Der Bund hat laut Politik die «richtige Lehren gezogen» aus dem Xplain-Schlamassel
Aus dem Fall Xplain und somit dem Diebstahl und Leaken von vertraulichen Daten durch Kriminelle habe der Bund die richtigen Schlüsse gezogen: Das findet die dafür zuständige Subkommission der Geschäftsprüfungskommission des Ständerates (GPK-S).
«Wir haben uns davon überzeugen lassen, dass die richtigen Lehren aus dem Vorfall gezogen wurden», sagte am Donnerstag der Präsident der Subkommission, Pirmin Schwander. Der Schwyzer SVP-Ständerat machte diese Aussage im Rahmen der Beratung des Geschäftsberichts 2023 des Bundesrats.
Warum arbeitet der Bund weiter mit Xplain zusammen?
Schwander sagte unter anderem, seit der Aufarbeitung des Datenabflusses dürften Angestellte der Berner Informatikfirma Xplain nur noch unter Aufsicht des Bundes und in Räumlichkeiten des Bundes mit sogenannten produktiven Daten arbeiten. Das sind live in Benutzung stehende Daten.
Verschiedene Bundesämter hätten eine Interessenabwägung gemacht, ob sie mit Xplain weiter zusammenarbeiten wollten oder nicht. Der Abbruch der Zusammenarbeit würde für sie bedeuten, dass Informatikaufträge neu ausgeschrieben werden müssten, so Schwander. Fast überall sei entschieden worden, mit Xplain weiterzuarbeiten.
Schwander ermunterte aber die Bundesverwaltung, zu prüfen, auch jüngere, noch weniger etablierte Firmen für Auftragserteilungen zu berücksichtigen. Er sagte auch, als Folge des Datenabflusses bei Xplain habe die Bundesverwaltung die rund 7600 bestehenden IT-Verträge überprüft. Bei rund 660 sicherheitsrelevanten Verträgen seien ungenügende Bestimmungen identifiziert worden. Nun liefen Nachverhandlungen.
Wie kam es zu dem Daten-Schlamassel?
Der Cyberangriff auf den IT-Dienstleister Xplain war im Mai 2023 durch das Newsportal watson publik gemacht worden. Unbekannte Hacker hatten zuvor eine Schwachstelle auf den Servern des IT-Dienstleisters mit Erpresser-Software angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet.
Anfang Mai dieses Jahres veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) drei Untersuchungsberichte zum Datenleck. Er kam zum Schluss, sowohl Bund als auch Xplain hätten Fehler gemacht, und gab eine Reihe von Empfehlungen ab.
Xplain und zwei betroffene Bundesämter gaben in der Folge bekannt, die Empfehlungen würden akzeptiert. Zudem beschloss der Bundesrat eine Reihe von Massnahmen zur Vermeidung künftiger Datenabflüsse.
(dsc/sda)
