Am 13. August 2025 informierte das Außenministerium (BMEIA) öffentlich über ein mögliches Datenleck in der Reiseregistrierung. Diese Plattform ermöglicht es Österreicher:innen, vor Auslandsreisen persönliche Daten zu hinterlegen, damit sie in Krisenfällen kontaktiert werden können.
Was ist passiert?
Nach Angaben des Ministeriums seien „Daten aus der Reiseregistrierung sowie der Website betroffen gewesen". Die Anwendung wurde vorsorglich offline genommen. Zu diesem Zeitpunkt sprach die Außenministerin von 70 betroffenen Personen – wenige Tage später war bereits von 76 Datensätzen die Rede.
ℹ️ Was ist die Reiseregistrierung?
Die Reiseregistrierung des Außenministeriums ist ein freiwilliger Service für österreichische Staatsbürger:innen. Vor Auslandsreisen können persönliche Daten hinterlegt werden, damit das Ministerium in Krisenfällen (Naturkatastrophen, politische Unruhen, Pandemien) Kontakt aufnehmen kann.
Gespeicherte Daten umfassen unter anderem:
- Name und Geburtsdatum
- Telefonnummer und E-Mail-Adresse
- Reiseziel und Reisezeitraum
- Kontaktdaten von Angehörigen
Austria SAFE recherchiert: 14 Fragen an das Ministerium
Austria SAFE hat konkrete Fragen an das Ministerium gerichtet. Die Antworten des Ministeriums blieben jedoch vage und unbefriedigend. Die offiziellen E-Mails wiederholten im Wesentlichen den Pressetext – zentrale Punkte blieben unbeantwortet.
⚠️ Unsere Fragen an das BMEIA
(1) Erkenntnisse zur Schadsoftware
Sie schreiben: "Vielmehr deuten die vorliegenden Erkenntnisse darauf hin, dass einzelne Nutzerinnen und Nutzer von BMEIA-Webseiten auf ihren persönlichen Geräten Ziel von Schadsoftware-Angriffen wurden."
Da hier von der Deutung von Erkenntnissen geschrieben wird, gibt es anscheinend noch keine wirkliche Sicherheit in den Ergebnissen. Welche anderen Erkenntnisse liegen Ihnen noch vor?
Weiters führen Sie aus, dass "einzelne Nutzerinnen und Nutzer von BMEIA-Webseiten auf ihren persönlichen Geräten Ziel von Schadsoftware-Angriffen wurden". Wie viele der 76 betroffenen BürgerInnen wurden untersucht und um welche Schadsoftware hat es sich gehandelt? Welche Geräteplattformen in welcher Anzahl waren betroffen?
(2) Ursache des Datenabflusses
Sie schreiben: "Die Ursache eines möglichen Datenabflusses lag daher außerhalb des IT-System des BMEIA."
Aufgrund welcher Erkenntnisse kommen Sie zum Schluss, dass eine andere Schadsoftware (s. Punkt 1) die Daten auf den Endgeräten der BenutzerInnen abgreift, dann aber zentral und strukturiert in eine Datentausch-Plattform bringt? Ist es nicht eher der Fall, dass die Daten vom Sicherheitsvorfall 2020 stammen? Oder ist erwiesen, dass sich die User erst vor kurzem auf der Reiseplattform registriert haben?
(3) Sicherheitsstandards
Sie schreiben: "App erfüllt höchste Sicherheitsstandards"
Welche konkreten Sicherheitsstandards sind hier gemeint und wann wurde die Konformität dazu das letzte Mal überprüft? In wieweit wurde der aktuelle Stand der DSGVO bei der Reiseregistrierung berücksichtigt?
(4) Unverschlüsselte E-Mail-Übermittlung
Ihre Aussage, dass die Auslandsregistrierung funktioniert, können wir nicht nachvollziehen, da auf beigefügtem Screenshot der Website die Bürger aufgefordert werden, anstatt dessen eine eMail an die angegebene eMail Adresse zu schreiben. Ebenso ist auf der Website klar erkennbar "BMEIA - Service Unavailable".
Das bedeutet, dass die Bürger personenbezogenen Daten unverschlüsselt via Mail über das Internet übertragen. Wir bitten Sie um Stellungnahme dazu, auch dass die Bürger auf diesen Umstand bei der Übermittlung nicht hingewiesen wurden. Bitte um Anzahl wie viele Registrierungen Sie über diesen Weg erhalten haben.
