Zugriff auf heikle Daten bei AHV-Zahlstelle

Der Ex-IT-Chef der krisengeschüttelten Zentralen Ausgleichsstelle in Genf leitete nach seinem Abgang geschäftliche E-Mails auf einen Privataccount um und hortete Dokumente.

Die Serie von Verfehlungen rund um die elektronische Datenverarbeitung in der Genfer AHV-Zahlstelle reisst nicht ab. Foto: Reuters

Die Serie von Verfehlungen rund um die elektronische Datenverarbeitung in der Genfer AHV-Zahlstelle reisst nicht ab. Foto: Reuters

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

«Stürmische Zeiten» habe die Zentrale Ausgleichsstelle (ZAS) in Genf, die wichtigste Zahlstelle von AHV-Renten, hinter sich. Das stellt die Eidgenössische Finanzkontrolle (EFK) in ihrem am letzten Montag publizierten Jahresbericht fest und ruft in Erinnerung, welche «grundsätzlichen Mängel» und «besonderen Vorkommnisse» sie nach Eingang «mehrerer Meldungen von Whistleblowern und der Übermittlung eines internen Prüfberichts» im Frühling 2014 vorfand und dem Bundesrat rapportierte. Bei der zu 90 Prozent aus AHV-Geldern finanzierten ZAS mit einem Jahresbudget von über 140 Millionen Franken wurden jahrelang Informatikaufträge unter der Hand vergeben. Sogar externe Mitarbeiter konnten Geschäfte abschliessen, wobei millionenteure Projekte ergebnislos abgebrochen wurden.

Obwohl heute zumindest die gröbsten Verfehlungen aufgearbeitet zu sein scheinen, sind die stürmischen Zeiten nicht vorbei. Dafür sorgte jüngst S. B., der ehemalige IT-Chef der ZAS. S. B. hat die ZAS Ende Oktober 2014 verlassen. Über seinen Abgang sagte er auf Anfrage von Tagesanzeiger.ch/Newsnet: «Infolge des Führungswechsels bei der ZAS war das ein logischer Entscheid.» Jedoch dürfte auch die Eidgenössische Finanzverwaltung (EFV), welche die ZAS beaufsichtigt, Druck gemacht haben.

Fingierte E-Mails

Obwohl längst nicht mehr auf seinem Posten, rief sich S. B. Anfang 2015 bei mehreren Mitarbeitern auf eine spezielle Art und Weise in Erinnerung. Sie wurden durch automatisch an sie versandte E-Mails darüber in Kenntnis gesetzt, S. B. habe ihre Sitzungseinladungen samt Dateianhängen weitergeleitet, wobei die Hotmail-Adresse, bei der sie landeten, fast denselben Namen trug wie die früher von S. B. geführte IT-Abteilung. Der Name war wohl eine Finte, um möglichst wenig Aufsehen zu erregen.

Der Fall wurde innerhalb der ZAS untersucht. Dabei bestätigte sich, dass S. B. tatsächlich noch Monate nach seinem Abgang weiterhin Zugang zu seiner Mailbox hatte und diesen offensichtlich dazu nutzte, E-Mails und Dokumente auf einem Privataccount zu horten.

Welche Dokumente S. B. transferierte und aus welchem Motiv er dies tat, ist unklar. Er gibt an, er habe «einige Daten von Treffen und Gesprächen» gesichert. Zu seinen Motiven macht S. B., der vor einem Monat eine IT-Beratungsfirma am Genfersee gegründet hat, keine Angaben. Möglich ist, dass er auch Projektdossiers, Prüfberichte, Mandats- und Arbeitsverträge kopierte, allenfalls weil er nach seinem Abgang Angst bekam, man würde ihm strafrechtlich relevante Verfehlungen vorwerfen. Dies war im Fall der früheren ZAS-Direktorin passiert, gegen die das Generalsekretariat des Finanzdepartements nach ihrem Abgang im Herbst 2013 wegen auffälliger Spesenbezüge bei der Bundesanwaltschaft eine Strafanzeige einreichte

Die ZAS-Direktion nahm auf Anfrage von Tagesanzeiger.ch/Newsnet trotz detaillierter Fragen kaum zum Vorfall Stellung. Direktionsadjunkt Markus Odermatt schreibt: «S. B. stand der ZAS auf Abruf hin zur Verfügung, da sein Arbeitsverhältnis zu einem späteren Zeitpunkt (Ende März, Red.) endete. Während dieser Zeit hatte er Zugriff auf seine Mailbox, jedoch nicht auf andere Applikationen. Für das AHV-Zahlungssystem bestand kein Sicherheitsrisiko.»

