trüb und nass10°
DE | FR
burger
Digital
Schweiz

Nach Datendiebstahl bei Xplain: Diese Massnahmen ergreift der Bund jetzt

Sicht auf ein Gebaeude mit dem Hauptsitz der IT-Firma Xplain, am Sonntag, 2. Juli 2023, in Interlaken. Die IT-Firma wurde im letzten Mai gehackt. Die Software des Unternehmens wird bei Polizei-, Geric ...
Ist nach dem verheerenden Datendiebstahl bei der Berner Softwarefirma Xplain der Groschen gefallen?Bild: keystone

Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen

02.05.2024, 13:17
Mehr «Digital»

Nach der von watson publik gemachten Ransomware-Attacke auf die Schweizer Softwarefirma Xplain im Mai 2023 und dem damit verbundenen Daten-Leak haben Untersuchungen mehrere Mängel beim Bund und beim betroffenen Unternehmen zutage gefördert.

Der Bundesrat will solche Datenabflüsse in Zukunft vermeiden. Eine Übersicht über die geplanten Massnahmen:

Inhaltsverzeichnis
1. Neues Gesetz2. Mehr KontrollenBessere Ausbildung3. Mehr Transparenz4. Überprüfen der Schutzmassnahmen5. Koordination verbessernWas empfiehlt der Datenschützer des Bundes?Was empfehlen die externen Fachleute?Wie konnte das passieren?

1. Neues Gesetz

Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.

2. Mehr Kontrollen

Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Software-Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.

Bessere Ausbildung

Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.

3. Mehr Transparenz

Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.

4. Überprüfen der Schutzmassnahmen

Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.

5. Koordination verbessern

Das zum VBS gehörende Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.

Was empfiehlt der Datenschützer des Bundes?

Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) eine unabhängige Untersuchung durch. In den drei Schlussberichten sind verschiedene Empfehlungen zu finden, beispielsweise:

  • Xplain soll technische und organisatorische Massnahmen zur Datensicherheit treffen, die angemessen seien in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, das Bearbeiten von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der inneren Sicherheit.
  • Xplain soll ein Informationssicherheitsmanagementsystem (ISMS) aufbauen, ein Risikomanagement etablieren, Mitarbeitende sensibilisieren und regelmässige Audits durchführen. Zudem soll ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt werden.
  • Das Fedpol und das BAZG sollen prüfen, unter welchen Voraussetzungen es erforderlich ist, dass Personendaten im Rahmen von Supportprozessen die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden müssen.
  • - Das Fedpol und das BAZG sollen seine Mitarbeitenden kontinuierlich auf die datenschutzrechtlichen Risiken sensibilisieren und die Verträge im Bereich Datensicherheit präzisieren.

Die Firma Xplain, das Bundesamt für Polizei (Fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG) haben eine dreissigtägige Frist, um dem Edöb mitzuteilen, ob sie die Empfehlungen annehmen.

Was empfehlen die externen Fachleute?

Die Firma Oberson Abels untersuchte im Auftrag des Bundesrats den Datenabfluss, in ihrem Bericht finden sich weitere Empfehlungen, beispielsweise:

  • Dem Staatssekretariat für Sicherheitspolitik (Sepos) soll die Verantwortung für die Steuerung und Überwachung der Informationssicherheit des Bundes übertragen werden, die derzeit bei den Departementen liegt.
  • Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informationssicherheit und des Datenschutzes zur Verfügung gestellt werden.
  • Die Informationssicherheits- und Datenschutzkultur soll gestärkt werden. Das Verbot, produktive, also live in Benutzung stehende Daten an externe Leistungserbringer zu transferieren, soll klar und deutlich kommuniziert werden.
  • Der Zugriff externer Leistungserbringer auf produktive Daten, sei es vor Ort oder aus der Ferne, soll auf ein Minimum reduziert, streng geregelt und kontrolliert werden.
  • Die Löschung produktiver Daten, die in der Vergangenheit aktuellen oder früheren externen Leistungserbringern des Bundes zur Verfügung gestellt wurden, soll systematisch verlangt und anschliessend überprüft werden.

Wie konnte das passieren?

Wieso konnten Hacker bei der Berner Firma Xplain Daten des Bundes entwenden? Weil diese Firma für den Bund Software testete und integrierte, oder weil im Rahmen von Wartungs- oder Supportdienstleistungen Daten flossen.

