EU-Parlament informiert Personal über Datenleck
Im EU-Parlament hat es Anfang des Jahres ein Datenleck in der Personalverwaltungssoftware People gegeben. Nun hat das Parlament Mitarbeiterinnen und Mitarbeitern per E-Mail mitgeteilt, welche Dokumente bei dem Vorfall in fremde Hände gelangt sein könnten.
Betroffen sind unter anderem Personalausweise, Reisepässe, Strafregisterauszüge sowie Dokumente über Ausbildung und Berufserfahrung, militärische Verpflichtungen und Verträge. Ein Teil der betroffenen Daten sei aber veraltet.
Wie die Pressestelle des Parlaments gegenüber Posteo bestätigte, wurden am 22. Mai alle aktuellen und früheren Nutzerinnen und Nutzer der People-Anwendung per E-Mail darüber aufgeklärt, welche Dokumente betroffen sind. Der Schritt sei auf Empfehlung des Europäischen Datenschutzbeauftragten (EDSB) erfolgt; man stehe in ständigem Kontakt.
Wie viele Personen von dem Problem betroffen sind, ist bislang unklar. Spiegel Online schrieb am Freitag, dass die Informationen von Tausenden Personen entwendet worden sein könnten, weil alle Mitarbeiterinnen und Mitarbeiter der EU-Abgeordneten sowie Bewerber die Software nutzen.
Die People-Anwendung sei in Reaktion deaktiviert worden, heißt es aus dem Parlament. Cybersicherheitsexperten des Parlaments und die luxemburgische Polizei würden eine gründliche Analyse durchführen. Mitarbeiter wurden dazu aufgefordert, ihre Passwörter zu ändern und Vorsicht walten zu lassen bei Mitteilungen, die sie erhalten. Sie sollen außerdem Familienangehörige und enge Freunde über den Vorfall informieren, damit diese nicht Opfer von Täuschungs- und Betrugsversuchen werden.
Vorfall fand vor Monaten statt
Das Datenleck war Anfang Mai bekannt geworden: Der zuständige Generaldirektor des EU-Parlaments, Kristian Knudsen hatte Betroffene am 6. Mai erstmals per E-Mail informiert und erklärt, dass IT-Spezialisten am 25. April eine Verletzung des Datenschutzes bestätigt hätten. Der Vorfall selbst soll sich bereits Anfang 2024 zugetragen haben.
Weiter hieß es in der internen E-Mail, dass die Verletzung “Ihre persönlichen Daten einem unbefugten Zugriff durch externe Parteien ausgesetzt haben könnte”. Um welche Informationen es sich handelte, war damals noch unklar.
Der Europäische Datenschutzbeauftragte wurde laut Knudsen am 26. April über die Sicherheitsverletzung informiert, ebenso wie die zuständige luxemburgische Datenschutzbehörde. Beide untersuchen den Fall noch.
Informationslücken
Weiter unklar bleibt, was genau vorgefallen ist. Ein Parlamentssprecher bestätigte aber, dass parlamentseigene IT-Experten und die luxemburgische Polizei Analysen durchführen, “um alle Umstände der Sicherheitsverletzung zu klären”. In einer früheren Stellungnahme sprach die Pressestelle gegenüber Euractiv von einem “Einbruch”.
Spiegel Online berichtete mit Verweis auf Informationen aus Sicherheitskreisen von Kanälen bei Telegram, auf denen einzelne Datensätze aus dem Parlament veröffentlicht worden sein sollen. Zudem werde ein gezielter russischer IT-Angriff nicht ausgeschlossen.
Einige Betroffene machen sich indes Sorgen, dass ihre Daten missbraucht werden könnten – beispielsweise für Identitätsdiebstahl. Der Ausschuss akkreditierter parlamentarischer Assistenten (APA) kritisierte laut Euractiv den Mangel an Informationen zu der Datenschutzverletzung und der angeschlossenen Untersuchung. Die Beschäftigten hätten nicht ausreichend Ratschläge erhalten, wie sie ihre Daten schützen können oder wie sie mit unveränderlichen Daten umgehen sollen. Auch sei unklar, ob sie ihre Ausweisdokumente erneuern müssen.
Der parlamentarische Assistent Dávid Kardos kritisierte Euractiv zufolge in einer E-Mail an den APA-Ausschuss, dass zu spät über das Datenleck informiert worden sei. “Ich frage mich, warum sie das erst jetzt bekannt geben, wo die Legislaturperiode schon vorbei ist”, sagte er gegenüber Euractiv. Auch fragte er in seiner E-Mail nach den laufenden Ermittlungen, möglichen Verdächtigen und eventuell beteiligten Drittländern.
“Das Ausmaß dieser Sicherheitslücke, die eine der größten demokratischen Institutionen Europas und ihre Mitarbeiter betrifft, sollte uns darauf aufmerksam machen, wie dringend wir unsere Demokratie und unsere Privatsphäre schützen müssen”, teilte die im EU-Parlament vertretene Piratenpartei am Freitag mit. Sie befürchtet die “Offenlegung der persönlichen Informationen tausender politischer Mitarbeiter”. Der EU-Abgeordnete Patrick Breyer (Piratenpartei) warnte vor Identitätsdiebstahl mithilfe der persönlichen Daten. “Kriminelle [können] sich als Parlamentsmitarbeiter ausgeben, möglicherweise ihre Accounts übernehmen oder kündigen, insgesamt mit politischer Zielsetzung die Parlamentsarbeit maßgeblich [zu] stören.”
Auf dem Kurznachrichtedienst X schrieb die EU-Abgeordnete Svenja Hahn (FPD) mit Bezug auf das Datenleck: “Autokratien setzen gezielt auf Cyberangriffe, um Demokratien zu destabilisieren. Cybersicherheit der EU-Institutionen muss höchste Priorität haben.” Gegenüber Spiegel Online forderte sie zudem: “Dieser Skandal muss umgehend aufgeklärt und Sicherheitslücken geschlossen werden.” (hcz)