Panne bei LU-Alert: Digitalisierungsministerin gibt Entwarnung

Erst vor gut einem Monat, am 17. Oktober, stellte Innenminister Léon Gloden (CSV) das Warn- und Informationssystem LU-Alert vor. Dieses sendet nicht nur Behörden-Warnungen per geolokalisierter SMS auf Mobiltelefone, sondern ist auch als App und Internetseite verfügbar. Auf ebendieser Internetseite kam es am 22. Oktober zu einem Problem. Zunächst war von einem Datenleck bei dem auf der Seite verfügbaren Kontaktformular die Rede.

Der Abgeordnete Meris Sehovic (Déi Gréng) wandte sich daraufhin mit einer parlamentarischen Frage an den Innenminister. „Nach den uns zur Kenntnis gebrachten Informationen soll es über das Kontaktformular der Website zu einem Datenleck gekommen sein“, beschreibt Sehovic das zwischenzeitliche Problem. Bei der Antwortenvorschau hätten Nutzer die Antworten und Daten anderer Nutzer sehen können. „Auch wenn es scheint, dass die Sicherheitslücke bereits geschlossen wurde, wirft dieser Vorfall Fragen zur Sicherheit der persönlichen Daten der Bürgerinnen und Bürger auf, die ich dem Herrn Minister stellen möchte“, fährt er fort.

Meris Sehovic’ Fragen an den Innenminister

1. Kann der Herr Minister bestätigen, dass es ein Datenleck auf der LU-Alert-Website gibt? Wenn ja, wann und wie haben die Dienststellen des Herrn Ministers die Sicherheitslücke auf der Website entdeckt?

2. Kann der Herr Minister abschätzen, wie viele Personen von dem Datenleck betroffen sind?

3. Welche Maßnahmen wurden ergriffen, um diese Sicherheitslücke zu beheben?

4. Wurden die von diesem Datenleck betroffenen Personen darüber informiert, und wenn ja, wann und wie fand diese Informationskampagne statt? Falls nein, wird der Herr Minister die betroffenen Personen informieren?

Antwort durch Digitalisierungsministerin

Am Montag antwortete statt Innenminister Gloden Digitalisierungsministerin Stéphanie Obertin (DP). Sie bestätigte, dass es am 22. Oktober zu einem „Problem von geringem Ausmaß“ gekommen sei. Die Teams des Zentrums für Informationstechnologien des Staates (CTIE) seien um 11.25 Uhr über das Problem bei den deutsch- und englischsprachigen Feedback-Formularen in Kenntnis gesetzt worden und hätten dieses um 12.54 Uhr behoben.

„In diesem Fall handelte es sich um ein Problem im Zusammenhang mit dem Caching und nicht um ein Datenbankleck“, erklärt die Ministerin in ihrer Antwort. „Die Konfiguration des Caching-Tools, das eingesetzt wird, um eine hohe Verfügbarkeit der Website zu gewährleisten, wurde für die betroffenen Formulare angepasst.“ Caching, abgeleitet vom englischen Wort „cache“ für (Zwischen-)Lager, bezeichnet im IT-Bereich das Speichern von Daten, damit diese künftig schneller abgerufen werden können.

Seit der Online-Veröffentlichung, so Ministerin Obertin weiter, hätten bis zur Behebung des Problems 16 Personen möglicherweise den Inhalt des Formulars der vorherigen Person einsehen können. Gemäß den Bestimmungen der allgemeinen Datenschutzverordnung habe es sich in diesem Fall nicht als notwendig erwiesen, die betroffenen Personen zu informieren: „Die anhand objektiver Kriterien durchgeführte Analyse des Vorfalls ergab nämlich, dass die Verletzung der Vertraulichkeit personenbezogener Daten kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich brachte.“

Dies begründet die Ministerin in ihrer Antwort insbesondere mit dem kurzen Zeitraum der Verletzung, dem nicht sensiblen Charakter sowie geringen Umfang der offengelegten Daten und der geringen Anzahl betroffener Personen.