Europäische Staatsanwälte untersuchen, wie das Moskauer Büro eines IT-Dienstleisters dazu beigetragen hat, das neue elektronische Grenzsystem der EU aufzubauen, das die größte personenbezogene Datenbank des Blocks etablieren wird.
Nach Dokumenten, die dem Financial Times vorliegen, nutzte die französische IT-Gruppe Atos Mitarbeiter in Russland, um 2021 Software für das hochsensible Projekt zu kaufen, das darauf abzielt, biometrische Daten aller Nicht-EU-Besucher der EU zu sammeln und zu speichern.
Die Offenlegung der russischen Beteiligung hat erhebliche Sicherheitsfragen im Zusammenhang mit dem ehrgeizigen Umbau der Grenzinfrastruktur der EU aufgeworfen. Der Start bleibt unsicher, nachdem die EU aufgrund technischer Probleme mehrere Zieltermine gestrichen hatte.
Die geleakten Papiere legen nahe, dass die Atos-Niederlassung in Moskau unter einer Lizenz arbeitete, die dem russischen Sicherheitsdienst FSB Zugang zu ihrer Arbeit im Land gewähren würde. Vier Personen mit Kenntnis der Vorfälle sagten, dass Mitarbeiter in Moskau direkt an der Beschaffung von Software für das Grenzsystem beteiligt waren, eine Tätigkeit, die in der Regel eine Sicherheitsfreigabe der EU erfordern würde.
Die Europäische Staatsanwaltschaft (EPPO) untersucht die Beteiligung von Atos Russland an dem Grenzprojekt, so zwei informierte Personen.
Die EPPO ist dafür zuständig, Straftaten zu untersuchen und zu verfolgen, die die finanziellen Interessen der EU betreffen. Die EPPO sagte, dass sie keine Stellungnahmen zu Fällen abgibt oder öffentlich die Untersuchungen bestätigt, die sie verfolgt. Bisher wurden keine Anklagen erhoben.
Das sogenannte Ein- und Ausreisesystem (EES) der EU wird Daten sammeln, die die Bewegungen jedes ausländischen Reisenden beim Ein- oder Ausreisen aus dem Block verfolgen, biometrische und persönliche Informationen sowie ihren Visumsstatus erfassen. Atos Belgien gewann den EES-Vertrag, der jetzt 212 Mio. € wert ist, zusammen mit IBM Belgien und Leonardo Italien im Jahr 2019.
Olaf, die Anti-Betrugsbehörde der EU, untersuchte letztes Jahr Vorwürfe im Zusammenhang mit der Beteiligung von Atos Russland, eine Untersuchung, die bisher nicht bekannt gegeben wurde. Es wurde festgestellt, dass die von der EU-Lisa, der Agentur, die das EES umsetzt, ergriffenen Maßnahmen zur Bewältigung von „Sicherheitsproblemen“ nicht ausreichend waren, so eine informierte Person.
Es wurde nicht genügend Beweise gefunden, um eine Untersuchung im Rahmen des Anti-Betrugs-Mandats von Olaf einzuleiten, sagte die Person, aber Empfehlungen wurden an EU-Lisa herausgegeben, um Schwachstellen anzugehen. Olaf lehnte eine Stellungnahme ab.
„Wir sind uns der Tatsache bewusst, dass EU-Lisa eng mit Olaf zusammenarbeitet… die Agentur kann alle erforderlichen rechtlichen Schritte ergreifen, wenn dies erforderlich ist“, sagte ein Sprecher der Europäischen Kommission.
EU-Lisa sagte, dass sie sich „der Vorwürfe im Zusammenhang mit der Beteiligung von Atos Russland bewusst“ seien und dass sie „nie Vertragsbeziehungen zu Atos Russland hatten“.
Die Agentur sagte, dass „kein Sicherheitsverstoß identifiziert wurde“ und dass sie „seit dem Bekanntwerden der Angelegenheit weiterhin systematische Sicherheitsbewertungen durchgeführt und alle relevanten Maßnahmen ergriffen“ habe.
Software-Lizenzen, die für Teile des EES benötigt wurden, wurden laut internen Dokumenten, die der FT vorliegen, 2021 durch Atos Büros in Moskau erworben. Es gibt keine Hinweise darauf, dass die Atos-Niederlassung in Moskau nach der vollständigen Invasion Russlands in die Ukraine im Jahr 2022 an EES-Arbeiten beteiligt war.
