Zum Inhalt springen

Nach Datenklau bei Xplain Datenschützer sieht nach Hackerangriff Fehler bei Bund und Xplain

  • Im Fall des Cyberangriffs von Kriminellen auf die Internetfirma Xplain haben sowohl der Bund als auch die Berner IT-Firma Fehler begangen.
  • Das schreibt der Eidgenössische Datenschutzbeauftragte in drei neu veröffentlichten Untersuchungsberichten .
  • Der Bundesrat hat Massnahmen beschlossen.

Demnach haben weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzsicherheit (BAZG) mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten im Rahmen von Supportleistungen durch Xplain auf deren Server gespeichert werden dürften. Zudem habe Xplain keine angemessenen Massnahmen zur Gewährleistung der Datensicherheit oder des Informationsschutzes getroffen.

Hacker forderten Lösegeld für gestohlene Daten

Box aufklappen Box zuklappen

Im Mai letzten Jahres hat die Hackergruppe «Play» einen Ransomware-Angriff auf das im Bereich der inneren Sicherheit tätige IT-Unternehmen Xplain verübt. Die Gruppe stahl rund 900 Gigabyte an Daten, darunter heikles Material.

Danach wurde Xplain von Play erpresst: Xplain sollte das geforderte Lösegeld (engl. Ransom) bezahlen, ansonsten würde Play die gestohlenen Daten veröffentlichen. Weil Xplain nicht auf die Forderung einging, liess Play seinen Worten Taten folgen: Hochsensible Daten wie etwa Namen von Mitgliedern einer Spezialeinheit der Armee, Namen von Betroffenen aus der Hooligan-Datenbank des Fedpol, Privatadressen von Bundesräten oder Daten aus Strafverfahren landeten im Darknet.

Im Fall des Cyberangriffs führt die Bundesanwaltschaft zwei Strafverfahren.

Die Bundesstellen hätten ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Berner Firma übermittelt und von Xplain gespeichert werden dürften. Ohne diese genauen Anforderungen sei letztlich auf dem Server von Xplain «eine Sammlung von unstrukturierten Daten» entstanden. Die Menge an übermittelten Personendaten hält der Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) zudem für unverhältnismässig.

Auch habe Xplain die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt. Zudem seien trotz vereinzelt vorhandener vertraglicher Löschpflichten Personendaten vertragswidrig aufbewahrt worden.

Bundesrat beschliesst Massnahmen

Nach Vorliegen einer externen Untersuchung hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Erstens will er das Sicherheitsmanagement des Bundes stärken, indem die Verwaltung bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellen muss.

Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung von Angestellten erarbeiten. Drittens lässt der Bundesrat eine Übersicht über die vorhandenen Kommunikationsmittel erstellen.

Die Cybersicherheit beim Bund erhöhe sich auch dank der Anfang Jahr in Kraft getretenen Informationssicherheitsgesetzgebung (ISG), schreibt der Bundesrat.

Genauere Übersicht über die Massnahmen des Bundes

Box aufklappen Box zuklappen
  • Neues Gesetz : Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.
  • Mehr Kontrollen : Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
  • Bessere Ausbildung : Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.
  • Verstärkte Transparenz : Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.
  • IT-Schutz überprüfen : Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.
  • Koordination verbessern : Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.

Die Kritisierten selber sagen bisher nicht viel. Die betroffenen Bundesstellen schreiben auf Anfrage von SRF, sie würden die geltenden Empfehlungen bezügliche Datenschutz nun prüfen. Das besonders kritisierte Bundesamt für Polizei schreibt, es äussere sich zu Fehlern, Schuld oder personalrechtlichen Konsequenzen erst, wenn die Bundesanwaltschaft ihr Verfahren abgeschlossen habe. Und die Firma Xplain teilt mit, die meisten Empfehlungen seien ihrerseits umgesetzt.

Aus dem Untersuchungsbericht im Auftrag des Bundesrats geht hervor, dass Xplain eine Befragung verweigert und verlangte Dokumente zurückbehalten hat. Dennoch ist die Firma bis heute immer noch für die Bundesverwaltung tätig, wenn auch unter erhöhten Sicherheitsvorkehrungen. Denn auch die Untersuchungsberichte zeigen: Die Behörden sind schlicht abhängig von der Software und vom Know-how dieser Berner Firma.

Rendez-vous, 01.05.2024, 12:30 Uhr ; 

Meistgelesene Artikel