Datenleak im EU-Parlament: Sensible Informationen von Mitarbeitenden abgegriffen
Im Europäischen Parlament gab es ein Datenleak. Nun wurde klar, dass unter anderem persönliche Daten von Mitarbeitern wie Personalausweise, Reisepässe, Strafregisterauszüge und Dokumente über Berufserfahrung kompromittiert wurden.
Im Europäischen Parlament gab es ein Datenleak. Nun wurde klar, dass unter anderem persönliche Daten von Mitarbeitern wie Personalausweise, Reisepässe, Strafregisterauszüge und Dokumente über Berufserfahrung kompromittiert wurden.
Das Europäische Parlament informierte seine Mitarbeiter über eine Datenpanne in der Personalapp des Parlaments, die für die Einstellung von nicht ständigem Personal verwendet wird, berichtete Euractiv am 6. Mai.
Der Verstoß ereignete sich Anfang 2024 und wurde am 25. April in einer E-Mail von Kristian Knudsen, einem Generaldirektor, bestätigt.
Am Montag (22. Mai) wurden in einer neuen E-Mail, die vom Team der PEOPLE-Anwendung verschickt und von Euractiv eingesehen wurde, einzelne Mitarbeiter darüber informiert, welche in die PEOPLE-Anwendung hochgeladenen Dokumente Teil des Verstoßes waren. In den E-Mails, die Euractiv einsehen konnte, wurden fast alle hochgeladenen Dokumente als betroffen aufgelistet.
„Nach der Analyse wurden alle aktiven und inaktiven Nutzer am 22. Mai gemäß der Empfehlung des EDSB [Europäische Datenschutzbeauftragte] mit detaillierten Informationen versorgt“, sagte ein Sprecher des Parlaments gegenüber Euractiv.
Ehemalige Parlamentsmitarbeiter wurden ebenfalls per E-Mail darüber informiert, dass einige ihrer persönlichen Daten betroffen seien, so mehrere Quellen gegenüber Euractiv. In einigen Fällen handelte es sich um veraltete Daten.
Es ist noch unklar, ob die Sicherheitsverletzung das Ergebnis eines Hackerangriffs oder einer anderen Sicherheitslücke war. Als Euractiv am 23. Mai nachfragte, wie viele Personen betroffen waren, gab der Parlamentssprecher keinen Kommentar ab.
Die PEOPLE-Anwendung, ein Tool für die Personalverwaltung, wurde nach dem Datenleck deaktiviert. Die Mitarbeiter wurden aufgefordert, ihre Passwörter zurückzusetzen und auf verdächtige Nachrichten zu achten.
Der EDSB und die nationale Behörde Luxemburgs untersuchen den Verstoß noch.
Die betroffenen Daten betreffen unter anderem den Familienstand, den Wohnsitz, die Ausbildung oder Berufserfahrung, militärische Verpflichtungen, eidesstattliche Erklärungen, Dokumente zur Feststellung individueller Rechte und Verträge.
Die Cybersicherheitsexperten des Parlaments und die luxemburgische Polizei „führen weiterhin eine gründliche Analyse durch, um alle Umstände des Einbruchs zu klären“, fügte der Parlamentssprecher hinzu.
„Die Anwendung PEOPLE wird derzeit gesichert und wird bald wieder online sein“, heißt es in der E-Mail.
Diejenigen, die sich nicht mehr im Einstellungsverfahren befinden, können jedoch nicht mehr auf ihr Konto zugreifen.
Beschäftigte besorgt
„Unsere Identitäten können grundsätzlich gestohlen und unsere Daten missbraucht werden“, schrieb Dávid Kardos, akkreditierter parlamentarischer Assistent (APA) der Europaabgeordneten Anna Donáth und Katalin Cseh, in einer E-Mail an den APA-Ausschuss vom 23. Mai, die Euractiv vorliegt.
Der Ausschuss drückte auch seine Unzufriedenheit über den Mangel an ausreichenden Informationen über die Datenschutzverletzung und mögliche Untersuchungen aus. Außerdem vermisse er Ratschläge seitens des Parlaments, wie die Mitarbeiter ihre Daten schützen können.
Die Assisten fragten, warum es „nicht einmal eine einzige Empfehlung“ gebe, wenn sie ihre Ausweispapiere ändern müssten und wie sie mit unveränderlichen Daten umgehen sollten.
In seiner E-Mail hinterfragte Kardos die späte Benachrichtigung über das Datenleck Anfang des Jahres und fragte nach laufenden Ermittlungen und möglichen Verdächtigen, einschließlich der Möglichkeit einer Beteiligung von Drittländern.
„Ich frage mich, warum sie das erst jetzt bekannt geben, wo die Legislaturperiode schon vorbei ist“, sagte er Euractiv.
[Bearbeitet von Alice Taylor/Kjeld Neubert]
