Ende Februar wurde bekannt, dass nach diversen anderen Staaten auch Österreich ein Verbot der chinesischen App Tiktok auf staatlichen Geräten evaluiert. Das wirft weitere Fragen auf: Darf das Personal von Ministerien die dienstlichen Geräte überhaupt privat nutzen? Welche Regeln gelten dabei? Und kann auch mit privaten Geräten auf staatliche Informationen zugegriffen werden?

Diese Fragestellungen sind alles andere als trivial, wie auch internationale Beispiele zeigen. Medial präsent war etwa die Causa von Hillary Clinton, die über einen privaten Server auf berufliche Dokumente zugriff. Und Mitte Februar sorgte ein interner Bericht des Pentagon für Aufsehen, laut dem das dortige Personal die Diensthandys für allerlei nicht autorisierte Aktivitäten verwendet – vom Handel mit Kryptowährungen über Onlinedating bis zur Verwendung verbotener chinesischer Apps.

Private Apps in Österreich erlaubt

In Österreichs Ministerien ist die private Nutzung beruflicher Geräte generell gesetzlich erlaubt, wie sich aus der Beantwortung diverser parlamentarischer Anfragen und Nachfragen des STANDARD beim Bundeskanzleramt und in ausgewählten Ministerien erschließt.

Dabei darf die private Nutzung nicht missbräuchlich erfolgen, dem Ansehen des öffentlichen Dienstes schaden, den Dienstbetrieb behindern oder die Sicherheit und Leistungsfähigkeit der Infrastruktur gefährden, heißt es aus dem Bundeskanzleramt. Diese Grundsätze sind bundesweit festgelegt, deren technische und organisatorische Umsetzung liegt bei den Ministerien.

Mobiles Device Management

Diese Umsetzung läuft im Kern darauf hinaus, dass die dienstlichen Daten und Applikationen auf den Geräten strikt von den privaten getrennt werden, wie es aus den Ministerien heißt. Aus dem Bundeskanzleramt teilt man etwa mit, dass die Installation von Apps wie Whatsapp oder Tiktok im dienstlichen Segment ausgeschlossen werden kann, im privaten Bereich der Smartphones seien wiederum keine Sperrmechanismen eingerichtet.

Die besagte technische Trennung läuft nach Angaben des Innenministeriums über ein Mobiles Device Management (MDM), über das auch zusätzliche Sicherheitsvorkehrungen wie Updates und Gerätesperren möglich sind. Das Betriebssystem des Smartphones unterscheide, ob Apps über das MDM geladen werden und somit im "dienstlichen Bereich" landen. Eine Vermischung werde durch das Betriebssystem unterbunden, auch die bekannte "Teilen"-Funktion bestimmter Apps könne nur im jeweiligen Bereich genutzt werden.

Der Vizekanzler und seine Updates

Und wie sieht es nun mit dem privaten Zugriff auf interne Informationen der Ministerien aus? Hier lassen zwei Fälle hellhörig werden. So gab Vizekanzler Werner Kogler (Grüne) als Antwort auf eine parlamentarische Anfrage im Jänner 2022 an, dass er mit seinem privaten Handy auf den Exchange Server des Ministeriums zugreife, das Handy aber nicht von der EDV-Abteilung seines Ressorts gewartet werde – relevante Sicherheitsupdates führe er selbst durch.

Und Verteidigungsministerin Klaudia Tanner (ÖVP) schrieb zur gleichen parlamentarischen Anfrage, dass sie ein privates Handy mit einer dienstlichen SIM-Karte verwende, das ebenfalls mit dem Server ihres Ministeriums verbunden sei, die Wartung dieses Handys unterliege nicht dem Ministerium.

Auf Nachfrage werden die besagten Angaben im Kulturministerium bestätigt: Der Vizekanzler oder sein Personal führen die Updates regelmäßig selbst durch, in Einzelfällen werde die Expertise der IT-Abteilung herangezogen, die angesichts der regelmäßigen Sicherheitsupdates keine Sicherheitsbedenken habe, heißt es. Tiktok und Whatsapp seien auf Koglers Handy nicht installiert, überhaupt fänden sich auf dem Gerät wenige Apps für den täglichen Gebrauch. Im Verteidigungsministerium heißt es wiederum, dass lediglich die Hardware von Tanners privatem Handy nicht gewartet wird und sie Reparaturen selbst bezahlt. Für dienstliche Apps und Daten sei hingegen auch auf dem Privathandy das MDM installiert, über das die Software gewartet wird.

Angesichts der sich verschärfenden geopolitischen Lage und der entsprechend zunehmenden Cyberangriffe auf staatliche und staatsnahe Institutionen heißt es abschließend aus dem Kulturministerium, dass man die Risken laufend bewerte und gegebenenfalls darauf reagieren werde. Ob und in welcher Form das eingangs erwähnte Tiktok-Verbot kommt, das gilt es abzuwarten. (Stefan Mey, 9.3.2023)