Digital
Ransomware

Xplain-Hack: Kanton Aargau verstiess angeblich gegen Datenschutz-Gesetz

Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz

24.01.2024, 16:5224.01.2024, 16:53
Mehr «Digital»

Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Daher hat die kantonale Beauftragte für Öffentlichkeit und Datenschutz die Verwaltung in einem Bericht scharf kritisiert. Die Herausgabe der Daten sei «unzulässig» gewesen.

Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Ransomware-Bande «Play» führte im ersten Halbjahr 2023 einen Hackerangriff auf Xplain durch und lud eine riesige Datenmenge herunter, wie watson publik machte. Da Xplain kein Lösegeld bezahlte, veröffentlichte «Play» mehr als 900 GB an gestohlenen Daten im Darknet.

Une personne regarde le site internet de la societe Xplain, leader dans la creation de solutions logicielles dans le secteur "Homeland Security" ce dimanche 2 juillet 2023 a Daillens. Des in ...
Die Cyberattacke gegen die Berner Softwarefirma Xplain sorgt weiter für Schlagzeilen.Bild: keystone

Was haben die Aargauer falsch gemacht?

Das Aargauer Departement Volkswirtschaft und Inneres (DVI) hatte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain geliefert. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund zehn Jahren mit der Firma in Interlaken BE zusammen.

«Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen», heisst es im Bericht. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.

«Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts», hält die Datenschutzbeauftragte Gunhilt Kersten im Bericht fest: «Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain AG war daher unzulässig.» Der Bericht von Ende Dezember wurde auf der Website des Kantons publiziert.

Heikle Daten nicht zum Testen nutzen

Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehe bei der Erbringung von Informatikdienstleistungen explizit vor, «dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen», steht im Bericht weiter.

Das Innendepartement machte laut Bericht zwar geltend, produktive Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden.

Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).

«Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain AG übermittelt worden», heisst es im Bericht der Datenschutzbeauftragten.

Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.

Die Hackergruppe «Play» veröffentlichte nach dem Datenklau bei Xplain insgesamt 32 Gigabyte Daten aus dem DVI. Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.

Was empfiehlt die Datenschützerin?

Die Datenschutzbeauftragte bemängelt, dass im Rahmen der internen Dienstaufsicht nicht bemerkt worden sei, dass unzulässige Datenbekanntgaben durch die verantwortlichen Stellen an Xplain AG erfolgt waren.

Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin zu überprüfen seien, ob die rechtzeitige Durchführung von Datenschutz-Folgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.

(dsc/sda)

Der Xplain-Hackerangriff und seine weitreichenden Folgen

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
Auf Facebook teilenAuf X teilen
Arnold Schwarzeneggers starke Botschaft gegen Hass und Antisemitismus
Video: watson
Das könnte dich auch noch interessieren:
1 Kommentar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
1
OECD rät zu verantwortungsbewusster Nutzung von Handys in Schulen

Die Industriestaatenorganisation OECD hat nach einer Studie zu einem verantwortungsbewussten Einsatz von Mobiltelefonen im Schulunterricht geraten. Sie warnte zugleich vor massiven Lernrückständen bei Schülerinnen und Schülern, die ständig auf ihr Handy gucken.

Zur Story