IT-Datenschutz-Experte der Uni Linz bestätigt: BWB hat bei SPAR-Hausdurchsuchung in Kärnten keine Standardsoftware eingesetzt

Salzburg (OTS) - Die am 19. August bei der Hausdurchsuchung in Kärnten eingesetzte Software osTriage ist kein Standard-Tool. Das bestätigt jetzt neben dem gerichtlich beeideten IT-Sachverständigen Christian Kampmüller auch Dr. Stefan Schiffer, Datenschutz-Experte an der Universität Linz. Beide haben sich über den Sachverhalt informiert und beide betonen, dass osTriage keine gängige, unbedenkliche Software ist. osTriage knackt Passwörter, wodurch beträchtliche Schäden eintreten können. SPAR hält ausdrücklich fest, von Anfang an mit der Behörde kooperiert zu haben und alle Unterlagen, die vom Hausdurchsuchungsbefehl umfasst waren, rasch zur Verfügung gestellt zu haben. Diese in Kärnten eingesetzte Software war jedoch nicht durch den Hausdurchsuchungsbefehl gedeckt.

"Die gutachterlich durchgeführte und dokumentiere Beweissicherung zum Einsatz von forensischer Software bei der Hausdurchsuchung am 19.8.2013 bei SPAR belegt zweifelsfrei, dass die eingesetzte Software osTriage so konfiguriert war, dass sie nicht nur die Suche nach Dokumenten ermöglichte, sondern darüber hinaus versuchte, Passwörter zu ermitteln", so Dr. Stefan Schiffer, Gerichtssachverständiger für Informationstechnik und Datenschutz an der Johannes Kepler Universität Linz. In einem Interview mit den Salzburger Nachrichten fordert er von der Republik technische und rechtliche Sicherheit für das Vorgehen bei solchen Untersuchungen.

Experte: Was ist der Zweck von osTriage?

"Es ist zu hinterfragen, zu welchem Zweck Programme wie osTriage eingesetzt wurden. Die Behörde wird dazu bestimmt genau Auskunft geben können, insbesondere dann, wenn sie die Software schon hunderte Male verwendet hat", sind sich die IT-Datenschutz-Experten Christian Kampmüller und Stefan Schiffer einig. "osTriage ist aus technischer Sicht keine Standardsoftware." Bei der ersten Hausdurchsuchung der SPAR-Hauptzentrale im Jänner 2013 hat die BWB in Absprache mit SPAR eine weitverbreitete Forensiksoftware zum bloßen Kopieren von Daten verwendet. Das wirft die zwei Fragen auf: Wieso verwendet die BWB bei SPAR in Kärnten die FBI-Spionagesoftware osTriage? Warum gewährt die BWB betreffend osTriage keine Datentransparenz?

BWB riskiert Schaden und kann kein Ergebnis vorlegen

Über die Presse ließ die Bundeswettbewerbsbehörde (BWB) am vergangenen Freitag SPAR ausrichten, dass die illegale FBI-Spionagesoftware osTriage in Kärnten "nicht funktioniert habe". Direkt nach der Durchsuchung am 19. August 2013 wurde die BWB jedoch in den Medien zitiert, wonach die Mitarbeiter der Behörde "jede Menge Unterlagen" mitgenommen hätten, im Wesentlichen in elektronischer Form. Für SPAR stellt sich nun die Frage: Welche Aussage ist korrekt?

Sollte das Mitnehmen der elektronischen Daten tatsächlich nicht funktioniert haben, warum legt dann die Behörde den von SPAR stets eingeforderten USB-Stick bzw. die angewandten Programmschritte nicht offen? SPAR kommt zum Schluss, dass die BWB einen enormen Schaden ohne echtes Ergebnis riskiert - und das auf Kosten der Steuerzahler. Für SPAR ist dieses Vorgehen extrem bedenklich.

Drexel: "Wir kooperieren selbstverständlich mit der Behörde"

"Wir haben von Anfang an mit der BWB zusammengearbeitet und unsere Daten offengelegt. Nur wehren wir uns gegen das nicht transparente Vorgehen der Behörde", betont SPAR-Vorstandsvorsitzender Dr. Gerhard Drexel. "Es mangelt der Behörde offensichtlich an Verständnis, wie sensibel die IT-Strukturen eines österreichischen Nahversorgers sind. Wir fordern die BWB hiermit zum wiederholten Mal auf, den USB-Stick bzw. die Auflistung aller angewandten Programmschritte offenzulegen. Denn nur dann haben wir die Möglichkeit, gezielte Maßnahmen zur Aufrechterhaltung der IT-Sicherheit durchzuführen."

BWB hat international gültige rechtliche Standards ignoriert

Sowohl auf europäischer als auch auf internationaler Ebene gibt es klar rechtlich geregelte Standards über den Einsatz von Forensiksoftware bei Durchsuchungen. Sogar das FBI in den USA hat sich einer solchen Richtlinie unterworfen. Alle diese Standards haben eins gemeinsam: Transparenz, umfangreiche Informations- und Dokumentationspflichten sowie Schutz der IT-Infrastruktur. Die BWB hat sich demnach über alle gängigen Standards hinweggesetzt.

Siehe zu den internationalen Standards auch:
http://ec.europa.eu/anti_fraud/investigations/forensics/index_en.htm
http://ec.europa.eu/anti_fraud/documents/forensics-leaflet/external_de.pdf
http://www.oas.org/juridico/spanish/cyb_best_pract.pdf

Rückfragen & Kontakt:

Mag. Nicole Berkmann
Leiterin Konzernale PR und Information
SPAR Österreich-Gruppe
Europastraße 3, 5015 Salzburg
Tel. 0662 / 4470 - 22300
www.spar.at/unternehmen
www.spar.at/presse

Dipl.-HTL-Ing. Christian Kampmüller
Kreuzbergpromenade 10
5020 Salzburg
Tel. 0662/641050
Mobiltel. 0676/4828670

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | NEF0008