Zugriff auf gesamtes IT-System

Recherchen von Tagesanzeiger.ch/Newsnet ergeben ein anderes Bild. Demnach soll S. B. noch während rund dreier Wochen nach seinem Abgang via einen VPN-Zugang Zugriff auf das ­gesamte Computersystem der ZAS und damit sämtliche Applikationen gehabt haben. Über das IT-System der ZAS hätte er auch auf Server des Bundes zugreifen und immensen Schaden anrichten können. Gemäss seiner Funktion als IT-Chef müsste S. B. sämtliche Passwörter und Administrativrechte dafür gehabt haben. Sein VPN-Zugang wurde einige Wochen später durch einen Mitarbeiter geschlossen, nicht aber der Zugang auf die Mailbox.

Gemäss Recherchen von Tagesanzeiger.ch/Newsnet war es am Ende auch die ZAS-Personalchefin, die Alarm schlug und festhielt, S. B. dürfte trotz des bis März gültigen Arbeitsvertrags nicht einmal mehr Zugriff auf seine Mailbox haben. Die Personalabteilung wandte sich nach Aufdeckung der Vorkommnisse Anfang Januar sofort an S. B. und forderte diesen auf, ihr erstens zu bestätigen, dass er alle Daten gelöscht hatte, und ihr zweitens zu versichern, keinen Gebrauch von den Daten gemacht zu haben. S. B. soll dieser Aufforderung nachgekommen sein, will aber keine Frage dazu beantworten.

Die Eidgenössische Finanzkontrolle hat laut ihrem Vizedirektor Eric-Serge Jeannet vom Fall erfahren und die ZAS zu einer Stellungnahme aufgefordert. Jeannet schreibt: «Wir haben anschliessend der Bundesanwaltschaft die erhaltenen Informationen weitergegeben, denn diese Information über Lücken in der IT-Sicherheit kann für die laufende Untersuchung wegen Amtsgeheimnisverletzung relevant sein.» Über den Zugang zur Informatik schreibt der EFK-Vizedirektor: «In einer solchen Situation hätten die Systemzugänge mit S. B.s Abgang gesperrt werden müssen. Die Ämter sind selbst verantwortlich für ihre Informatiksicherheit.» Gemäss Jeannet soll ZAS-Direktor Patrick Schmied inzwischen neue Vorschriften erlassen haben, damit sich solche Fälle nicht wiederholen.

ZAS steht unter Beobachtung

Der Zuger Nationalrat Thomas Aeschi (SVP), der die ZAS mit einer Subkommission der Finanzkommission des Nationalrats im August 2014 besuchte, hat den IT-Chef nicht mehr angetroffen, obwohl die Kommission diesen gerne zu den durch Tagesanzeiger.ch/Newsnet aufgedeckten Unregelmässigkeiten befragt hätte. Aeschi sagt: «Dass man sich vom IT-Chef trennte, war eine logische Konsequenz. Ich habe nichts anderes erwartet.» Die Kommission war dennoch überrascht, dass es bei der ZAS nicht härtere Personalmassnahmen zu einem früheren Zeitpunkt gegeben hat. Kommissionsmitglied Cédric Wermuth (SP, AG) sagt: «Die Strategie des Finanzdepartements war es, mit dem bestehenden Personal möglichst viel Know-how zu retten.» Man müsse zu einem späteren Zeitpunkt schauen, was diese Strategie gebracht habe. Jedenfalls stehe die ZAS unter besonderer Beobachtung, so Wermuth.

(Tages-Anzeiger)

(Erstellt: 29.04.2015, 21:29 Uhr)

Stichworte

Artikel zum Thema

Der Whistleblower, der für seine Courage bestraft wurde

Serge Gaillard, Direktor der Eidgenössischen Finanzverwaltung, verdächtigt einen Whistleblower, das Amtsgeheimnis verletzt zu haben. Doch zu Gaillards Anschuldigungen gibt es grosse Fragezeichen. Mehr...

Informatikchef der ZAS geht

Der IT-Skandal bei der Zentralen Ausgleichsstelle in Genf hat auch für den Abteilungschef Konsequenzen. Mehr...

Informatikdesaster bei AHV-Kasse kostet Millionen

Das IT-Debakel bei der Zentralen Ausgleichsstelle verursache kaum finanziellen Schaden, sagt der Chef der Eidgenössischen Finanzverwaltung. Recherchen zeigen ein anderes Bild. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Sponsored Content

Spassfaktor nach oben offen.

Das C-Klasse Cabriolet von Mercedes-Benz feiert grosse Schweizer Premiere.

Werbung

Kommentare

Abo

Digital Abos

Tages-Anzeiger unbeschränkt lesen:
Im 1. Monat nur CHF 1.-

Die Welt in Bildern

Der Morgen nach dem Brexit: Pendler sitzen in einem Bus, der über die Waterloo Bridge in London fährt. (24. Juni 2016)
(Bild: Toby Melville) Mehr...