Im Fall des Cyberangriffs von Kriminellen auf die Software-Entwicklerin Xplain haben sowohl der Bund als auch die Berner IT-Firma Fehler begangen. Das schreibt der Eidgenössische Datenschutzbeauftragte in drei Untersuchungsberichten, die er am Mittwoch veröffentlichte.
Weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzsicherheit (BAZG) hätten mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten auf dem Server von Xplain gespeichert werden dürften. Das steht in der Mitteilung des Datenschutz- und Öffentlichkeitsbeauftragten (Edöb).
Die Bundesstellen hätten ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Berner Firma übermittelt und von Xplain gespeichert werden dürften. Ohne diese genauen Anforderungen sei letztlich auf dem Server von Xplain «eine Sammlung von unstrukturierten Daten» entstanden. Die Menge an übermittelten Personendaten hält der Edöb zudem für unverhältnismässig.
Xplain hatte keine Zugriffsmöglichkeiten auf die Datenbanken der beiden Bundesämter. Die Firma hätte aber für den Edöb wissen müssen, dass die von ihr programmierten Supportfunktionen auch Personendaten enthalten konnten. «Für diese Bearbeitungen hat Xplain als Auftragsbearbeiterin keine angemessenen Massnahmen zur Gewährleistung der Datensicherheit (...) getroffen.»
Auch habe Xplain die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt. Zudem seien trotz vereinzelt vorhandener vertraglicher Löschpflichten Personendaten vertragswidrig aufbewahrt worden.
Der Cyberangriff auf den IT-Dienstleister Xplain war am 23. Mai durch watson publik gemacht geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet.
Unter anderem landeten Personendaten der Militärpolizei sowie Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan aufgeführt waren, im Darknet.
Nicht nur der Edöb, sondern auch der Bundesrat reagierte auf das Datenleck. Er setzte einen Krisenstab namens «Datenabfluss» ein, der sicherstellen sollte, dass der Datenabfluss nicht weitergeht. Zudem erteilte er einer Genfer Anwaltskanzlei den Auftrag, bis Ende März eine Administrativuntersuchung durchzuführen.
Wie die Landesregierung am Mittwoch mitteilte, sind auch die Genfer Anwälte zum Schluss gekommen, die betroffenen Bundesstellen hätten Fehler gemacht. Lieferanten seien nicht sorgfältig genug ausgewählt und nicht angemessen instruiert und überwacht worden.
Nach Vorliegen der externen Untersuchung hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Erstens will er das Sicherheitsmanagement des Bundes stärken, indem die Verwaltung bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellen muss.
Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung von Angestellten erarbeiten. Drittels lässt der Bundesrat eine Übersicht über die vorhandenen Kommunikationsmittel erstellen.
Die Cybersicherheit beim Bund erhöhe sich auch dank der Anfang Jahr in Kraft getretenen Informationssicherheitsgesetzgebung (ISG), schreibt der Bundesrat. Edöb Adrian Lobsiger hat den beiden Bundesämtern und Xplain Empfehlungen zugeschickt.
Letztere teilte am Mittwoch mit, die meisten Empfehlungen Lobsigers seien bereits umgesetzt respektive seien im vergangenen Jahr im Zug des Neubaus der IT-Infrastruktur angepasst worden. Im Fall des Cyberangriffs auf Xplain führt die Bundesanwaltschaft zwei Strafverfahren.
(sda)
