Sicht auf ein Gebaeude mit dem Hauptsitz der IT-Firma Xplain, am Sonntag, 2. Juli 2023, in Interlaken. Die IT-Firma wurde im letzten Mai gehackt. Die Software des Unternehmens wird bei Polizei-, Geric ...

Nachdem die Ransomware-Bande Play die bei einem Hackerangriff gestohlenen Daten geleakt hatte, sah sich die Bundesverwaltung zum Handeln gezwungen. Bild: keystone

Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern

19.07.2023, 15:1607.05.2024, 10:41

Nach dem Hackerangriff auf die Berner Software-Firma Xplain fordert der Bund Sicherheit ein bei IT-Dienstleistern, die für ihn Aufträge erfüllen. 2871 Unternehmen sind per Brief aufgefordert worden, zu prüfen, ob sie explizit aufgeführte Anforderungen erfüllen können.

Inside-IT berichtete am Mittwoch über den Brief des Bundesamts für Bauten und Logistik (BBL), der der Nachrichtenagentur Keystone-SDA vorliegt. Darin heisst es:

«Ihr Unternehmen muss jederzeit in der Lage sein, die Vertraulichkeit, die Integrität und die Verfügbarkeit von Systemen, Daten und Informationen sowie die Nachvollziehbarkeit des Umgangs mit Daten und Informationen zu gewährleisten.»

Was wird konkret verlangt?

Zu den technischen Anforderungen, die die Unternehmen gewährleisten müssen, gehören laut inside-it.ch «die Pflicht zur Multifaktor-Authentisierung, das Verbot zur Nutzung unverschlüsselter Passwörter und zur Speicherung nicht anonymisierter Produktivdaten des Bundes».

Ausserdem sei ein Löschverfahren für Testdaten nach deren Gebrauch zu implementieren und anzuwenden, zitiert inside-it.ch aus dem Schreiben. Und: Netzwerkverkehr sei zu überwachen und bei Personen, die auswärts («remote») arbeiteten, müsse eine VPN-Verbindung erzwungen werden.

Verlangt würden auch ein «Incident-Response-Prozess» sowie die regelmässige Auswertung von Logdateien.

Ziel des Briefes: Sensibilisierung

IT-Dienstleister, die die konkret umschriebenen Anforderungen an die Sicherheit nur zum Teil einhalten können oder Schwachstellen bei sich ausmachen, müssen sich beim Vertragspartner beim Bund und dem Nationalen Zentrum für Cybersicherheit melden. Ziel sei in erster Linie die Sensibilisierung, hiess es beim BBL dazu auf Anfrage.

Der Brief fordert die Vertragspartner-Unternehmen zudem auf, sich über aktuelle Bedrohungen aus dem Cyberraum und sowie Massnahmen für mehr Sicherheit auf dem aktuellsten Stand zu halten. Ergibt die Prüfung von Vertragsunterlagen Handlungsbedarf, werden betroffene Firmen noch einmal angeschrieben.

Der Bundesrat hatte Ende Juni wegen des Xplain-Hacks entschieden, die Verträge mit Informatikdienstleistern mit der Bundesverwaltung systematisch zu überprüfen.

Diese Daten wurden der Liechtensteiner Polizei gestohlen

Hacker hatten beim für den Bund tätigen IT-Dienstleister Xplain Daten gestohlen, wie watson am 23. Juni publik machte. Weil die Cyberkriminellen kein Lösegeld erhielten, machten sie Daten im Darknet zugänglich.

Auf der Leak-Site der Ransomware-Bande Play wurden auch Daten der Liechtensteiner Landespolizei zugänglich gemacht. Die Behörde arbeitet ebenfalls mit Xplain zusammen. Geleakt wurden unter anderem 59 Personendatensätze, die bei Entwicklungs- und Supportarbeiten von Xplain gespeichert worden waren, wie die Landespolizei am Mittwoch mitteilte.

Die Personendatensätze umfassten Daten von aktuellen und ehemaligen Mitarbeitenden und auch Personendaten aus dem Personenregister. Sobald die Personen abschliessend verifiziert seien, würden sie über den Diebstahl ihrer Daten informiert, teilte die Landespolizei mit.

Die Datenanalyse habe bestätigt, dass sich unter den entwendeten und geleakten Daten keine vertraulichen Informationen aus operativen Datenbanken befinden.