SIS II: Tausende Sicherheitslücken im EU-Fahndungssystem

Das Schengener Informationssystem der zweiten Generation (SIS II), ein zentraler Bestandteil europäischer Polizeiarbeit, ist von massiven IT-Sicherheitsproblemen betroffen. Ein Auditbericht des Europäischen Datenschutzbeauftragten (EDPS) stuft Tausende Schwachstellen als »hoch« ein. Unter anderem wurde festgestellt, dass auffallend viele Nutzer*innen über Administratorrechte verfügten. Das birgt ein erhebliches Risiko für Missbrauch durch interne Angreifer*innen.

Das SIS II ist eine polizeiliche Informationsplattform, die mit Fahndungsdaten aus nationalen Datenbanken der Schengen-Staaten gespeist wird. Es ähnelt in seiner Funktion etwa der deutschen INPOL-Datei und dient dazu, Informationen über gesuchte Personen, vermisste Kinder oder als gestohlen gemeldete Dokumente und Fahrzeuge zwischen Behörden grenzüberschreitend verfügbar zu machen.

Die Informationen über die Sicherheitslücken gehen aus internen E-Mails und vertraulichen Prüfberichten hervor, die das Magazin Bloomberg gemeinsam mit Lighthouse Reports ausgewertet hat. Wie Bloomberg berichtet, lagen zentrale Hinweise auf technische Schwächen dem französischen IT-Unternehmen Sopra Steria, das für Entwicklung und Wartung von SIS II verantwortlich ist, bereits seit Jahren vor. Dennoch dauerten Reparaturen oft viele Monate oder in anderen Fällen sogar bis zu fünf Jahren – obwohl vertraglich festgelegt war, dass kritische Mängel binnen zwei Monaten behoben werden müssen.

Dem Bericht zufolge hatten mindestens 69 Personen Zugriff auf SIS II, ohne über die erforderliche Sicherheitsfreigabe zu verfügen. Ob es sich dabei um Mitarbeiter von Sopra Steria oder andere externe Dienstleister handelt, bleibt unklar. Auch die für alle großen EU-Datenbanken zuständige EU-Agentur eu-Lisa gerät in die Kritik: Einzelne Abteilungen hätten es versäumt, ihre Leitung ausreichend über zentrale Sicherheitsprobleme zu informieren. Die Prüfer bescheinigten der Agentur deshalb »organisatorische und technische Sicherheitslücken« und forderten einen klaren Aktionsplan.

Das SIS II enthält derzeit rund 93 Millionen Einträge, darunter 1,7 Millionen zu Personen – gegenüber 2022 ein Zuwachs um über die Hälfte[1]. Der Grund ist eine neue Verordnung, wonach seit 2023 auch sogenannte Rückkehrentscheidungen, also Informationen über Personen, die zur Ausreise verpflichtet sind, von den Schengen-Staaten im SIS II eingetragen werden sollen. Auch Fingerabdrücke können durchsuchbar gespeichert werden. Gesichtsbilder können als Dateien zwar an einen Personendatensatz angehängt, aber noch nicht abgeglichen werden.

Wegen der zunehmenden Zahl sensibler Einträge erhält die geplante Vernetzung des SIS II mit weiteren Großsystemen im Bloomberg-Bericht besondere Aufmerksamkeit. Das SIS II läuft auf einem abgeschotteten Netz, soll jedoch künftig im Rahmen des EU-Vorhabens »Interoperabilität« mit einem neuen »Ein-/Ausreisesystem« sowie anderen, bereits bestehenden biometrischen Datenbanken verbunden werden. Ausgerechnet Sopra Steria übernimmt bei diesen Plänen eine zentrale Rolle und erhielt von der EU-Kommission 300 Millionen Euro[2] für die Einführung eines gemeinsamen biometrischen Abgleichsystems für Fingerabdrücke und Gesichtsbilder der verbundenen Datenbanken.

Diese Kopplung erhöht das Risiko, dass ein Sicherheitsvorfall in einem der Systeme auch SIS II kompromittieren könnte – oder umgekehrt. »Ein erfolgreicher Angriff hätte potenziell katastrophale Folgen für Millionen Menschen«, sagte Romain Lanneau, Forscher bei der zivilgesellschaftlichen Organisation Statewatch, gegenüber unserer Zeitung. »Die EU drängt auf eine massive Ausweitung eines technischen Systems, das erhebliche Auswirkungen auf die Grundrechte haben kann, ohne dessen mögliche Verwundbarkeit zu bewerten oder bekannte Probleme anzugehen«, erklärt Lanneau zum EU-Projekt »Interoperabilität«.

Die Enthüllungen werfen erneut Fragen nach der Fähigkeit der EU auf, komplexe IT-Infrastrukturen eigenverantwortlich zu entwickeln und zu betreiben. Wie Bloomberg berichtet, beruht ein Teil der Probleme auf der Abhängigkeit von externen Beraterfirmen und fehlender interner technischer Kompetenz bei EU-Lisa – ein strukturelles Problem, das bereits beim immer wieder verschobenen[3] Start des »Ein-/Ausreisesystems« sichtbar wurde. Die frühere Chefin von eu-Lisa steht zudem in der Kritik, gegenüber ihrem früheren Arbeitgeber Atos auf Schadensersatzforderungen verzichtet zu haben[4], nachdem dieser Aufträge zur Einrichtung des Projekts »Interoperabilität« über mehrere Jahre nicht erledigte.

Links:

1. https://netzpolitik.org/2025/schengener-informationssystem-jeden-tag-41-millionen-fahndungsabfragen-in-europa/
2. https://netzpolitik.org/2020/eu-zahlt-300-millionen-euro-fuer-erkennung-von-gesichtern-und-fingerabdruecken/
3. https://www.nd-aktuell.de/artikel/1185460.eu-einreise-ausreisesystem-start-des-europaeischen-biometriesystems-erneut-verschoben.html
4. https://www.nd-aktuell.de/artikel/1172074.biometrie-rochade-bei-eu-datenhamstern.html