Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.
2. Mehr Kontrollen
Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Software-Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
Bessere Ausbildung
Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.
3. Mehr Transparenz
Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.
4. Überprüfen der Schutzmassnahmen
Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.
5. Koordination verbessern
Das zum VBS gehörende Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Was empfiehlt der Datenschützer des Bundes?
Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) eine unabhängige Untersuchung durch. In den drei Schlussberichten sind verschiedene Empfehlungen zu finden, beispielsweise:
Xplain soll technische und organisatorische Massnahmen zur Datensicherheit treffen, die angemessen seien in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, das Bearbeiten von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der inneren Sicherheit.
Xplain soll ein Informationssicherheitsmanagementsystem (ISMS) aufbauen, ein Risikomanagement etablieren, Mitarbeitende sensibilisieren und regelmässige Audits durchführen. Zudem soll ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt werden.
Das Fedpol und das BAZG sollen prüfen, unter welchen Voraussetzungen es erforderlich ist, dass Personendaten im Rahmen von Supportprozessen die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden müssen.
- Das Fedpol und das BAZG sollen seine Mitarbeitenden kontinuierlich auf die datenschutzrechtlichen Risiken sensibilisieren und die Verträge im Bereich Datensicherheit präzisieren.
Die Firma Xplain, das Bundesamt für Polizei (Fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG) haben eine dreissigtägige Frist, um dem Edöb mitzuteilen, ob sie die Empfehlungen annehmen.
Was empfehlen die externen Fachleute?
Die Firma Oberson Abels untersuchte im Auftrag des Bundesrats den Datenabfluss, in ihrem Bericht finden sich weitere Empfehlungen, beispielsweise:
Dem Staatssekretariat für Sicherheitspolitik (Sepos) soll die Verantwortung für die Steuerung und Überwachung der Informationssicherheit des Bundes übertragen werden, die derzeit bei den Departementen liegt.
Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informationssicherheit und des Datenschutzes zur Verfügung gestellt werden.
Die Informationssicherheits- und Datenschutzkultur soll gestärkt werden. Das Verbot, produktive, also live in Benutzung stehende Daten an externe Leistungserbringer zu transferieren, soll klar und deutlich kommuniziert werden.
Der Zugriff externer Leistungserbringer auf produktive Daten, sei es vor Ort oder aus der Ferne, soll auf ein Minimum reduziert, streng geregelt und kontrolliert werden.
Die Löschung produktiver Daten, die in der Vergangenheit aktuellen oder früheren externen Leistungserbringern des Bundes zur Verfügung gestellt wurden, soll systematisch verlangt und anschliessend überprüft werden.
Wie konnte das passieren?
Wieso konnten Hacker bei der Berner Firma Xplain Daten des Bundes entwenden? Weil diese Firma für den Bund Software testete und integrierte, oder weil im Rahmen von Wartungs- oder Supportdienstleistungen Daten flossen.
Das schreibt der Bundesrat in seiner am Mittwoch veröffentlichten Mitteilung zu seinen Massnahmen nach dem Hackerangriff vom Frühling 2023. Auf Seite 14 des Untersuchungsberichts fasst die von der Landesregierung mit der Administrativuntersuchung betraute Genfer Kanzlei die Situation zusammen. Sie schreibt:
Erstens hätten Mitarbeiter von Xplain vom E-Mail-Konto des Bundes, das ihnen im Rahmen der Zusammenarbeit zur Verfügung gestellt wurde, an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet.
Mit produktiven Daten sind Daten gemeint, welche live in Benutzung stehen. Diese Daten erhielten sie laut der Untersuchung von Angestellten des Bundes. Zumindest in einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach selbst Daten aus einem Produktionssystem des Bundesamts für Polizei (Fedpol) extrahiert.
Zweitens hätten Bundesangestellte, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, an Xplain weitergeleitet, oder sie auf einem gemeinsam genutzten Server zur Verfügung gestellt. Dies, ohne die Produktivdaten zuvor zu entfernen, sie mit einem Pseudonym zu ergänzen oder zu schwärzen.
Drittens hätten Bundesangestellte im Rahmen von IT-Entwicklungs-, Text- oder Migrationsarbeiten Xplain Produktivdaten übermittelt.
Wie das Bundesamt für Cybersicherheit (BACS) im März dieses Jahres mitteilte, stahl die mutmasslich russische Ransomware-Bande «Play» bei ihrem Angriff von Mai 2023 über 9000 Datenobjekte der Bundesverwaltung. Die Hälfte dieser Daten galt als sensibel.
Die 9000 Datenobjekte umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter.
(dsc/sda)
Der Xplain-Hackerangriff und seine weitreichenden Folgen
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Hier schiessen Scharfschützen auf ein Stromkabel – und nein, es ist nicht in den USA
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
17
So will Europa an die KI-Spitze – und so will die Schweiz daran teilhaben
Europas Antwort auf Trumps KI-Projekt Stargate kommt: 150 Milliarden Euro sollen in den nächsten fünf Jahren in europäische KI-Projekte fliessen.
Mehr als 60 namhafte europäische Unternehmen haben sich zu der «EU AI Champions Initiative» zusammengeschlossen. Damit wollen sie der Entwicklung und Anwendung von Künstlicher Intelligenz (IA) in Europa Schub verleihen.