Ein Audit des Europäischen Datenschutzbeauftragten (EDPS) im letzten Jahr deckte Tausende von schwerwiegenden Cyber-Sicherheitslücken im System auf, das zur Datenübermittlung zwischen Grenzkontrollbehörden genutzt wird. Besonders bedenklich sind diese Schwachstellen, da das Schengen-Informationssystem der zweiten Generation (SIS II) eine zentrale Rolle im biometrischen Ein-/Ausreisesystem (EES) der EU spielt, das im Oktober starten soll[1]Sopra Steria under fire for EU border biometric system vulnerabilities.
Das SIS II ermöglicht den Datenaustausch über illegale Einwanderer und verdächtige Kriminelle zwischen europäischen Grenzbehörden. Der Entwickler des Systems, Sopra Steria, ist auch für dessen Wartung zuständig. Der Audit-Bericht ergab, dass Sopra Steria bis zu fünfeinhalb Jahre benötigte, um gemeldete Probleme zu beheben. Trotz einer monatlichen Wartungsgebühr von 519.000 bis 619.000 Euro forderte das Unternehmen zusätzliche 19.000 Euro für die Behebung bestimmter Schwachstellen.
Weitere Probleme zeigten, dass eine „übermäßige Anzahl“ von Konten Administratorzugriff auf die Datenbank hatte, darunter 69 Personen ohne EU-Anstellung oder Sicherheitsfreigabe. Obwohl keine Hinweise auf Datenverluste vorliegen, birgt dies ein hohes Risiko für Insiderangriffe. Das SIS II speichert 93 Millionen Datensätze, darunter 1,7 Millionen personenbezogene Informationen, Fotos und biometrische Daten von Verdächtigen. Rund 200.000 Personen im System werden als potenzielle Sicherheitsbedrohungen eingestuft.
Das Audit kritisierte auch die EU-Agentur eu-LISA, die Sicherheitslücken nicht an ihr Management weiterleitete. Die Abhängigkeit von Beratungsfirmen wurde als ein Hauptgrund für die Probleme identifiziert. Experten wie Leonardo Quattrucci fordern, dass die EU Beschaffung strategisch und nicht nur als Compliance-Prozess betrachtet.
Zusätzlich wurde Sopra Steria in Zusammenarbeit mit Idemia 2020 mit der Entwicklung des biometrischen Abgleichsystems (sBMS) beauftragt, das das EES unterstützt. Jedoch leidet das Projekt unter zahlreichen Verzögerungen, die oft auf Atos und seine Partner IBM und Leonardo zurückgeführt werden, die für den EES-Kern verantwortlich sind.
References