Das steht im Untersuchungsbericht zum Datenskandal der Zürcher Justiz

Publiziert

DatenskandalUntersuchungsbericht kritisiert Sicherheitsleck bei Zürcher Justiz

Auf 39 Seiten veröffentlichte die Justizdirektion heute den Bericht von IT-Expertinnen und -Experten zum Datenleck zwischen 2006 und 2012. Das sind die wichtigsten Erkenntnisse.

von
Daniel Krähenbühl
1 / 4
Justizdirektorin Jacqueline Fehr stellte den Bericht am Dienstag vor den Medien vor. 

Justizdirektorin Jacqueline Fehr stellte den Bericht am Dienstag vor den Medien vor. 

20min/Ela Celik
Die Juristin Maria Winkler sprach über die Administrativuntersuchung. 

Die Juristin Maria Winkler sprach über die Administrativuntersuchung. 

20 Minuten/Ela Celik
Urs Kaderli, Leiter von Digital Solutions, informierte über technische Vorgehensweisen. 

Urs Kaderli, Leiter von Digital Solutions, informierte über technische Vorgehensweisen. 

20 Minuten/Ela Celik

Darum gehts

  • Ende 2020 wurde in der Zürcher Justizdirektion (JI) ein Datenleck festgestellt. 

  • Durch das Datenleck waren sensible Dokumente von entsorgten Festplatten und Computern in falsche Hände geraten. 

  • Ein Untersuchungsbericht, der von der JI Ende 2020 in Auftrag gegeben wurde, wurde am Dienstag publiziert. 

  • Im Bericht wird bemängelt, dass die JI nicht alle notwendigen Massnahmen getroffen hat, um so ein Leck zu verhindern.

Verschiedene Medienberichte zum Zürcher Datenskandal haben dazu geführt, dass die Justizdirektion am Dienstag den Schlussbericht der Ende 2020 erteilten Administrativuntersuchung publik machte. 20 Minuten fasst die wichtigsten Erkenntnisse zusammen.

Keine Vertragsabschlüsse

Die Untersuchung kam zum Schluss, dass die Firma des Bruders von Roland Gisler (58), Besitzer der Milieu-Bar Neugasshof, zwischen den Jahren 2000 und 2014 immer wieder als externer Dienstleister beauftragt wurde, Geräte und Computer auszutauschen und zu entsorgen. Kleinere Aufträge wurden ohne Vertragsabschluss direkt von der Verwaltungssekretärin telefonisch erteilt.

Ob eine Personensicherheitsüberprüfung stattgefunden hat, lasse sich heute aufgrund widersprechender Aussagen nicht mehr abschliessend beurteilen. Trotzdem habe der Bruder von Gisler demnach für den Zugang zu den Räumlichkeiten der JI einen Besucher-Badge erhalten. Zugang zum Rechenzentrum hatte er eigentlich nicht, von JI-Mitarbeitenden wurde er aber nur teilweise begleitet.

Fehlende Sicherheitsüberprüfungen

Bemängelt wurde im Bericht vor allem, dass Sicherheitsüberprüfungen nicht in der gesamten Direktion einheitlich und systematisch umgesetzt wurden und keine direktionsweiten Vorschriften dazu bestanden. Zwar seien neue Mitarbeitende überprüft worden, ob auch externe Dienstleister eine Sicherheitsüberprüfung über sich ergehen lassen mussten, sei allerdings nicht einheitlich geregelt worden.

Kritisiert wurde auch, dass Verträge mit externen Dienstleistern ungenügende Datenschutzbestimmungen enthielten und dass – Stand 2021 – das Informatiksicherheitskonzept von 2014 und Zugriffskonzepte aus dem Jahr 2016 nicht mehr überarbeitet und angepasst wurden.

Ungenügende Massnahmen

Die IT-Expertin schliesst den Bericht mit der Feststellung, dass bei der Beauftragung des Bruders von Roland Gisler und der Kontrolle seiner Person und seiner Dienstleistungen «nicht die Massnahmen getroffen wurden, die hinsichtlich der Sensibilität der Daten, die sich auf den Datenträgern befanden, angemessen gewesen wären». Dies lasse den Schluss zu, dass im fraglichen Zeitraum entsprechende Vorgaben und Kontrollen fehlten oder zumindest unvollständig waren. Ab 2016 seien allerdings zahlreiche Vorgaben erarbeitet worden, mit dem der Schutz von Informationen innerhalb der JI verbessert wurde.

Im Bericht wird schliesslich auf die laufende Strafuntersuchung durch die Staatsanwaltschaft verwiesen, in dessen Zusammenhang allenfalls noch weitere Informationen zu den Vorkommnissen festgestellt werden können. 

Strafuntersuchung läuft

Im Zusammenhang mit dem Datensicherheitsvorfall bei der Direktion der Justiz und des Innern führt die Zürcher Staatsanwaltschaft bereits seit November 2020 ein Strafverfahren. Inwiefern vertrauliche Daten durch unsachgemässe Handhabung seitens der Informatikabteilung der Justizdirektion beziehungsweise von ihr beauftragte Personen in Umlauf geraten sind, ist Gegenstand der laufenden Untersuchungen.

Wie es in einer Mitteilung der Staatsanwaltschaft vom Dienstag heisst, haben neue Abklärungen die Staatsanwaltschaft zudem veranlasst, den Teilaspekt der Datenentsorgung, die 2019 in der IT-Abteilung der JI stattfand, einer vertieften strafrechtlichen Prüfung zu unterziehen. 

Keine News mehr verpassen

Mit dem täglichen Update bleibst du über deine Lieblingsthemen informiert und verpasst keine News über das aktuelle Weltgeschehen mehr.
Erhalte das Wichtigste kurz und knapp täglich direkt in dein Postfach.

Deine Meinung

18 Kommentare