Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen
Nach der von watson publik gemachten Ransomware-Attacke auf die Schweizer Softwarefirma Xplain im Mai 2023 und dem damit verbundenen Daten-Leak haben Untersuchungen mehrere Mängel beim Bund und beim betroffenen Unternehmen zutage gefördert.
Der Bundesrat will solche Datenabflüsse in Zukunft vermeiden. Eine Übersicht über die geplanten Massnahmen:
1. Neues Gesetz
Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.
2. Mehr Kontrollen
Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Software-Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
Bessere Ausbildung
Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.
3. Mehr Transparenz
Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.
4. Überprüfen der Schutzmassnahmen
Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.
5. Koordination verbessern
Das zum VBS gehörende Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Was empfiehlt der Datenschützer des Bundes?
Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) eine unabhängige Untersuchung durch. In den drei Schlussberichten sind verschiedene Empfehlungen zu finden, beispielsweise:
- Xplain soll technische und organisatorische Massnahmen zur Datensicherheit treffen, die angemessen seien in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, das Bearbeiten von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der inneren Sicherheit.
- Xplain soll ein Informationssicherheitsmanagementsystem (ISMS) aufbauen, ein Risikomanagement etablieren, Mitarbeitende sensibilisieren und regelmässige Audits durchführen. Zudem soll ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt werden.
- Das Fedpol und das BAZG sollen prüfen, unter welchen Voraussetzungen es erforderlich ist, dass Personendaten im Rahmen von Supportprozessen die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden müssen.
- - Das Fedpol und das BAZG sollen seine Mitarbeitenden kontinuierlich auf die datenschutzrechtlichen Risiken sensibilisieren und die Verträge im Bereich Datensicherheit präzisieren.
Die Firma Xplain, das Bundesamt für Polizei (Fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG) haben eine dreissigtägige Frist, um dem Edöb mitzuteilen, ob sie die Empfehlungen annehmen.
Was empfehlen die externen Fachleute?
Die Firma Oberson Abels untersuchte im Auftrag des Bundesrats den Datenabfluss, in ihrem Bericht finden sich weitere Empfehlungen, beispielsweise:
- Dem Staatssekretariat für Sicherheitspolitik (Sepos) soll die Verantwortung für die Steuerung und Überwachung der Informationssicherheit des Bundes übertragen werden, die derzeit bei den Departementen liegt.
- Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informationssicherheit und des Datenschutzes zur Verfügung gestellt werden.
- Die Informationssicherheits- und Datenschutzkultur soll gestärkt werden. Das Verbot, produktive, also live in Benutzung stehende Daten an externe Leistungserbringer zu transferieren, soll klar und deutlich kommuniziert werden.
- Der Zugriff externer Leistungserbringer auf produktive Daten, sei es vor Ort oder aus der Ferne, soll auf ein Minimum reduziert, streng geregelt und kontrolliert werden.
- Die Löschung produktiver Daten, die in der Vergangenheit aktuellen oder früheren externen Leistungserbringern des Bundes zur Verfügung gestellt wurden, soll systematisch verlangt und anschliessend überprüft werden.
Wie konnte das passieren?
Wieso konnten Hacker bei der Berner Firma Xplain Daten des Bundes entwenden? Weil diese Firma für den Bund Software testete und integrierte, oder weil im Rahmen von Wartungs- oder Supportdienstleistungen Daten flossen.
Das schreibt der Bundesrat in seiner am Mittwoch veröffentlichten Mitteilung zu seinen Massnahmen nach dem Hackerangriff vom Frühling 2023. Auf Seite 14 des Untersuchungsberichts fasst die von der Landesregierung mit der Administrativuntersuchung betraute Genfer Kanzlei die Situation zusammen. Sie schreibt:
- Erstens hätten Mitarbeiter von Xplain vom E-Mail-Konto des Bundes, das ihnen im Rahmen der Zusammenarbeit zur Verfügung gestellt wurde, an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet.
- Mit produktiven Daten sind Daten gemeint, welche live in Benutzung stehen. Diese Daten erhielten sie laut der Untersuchung von Angestellten des Bundes. Zumindest in einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach selbst Daten aus einem Produktionssystem des Bundesamts für Polizei (Fedpol) extrahiert.
- Zweitens hätten Bundesangestellte, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, an Xplain weitergeleitet, oder sie auf einem gemeinsam genutzten Server zur Verfügung gestellt. Dies, ohne die Produktivdaten zuvor zu entfernen, sie mit einem Pseudonym zu ergänzen oder zu schwärzen.
- Drittens hätten Bundesangestellte im Rahmen von IT-Entwicklungs-, Text- oder Migrationsarbeiten Xplain Produktivdaten übermittelt.
Wie das Bundesamt für Cybersicherheit (BACS) im März dieses Jahres mitteilte, stahl die mutmasslich russische Ransomware-Bande «Play» bei ihrem Angriff von Mai 2023 über 9000 Datenobjekte der Bundesverwaltung. Die Hälfte dieser Daten galt als sensibel.
Die 9000 Datenobjekte umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter.
(dsc/sda)