Das schreibt der Bundesrat in seiner am Mittwoch veröffentlichten Mitteilung zu seinen Massnahmen nach dem Hackerangriff vom Frühling 2023. Auf Seite 14 des Untersuchungsberichts fasst die von der Landesregierung mit der Administrativuntersuchung betraute Genfer Kanzlei die Situation zusammen. Sie schreibt:

  • Erstens hätten Mitarbeiter von Xplain vom E-Mail-Konto des Bundes, das ihnen im Rahmen der Zusammenarbeit zur Verfügung gestellt wurde, an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet.
  • Mit produktiven Daten sind Daten gemeint, welche live in Benutzung stehen. Diese Daten erhielten sie laut der Untersuchung von Angestellten des Bundes. Zumindest in einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach selbst Daten aus einem Produktionssystem des Bundesamts für Polizei (Fedpol) extrahiert.
  • Zweitens hätten Bundesangestellte, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, an Xplain weitergeleitet, oder sie auf einem gemeinsam genutzten Server zur Verfügung gestellt. Dies, ohne die Produktivdaten zuvor zu entfernen, sie mit einem Pseudonym zu ergänzen oder zu schwärzen.
  • Drittens hätten Bundesangestellte im Rahmen von IT-Entwicklungs-, Text- oder Migrationsarbeiten Xplain Produktivdaten übermittelt.

Wie das Bundesamt für Cybersicherheit (BACS) im März dieses Jahres mitteilte, stahl die mutmasslich russische Ransomware-Bande «Play» bei ihrem Angriff von Mai 2023 über 9000 Datenobjekte der Bundesverwaltung. Die Hälfte dieser Daten galt als sensibel.

Die 9000 Datenobjekte umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter.

(dsc/sda)

Der Xplain-Hackerangriff und seine weitreichenden Folgen

Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
14
Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz
1
Die Ransomware-Attacke gegen Xplain (und den Bund) beschäftigt weiter die Anwälte
1
Xplain-Hack: Personendaten der Militärpolizei betroffen
6
Bundesrat ordnet nach Xplain-Hackerangriff umfassende Untersuchung an
2
Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe
54
Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern
17
Geleakte Bundes-Daten: Datenschützer weitet Untersuchung auf Xplain aus
9
Ältere Daten aus Schweizer Hooligan-Datenbank im Darknet zugänglich
11
Analyse
Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik
24
Xplain-Hack war laut Bund kein gezielter Angriff auf den Bund
4
Weitere Details und überlastete Server: Das Neuste zum Xplain-Datenleck in 6 Punkten
26
Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen
54
Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play
7
So ist der Kanton Aargau vom Xplain-Hackerangriff und dem Daten-Leak betroffen
3
Verdacht auf schwere Datenschutz-Verstösse beim Bund: Untersuchung gestartet
Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
67
Polizeirapport
Auch Liechtensteiner Landespolizei von Hackerangriff betroffen
Auch SBB und Kanton Aargau von Hackerangriff betroffen
4
Hacker erbeuten möglicherweise operative Daten des Bundes
Daten des Fedpol im Darknet veröffentlicht – Zoll auch vom Hackerangriff betroffen
17
Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software
10
Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Themen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Hier schiessen Scharfschützen auf ein Stromkabel – und nein, es ist nicht in den USA
Video: watson
Das könnte dich auch noch interessieren:
17 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
17
Meistgelesen
1
Wegen dieser Szene feiert die ganze Welt jetzt Nemo
2
«Kassensturz» liess die beste Milchschoggi der Schweiz küren – das ist die grosse Siegerin
3
Wer soll den ESC moderieren? Eigentlich kommen nur zwei infrage ...
4
Biel steht mit Bern in Kontakt für Ausrichtung des ESC 2025
5
AUFWACHEN – die lustigsten Fails der Woche sind da!
Meistkommentiert
1
Wir sollten den Geschlechtseintrag gleich ganz abschaffen
2
Chelsea will den «kleinen Messi» +++ Rey und Pinther verlassen FCZ-Frauen
3
In der Schweiz herrscht «Kindermangel» – und das ist ein ernstes Problem
4
Angriff in Zofingen AG: Staatsanwaltschaft ermittelt gegen 43-jährigen Spanier
5
«Würde die FIFA wegziehen, würde dies dem Ansehen der Schweiz schaden»
Meistgeteilt
1
In Peru sind trans Menschen jetzt per Dekret «psychisch krank»
2
Israels Armeesprecher: Zwei thailändische Geiseln tot + Netanjahu bestreitet Galant-Kritik
3
VW bestätigt Revolution beim Golf
4
Suchaktion im Tessin: Kajakfahrer vermisst
5
Frankreich mit Saudi-Söldner Kanté an EM +++ Alaphilippe gewinnt 12. Etappe am Giro
Polizei beendet Besetzung der Universität Basel

Die Polizei hat nach Ablauf zweier Ultimaten am Mittwochnachmittag das besetzte Bernoullianum der Universität Basel geräumt. Die Aktivistinnen und Aktivisten verliessen das Gebäude beim Eintreffen der Ordnungshüter.

Zur Story