Das Informationssystem für Beamte an EU-Grenzen, Schengen-Informations-System 2 (SIS II), soll „illegale Immigranten“ und verdächtige Kriminelle in Echtzeit melden. Vertrauliche E-Mails und Prüfberichte attestieren der Software jedoch zahlreiche Sicherheitslücken und Schwachstellen.

Bloomberg hat diese Berichte und E-Mails zusammen mit Lighthouse Reports erlangt und ausgewertet. Der europäische Datenschutzbeauftragte (EDSB) hatte demnach tausende Sicherheitslücken in einem Bericht aus dem Jahr 2024 mit der Risikoeinstufung „hoch“ eingeordnet. Außerdem habe eine exzessive Anzahl von Zugängen Admin-Rechte beim Datenbankzugriff, eine „vermeidbare Schwachstelle, die interne Angreifer missbrauchen konnten“. Es gebe keine Hinweise, dass auf Daten aus SIS II unbefugt zugegriffen wurde oder sie entwendet wurden.

SIS II: Besserer Grenzschutz

Ziel des im Jahr 2013 nach Verzögerungen in der Entwicklung eingeführten Schengen-Informations-System 2 ist, die Außengrenzen mit digitalen und biometrischen Mitteln zu stärken. Es ermöglicht Mitgliedsstaaten, Echtzeit-Alarme einzusehen und auszugeben, wenn markierte Individuen, Gruppen mit Terrorverdächtigen oder Menschen mit ausstehenden Haftbefehlen versuchen, die EU-Grenzen zu übertreten.SIS II laufe derzeit in einem isolierten Netzwerk, soll jedoch in absehbarer Zeit mit einem „EU Entry/Exit System“ (EES) verbunden werden, das die Registrierung der hunderte Millionen jährlichen Besucher automatisieren soll. EES ist mit dem Internet verbunden, wodurch bösartige Akteure es leichter haben, die höchst sensiblen Informationen in der SIS-II-Datenbank abzugreifen, warnt der Bericht laut Bloomberg.

Alarme in SIS II können Fotos von Verdächtigen und biometrischen Daten wie Fingerabdrücke an Tatorten umfassen. Seit März 2023 umfassen die Informationen auch „Rückkehr-Entscheidungen“, also rechtliche Entscheidungen, die Menschen zur Deportation aus dem EU-Bereich markieren. Der Datenbestand wird auf 93 Millionen Einträge geschätzt, von denen der Großteil gestohlene Objekte wie Fahrzeuge und Ausweisdokumente betreffe, jedoch sollen rund 1,7 Millionen Einträge mit Menschen verknüpft sein. Davon wiederum seien 195.000 als mögliche Bedrohung der nationalen Sicherheit eingestuft. Bloomberg erörtert, dass Einzelpersonen allgemein nicht wissen, welche Informationen über sie in SIS II lagern, bis Strafverfolger darauf reagieren. Ein Datenleck könne es gesuchten Personen leichter machen, der Entdeckung zu entgehen.

Langsames Schließen von Sicherheitslücken

Der Prüfbericht attestiert SIS II, anfällig für Cybereinbrüche zu sein, die bösartigen Akteuren unbefugt weitreichenden Zugriff ermöglichen. Zuständig für die Verwaltung von IT-Großprojekten wie SIS II ist die Agentur EU-Lisa. Diese hat die Schwachstellen an das in Paris ansässige Vertragsunternehmen für die Entwicklung und den Betrieb von SIS II, Sopria Steria übermittelt. Die Entwickler haben zwischen acht Monaten und fünfeinhalb Jahren gebraucht, die Probleme zu beseitigen.

Dem Bericht zufolge sieht der Vertrag jedoch vor, dass Sicherheitslücken mit der Risikoeinstufung „kritisch“ und „hoch“ innerhalb von zwei Monaten, nachdem ein Patch zum Schließen der Lücke veröffentlicht wurde, gestopft werden. Dies betrifft offenbar insbesondere in SIS II verwendete Drittherstellerkomponenten, etwa aus Open-Source-Projekten. Gegenüber Bloomberg sagte ein Unternehmenssprecher, dass SIS II als Schlüsselkomponente der EU-Sicherheitsinfrastruktur strengen rechtlichen, regulatorischen und vertraglichen Rahmenbedingungen unterliege und Sopria Sterias Rolle im Einklang mit den vorgegebenen Rahmen stehe.

Streit gab es offenbar auch um zu zahlende Gebühren für das Ausbessern von Sicherheitslücken. Aus den E-Mails gehe hervor, dass EU-Lisa 2022 einige Sicherheitslücken an Sopria Steria übermittelt habe, worauf das Unternehmen Extrakosten in Höhe von 19.000 Euro geltend machen wollte. EU-Lisa sieht die Kosten jedoch von den monatlichen Gebühren zwischen 519.000 und 619.000 Euro im Monat für „korrektive Wartung“ abgedeckt.

Probleme bei Agentur EU-Lisa

Der Bericht des Europäischen Datenschutzbeauftragten (EDSB) verzeichnet außerdem, dass 69 Teammitglieder, die nicht direkt bei der EU angestellt sind, Zugriff auf SIS II hatten, ohne jedoch die nötige Sicherheitsfreigabe zu besitzen. Einige Fehler ordnet der EDSB-Report auch EU-Lisa zu. Diese kämpfe mit organisatorischen und technischen Sicherheitslücken und solle einen Aktionsplan mit einer klaren Strategie zum Umgang mit Schwachstellen erstellen. Bloomberg merkt an, dass einige Probleme von SIS II daher stammen, dass EU-Lisa sich stark auf Consulting-Firmen verlasse, anstatt technische Fähigkeiten in der Agentur aufzubauen. Das liege aber zum Teil daran, dass die Agentur unter Druck stehe, Projekte abzuliefern, für die sie nicht genügend Mitarbeiter hat, um sie zu bewältigen, haben mit der Sache vertraute Personen Bloomberg berichtet.

Beim EU Entry/Exit System läuft es offenbar auch nicht rund. Es sollte 2022 beginnen und wurde bereits mehrere Male aufgrund technischer Schwierigkeiten verzögert. Diese werden der französischen IT-Firma Atos zugeordnet. Es soll von den EU-Mitgliedsstaaten nun im Oktober in Betrieb genommen werden.

(dmk)