demnach etwa Verzeichnisse mit Handynummern von Kantonspolizisten, Privatadressen von Mitarbeitenden, Gebäudepläne, aber auch Protokolle von Einvernahmen oder psychiatrische Gutachten von Angeklagten.

Gespeichert waren diese Daten teils unverschlüsselt auf Festplatten ausgemusterter PCs. Der Kanton Zürich teilt mit, man vermute, dass die Computerhardware der Justizdirektion "durch einen ehemaligen Dienstleister nicht wie vereinbart vernichtet und die darauf gespeicherten Daten nicht gelöscht wurden. Es ist denkbar, dass auch sensitive Daten betroffen sind."

Wie der Blick unter Berufung auf die Einvernahme der Zürcher Staatsanwaltschaft weiter berichtet, übergab die Zürcher Behörde ihre alten Computer an den Bruder eines "Milieu-Beizers". Er habe die Geräte "nach Löschung der sich darauf befindenden Daten weiterverkaufen dürfen". Allerdings soll es weder einen schriftlichen Arbeitsvertrag gegeben haben, noch habe er je schriftlich die Löschung der Daten bestätigen müssen. Ein Teil der Datenträger landete schliesslich beim Milieu-Beizer selbst. Diesem wird unter anderem vorgeworfen, versucht zu haben, die Zürcher Behörden mit den Daten zu erpressen.

Datenleck seit 2 Jahren bekannt

In ihrer Mitteilung bestätigt die Zürcher Direktion für Justiz und das Innern (JI) den Vorfall. Demnach haben sich die fraglichen Vorgänge in den Jahren 2006 bis 2012 abgespielt. Weitere Fragen seien Gegenstand einer laufenden Strafuntersuchung. Der Blick hingegen schreibt, die geleakten Files datieren von den Jahren 2001 bis 2012.

Im Jahr 2013 habe man die Prozesse neu aufgesetzt, teilt die Behörde weiter mit. Die Entsorgung von Computerhardware laufe seither nach professionellen und zertifizierten Prozessen ab. Seither sei ein Datenverlust dieser Art in der Direktion JI ausgeschlossen.

Vom Datenabfluss weiss die Direktion JI bereits seit November 2020, wie sie weiter schreibt. Die Behörde informierte daraufhin unter anderem die Geschäftsprüfungskommission des Zürcher Kantonsrats. Man habe die Information zur Kenntnis genommen, sagt deren Präsident Beat Habegger (FDP). Aktiv wurde das Gremium nicht. "Uns wurde glaubhaft dargelegt, dass die notwendigen Massnahmen eingeleitet werden, um solche Vorfälle in Zukunft zu verhindern", zitiert "SRF" Habegger dazu.

Inzwischen haben mehrere Politiker mit einer parlamentarischen Anfrage dafür gesorgt, dass der Fall an die Öffentlichkeit kommt, darunter Strafverteidiger Valentin Landmann (SVP). Man werde nochmals über den Vorfall beraten und prüfen, ob die GPK von der zuständigen Justizdirektion weitere Informationen einfordern will, sagt Habegger.

Zu einem Datenabfluss könnte es auch beim Hostingprovider Infopro gekommen sein. Nach einem Cyberangriff sagte das Unternehmen zunächst, es seien keine Daten abgegriffen worden. Doch inzwischen hat die Firma andere Erkenntnisse gewonnen, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_276680