Die Atos-Niederlassung operierte seit 2016 unter einer Lizenz, die ihr vom FSB, einer der Nachfolgeagenturen des sowjetischen KGB, erteilt wurde. Diese umfasste die „Entwicklung, Produktion, Verteilung von Verschlüsselungs- (kryptografischen) Werkzeugen, Informationssystemen und Telekommunikationssystemen“, so russische öffentliche Aufzeichnungen.
Andrei Soldatov, ein Autor und Experte für Russlands Sicherheitsdienste, sagte, dass eine solche Lizenz dem FSB einen „Hintereingang“ zu den Aktivitäten von Atos Russland gewährt. „Sie können alles überwachen, woran dieses Unternehmen arbeitet“, sagte Soldatov.
Atos hat gesagt, dass es sich im September 2022 von seinem russischen Geschäft getrennt hat, nach der Invasion. Atos, IBM und Leonardo lehnten eine Stellungnahme ab.
Ein europäischer Beamter sagte, dass die Enthüllungen über Atos Russland dringende Fragen zum Zugang zu einem so sensiblen Projekt aufwerfen. „Das Sicherheitsproblem kommt sofort in den Sinn aufgrund der enormen Menge an Daten, die [das EES] enthalten würde“, sagte er.
Atos nutzte sein Moskauer Büro, um Software für einen Teil des EES zu beschaffen, der es Fluggesellschaften ermöglichen würde, Reiseinformationen wie den Visumsstatus von Reisenden zu überprüfen, so die geleakten Dokumente und vier an Softwareverkäufen bei Atos, EU-Lisa und deren Lieferanten beteiligte Personen.
Yulia Plavunova, eine in Moskau ansässige Mitarbeiterin von Atos, war der „Hauptkundenkontakt“ für den Kauf von kryptografischen Zertifikaten der US-Firma AppViewX, die dazu beitragen, die Benutzer dieses Teils des EES zu verifizieren, so die geleakten Dokumente.
Die Adresse von Atos in Moskau wird auch in den Dokumenten im Zusammenhang mit einer Softwarelizenz des Schweizer Unternehmens Magnolia für sogenannte Middleware aufgeführt, die verschiedene Teile des Computersystems verbindet.
Sowohl AppViewX als auch Magnolia bestätigten, dass Atos sein Moskauer Büro für den Einkauf genutzt hat, während ihre Verträge mit Atos Frankreich und Atos Belgien abgeschlossen wurden.
Ein ehemaliger Atos-Mitarbeiter, der an dem Projekt arbeitete, sagte, Plavunova sei „Teil des Beschaffungsbüros“ gewesen und dass „sie konsequent an Einkäufen beteiligt war, die externe Auftragnehmer betrafen“.
Der Mitarbeiter sagte, er habe nicht gewusst, dass Plavunova in Russland ansässig war, und dass dies „seltsam“ sei, da nur „EU-geprüftes Personal“ dem Projekt zugewiesen werden könnte.
Gemäß des Hauptvertrags des EES, der dem FT vorliegt, müssen alle IT-Vertragsmitarbeiter, die an dem Projekt arbeiten, „eine gültige Sicherheitsfreigabe auf EU-Geheimschutzstufe besitzen, die von einer nationalen Sicherheitsbehörde [in einem Mitgliedsstaat] vor Erbringung von Dienstleistungen ausgestellt wurde“.
EU-Lisa sagte, dass „kein Sicherheitsverstoß identifiziert wurde“, da der Mitarbeiter von Atos Russland „keinen Zugang zu den IT-Systemen, sensiblen Informationen oder Räumlichkeiten von EU-Lisa“ hatte. Die von AppViewX gekaufte Software wurde nie verwendet und Magnolia wurde bis 2022 genutzt, so EU-Lisa.
Plavunova sagte, sie habe Atos im Jahr 2021 verlassen und „kann keine Informationen preisgeben, die meinem früheren Arbeitgeber gehören“. Sie sagte, ihre Tätigkeit als Softwarekäufer stehe „nicht im Zusammenhang mit dem Geschäft von Atos Russland“ und dass Atos „Mitarbeitern gleiche Möglichkeiten bot, für verschiedene Regionen zu arbeiten… Russisch zu sein bedeutet nicht, für den FSB zu arbeiten“.
Ein Sprecher der Europäischen Kommission sagte, dass sie „volles Vertrauen in die Fähigkeit von EU-Lisa hat, die Sicherheit des EES zu verwalten“ und dass EU-Lisa „eine Sicherheitsprüfung durchführen wird, bevor das EES in Betrieb geht“.
Zusätzliche Berichterstattung von Chris Cook in London
Bitte wiederholen Sie den gesendeten Text nicht.