Der Fall Xplain ist der «spektakulärste Fall einer Datenschutzverletzung» im Kanton Aargau in ihrer 16-jährigen Amtszeit. Das sagte die abtretende Aargauer Datenschützerin Gunhilt Kersten kürzlich in einem Interview. Nun informiert der Kanton über das Ausmass des Schadens.
Hier sind die wichtigsten Fragen und Antworten.
Die Hackergruppe Play griff das Schweizer IT-Unternehmen Xplain AG mit einer Ransomware-Attacke im Mai an. Die Behördensoftware von Xplain verwendete nutzten neben dem Aargau auch weitere Kantone sowie der Bund. Auf die Erpressung respektive Lösegeld-Forderungen der Hacker ging Xplain nicht ein. Die Hacker publizierten deshalb zweimal im Juni Daten im Darknet.
Im Aargau waren Daten des des Departements Volkswirtschaft und Inneres (DVI) vom Cyberangriff betroffen. Diese befanden sich auf der Informatik-Infrastruktur der Xplain AG. Der Kanton hatte sie für die Entwicklung von Software oder für betriebliche Aufgaben, vor allem zur Behebung von Fehlern, der Firma zur Verfügung gestellt.
Konkret handelt es sich um die Applikationen «JustThis» für das Amt für Migration und Integration (Mika) und «Polaris» für die Kantonspolizei. Sie werden vom DVI auf der kantonalen IT-Infrastruktur betrieben. «Die Informatiksicherheit der Kantonalen Verwaltung war vom Ransomware-Angriff nicht betroffen», hält er ausserdem fest.
Der Kanton hat 23 Personen informiert, die von einer Datenschutzverletzung im Fall Xplain betroffen sind. Es war dazu von Gesetzes wegen verpflichtet. Ausnahmen bestehen für die Fälle, dass die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
Die Hacker haben gegen 342 Gigabyte (GB) an Daten im Darknet publiziert. 32 GB, also rund 9,5 Prozent, betreffen das DVI. Darunter befinden sich «sensible Daten», die einen erhöhten Schutzbedarf aufweisen. Das sind Gerichts- und Verwaltungsentscheide, Strafbefehle sowie einzelne gescannte Verfügungen bei «JustThis».
Bei «Polaris» sind das Fehleraufzeichnungen, Musterberichte als Grundlage für Software-Entwicklung sowie Screenshots früherer und aktueller Systeme, die operative und unvollständig anonymisierte Daten beinhalten.
Die Hacker haben auch geschäftliche Kontaktdaten von Mitarbeitenden des Mika und der Kantonspolizei publiziert, wie der Regierungsrat in seiner Antwort auf die Interpellation von Grossrat und IT-Sicherheitsspezialist Thomas Bodmer (SVP) schreibt. Dieser hatte in Frage gestellt, ob der Kanton seine Verantwortung und Sorgfaltspflicht genügend wahrgenommen habe.
Die Task Force hat Mängel bei der Zusammenarbeit mit Xplain erkannt. Dies macht der Kanton in seiner Mitteilung deutlich: «Einige der für den Wissensaustausch benötigten Daten hätten auf der Infrastruktur der Verwaltung belassen und Daten bei der Lieferantin auch früher wieder gelöscht werden müssen», schreibt er. Das bedeutet, dass hier ein unnötiges Risiko für den Fall eines erfolgreichen Cyberangriffs eingegangen wurde.
Xplain erhielt 2013 und 2016 nach einer öffentlichen Ausschreibung die Zuschläge des Kantons. «Ransomware-Angriffe mit Datendiebstahl waren zum Zeitpunkt der Auftragsgestaltung nicht verbreitet», schreibt der Regierungsrat in seiner Antwort auf die Interpellation Bodmer. «Das Bewusstsein der Risiken eines potenziellen Datendiebstahls beim Lieferanten war zu wenig vorhanden» und sei damals nicht berücksichtigt worden.
Das DVI hat nach Bekanntwerden des Cyberangriffs die Projektarbeiten für die Entwicklung weiterer Systeme, in Zusammenarbeit mit Xplain, bis auf Weiteres sistiert. Die Task Force klärt die weitere Zusammenarbeit mit Xplain ab.
Der Kanton hat Massnahmen getroffen, um das Risiko bei weiteren Cyberangriffen respektive Datenschutzverletzungen zu senken. Dazu gehörten Massnahmen zur Absicherung und Überwachung der IT-Infrastruktur.
Umgesetzt hat der Kanton Sofortmassnahmen mit Xplain und anderen Software-Anbietern. «Die Verträge mit den Lieferanten müssen bezüglich Informationssicherheit, Datenschutz und Datenaustausch überprüft und bei Bedarf angepasst werden», schreibt der Regierungsrat in seiner Antwort auf Bodmers Interpellation.
Mitarbeitende des Kantons und Personen, die an IT-Projekte mitwirken, sollen im Umgang mit sensiblen Daten verstärkt sensibilisiert und geschult werden. Die Verträge mit den Lieferanten würden im Bezug von Informationssicherheit, Datenschutz und Datenaustausch überprüft und bei Bedarf angepasst. Kontrollen zur Löschung von Daten soll verstärkt werden.
Andreas Bamert-Rizzo, Generalsekretär des DVI, lässt sich dazu wie folgt zitieren: «Wir haben aus dem Vorfall gelernt. Es geht darum, die notwendigen Massnahmen zu ergreifen, um möglichst gut gegen einen Cyberangriff geschützt zu sein, aber auch die Folgen eines möglichen Cyberangriffs soweit wie möglich zu minimieren.» Dabei müsse auch die Informationssicherheit bei externen Lieferanten besser beachtet werden.
«Eine hundertprozentige Sicherheit haben wir nie», sagte die Aargauer Datenschützerin Gunhilt Kersten zur Sicherheit vor Cyberkriminellen im AZ-Interview.
(aargauerzeitung.ch)