(5) Nutzungsstatistiken
Wir wären an der Statistik der Nutzung der Applikation Auslandsregistrierung interessiert:
- Wie viele Zugriffe pro Monat gibt es auf die Applikation?
- Wie viele Registrierungen gibt es von den Bürgern pro Monat?
Konkret geht es um eine Auswertung der letzten 3 Jahre mit den o.a. Fragestellungen auf Monatsebene.
(6) Datenspeicherung und -löschung
- Wie lange werden die Daten in der Applikation Auslandsregistrierung aufbewahrt?
- Wie werden die Daten gelöscht?
- Gab es Fälle, wo die Daten und/oder das Service in den letzten 3 Jahren durch z.B. Störungen oder Ausfälle auch schon nicht zur Verfügung gestanden sind?
(7) Gezielter Angriff?
Können Sie ausschließen, dass es sich um einen gezielten Angriff handelt?
(8) Betroffene Daten
Welche konkreten Daten sind betroffen – Name, Adresse, Telefonnummer, Reisedaten?
(9) Missbrauch der Daten
Gab es bereits Hinweise auf einen Missbrauch der Daten?
(10) Technische Sicherheitsmaßnahmen
Welche technischen Maßnahmen wurden getroffen, um die Systeme abzusichern?
(11) Andere Online-Services
Sind auch andere Online-Services des Ministeriums deaktiviert worden?
(12) Eingebundene Behörden
Welche anderen Behörden sind offiziell eingebunden?
(13) Lehren für die Zukunft
Gibt es bereits Lehren die das Ministerium aus diesem Vorfall für die Zukunft zieht?
(14) Vertrauensverlust
Sehen Sie die Gefahr eines Vertrauensverlustes bei Bürgerinnen und Bürgern, die ihre Daten beim BMEIA speichern?
Die Zahlen passen nicht zusammen
Besonders brisant ist die Diskrepanz zwischen den kommunizierten Zahlen und der Gesamtnutzung des Systems:
📊 Die Fakten:
- Seit 2021: Über 440.000 Bürger:innen haben sich registriert
- Zeitraum des vermeintlichen Lecks: Hauptreisezeit Juli/August
- Betroffene laut BMEIA: Nur 76 Personen
In der Urlaubszeit Juli/August – der absoluten Hochsaison für Auslandsreisen – nur 76 Betroffene zu melden, wirkt statistisch höchst unwahrscheinlich.
Fragwürdige Übergangslösung
🚨 Sicherheitsproblem: Unverschlüsselte E-Mails
Während der Deaktivierung der Plattform sollten Bürger:innen ihre Daten per E-Mail an das Ministerium senden – ohne Ende-zu-Ende-Verschlüsselung!
Das Problem: Zwar verwenden Mail-Server untereinander üblicherweise TLS-Verschlüsselung für die Übertragung, jedoch übertragen viele Nutzer:innen ihre E-Mails unverschlüsselt von ihrem Gerät zum Mail-Server. Normale E-Mails sind somit wie Postkarten – jeder, der sie auf dem Weg abfängt, kann mitlesen. Für sensible personenbezogene Daten ist dies völlig ungeeignet und widerspricht modernen Datenschutzstandards.
Unsere Einschätzung
Das Ministerium kommunizierte zu wenig, zu spät und zu pauschal. Die zentrale Frage, woher die Daten tatsächlich stammen und wieviele Betroffene es gibt, blieb unbeantwortet.
🔍 Offene Fragen bleiben:
- Wie viele Personen waren tatsächlich betroffen?
- Welche Sicherheitslücke wurde ausgenutzt?
- Wie sind die Daten in kriminelle Hände gelangt?
- Welche technischen Verbesserungen wurden umgesetzt?
- Wurde die Datenschutzbehörde ordnungsgemäß informiert?
In der September-Sendung von Austria SAFE haben wir den Fall erstmals umfassend aufgearbeitet und die offenen Fragen öffentlich gemacht. Die gesamte Sendung ist im Archiv von Radio Orange 94.0 und auf austriasafe.at nachzuhören.
Sendetermin: Jeden zweiten Mittwoch um 15:00 Uhr auf Radio Orange 94.0 oder als Podcast verfügbar.