Datenschutzbeauftragter sieht nach Hackerangriff Fehler bei Bundesregierung und Xplain
Veröffentlicht: Mittwoch, 1. Mai 2024, 13:20
Zurück zu Live Feed
Im Fall des Cyberangriffs von Kriminellen auf die Internetfirma Xplain haben sowohl der Bund als auch das Berner IT-Unternehmen Fehler gemacht. Das schreibt der Eidgenössische Datenschutzbeauftragte in drei am Mittwoch veröffentlichten Untersuchungsberichten.
Weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzschutz (BGS) hatten mit Xplain klar vereinbart, unter welchen Bedingungen Personendaten auf dem Xplain-Server gespeichert werden dürfen. Dies geht aus der Mitteilung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (Edöb) hervor.
Die Bundesbehörden hätten explizit festlegen müssen, in welchem Umfang Personendaten an das Berner Unternehmen übermittelt und von Xplain gespeichert werden dürfen. Ohne diese präzisen Vorgaben sei auf dem Server von Xplain schliesslich "eine Sammlung von unstrukturierten Daten" entstanden. Auch die Menge der übermittelten Personendaten erachtet Edöb als unverhältnismässig.
Xplain hatte keinen Zugriff auf die Datenbanken der beiden Bundesämter. Allerdings hätte das Unternehmen für Edöb wissen müssen, dass die von ihm programmierten Supportfunktionen auch personenbezogene Daten enthalten können. "Für diese Verarbeitungen hat Xplain als Auftragsverarbeiter keine geeigneten Maßnahmen zur Gewährleistung der Datensicherheit getroffen (...)."
Xplain habe auch gegen die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismäßigkeit verstoßen. Darüber hinaus seien personenbezogene Daten vertragswidrig gespeichert worden, obwohl einzelvertragliche Löschungspflichten bestünden.
Externer Untersuchungsbericht ebenfalls verfügbar
Am 23. Mai wurde der Cyberangriff auf den IT-Dienstleister Xplain bekannt. Die Hacker griffen mit Ransomware eine Sicherheitslücke auf den Servern des IT-Dienstleisters Xplain an und stahlen Daten der Bundesverwaltung. Da sie kein Lösegeld erhalten haben, veröffentlichten sie die Daten im Darknet.
Unter anderem landeten personenbezogene Daten der Militärpolizei und Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan gelistet waren, im Darknet.
Nicht nur Edöb, sondern auch der Bundesrat reagierte auf das Datenleck. Er setzte einen Krisenstab "Datenabfluss" ein, der sicherstellen soll, dass der Datenabfluss nicht weitergeht. Zudem beauftragte er eine Genfer Anwaltskanzlei, bis Ende März eine Administrativuntersuchung durchzuführen.
Wie die Landesregierung am Mittwoch mitteilte, sind auch die Genfer Juristen zum Schluss gekommen, dass die betroffenen Bundesstellen Fehler gemacht haben. Die Lieferanten seien nicht sorgfältig genug ausgewählt und nicht richtig instruiert und kontrolliert worden.
Bundesrat beschließt Maßnahmen
Im Anschluss an die externe Untersuchung hat der Bundesrat Massnahmen beschlossen, um zukünftige Datenlecks zu verhindern. Zum einen will er das Sicherheitsmanagement des Bundes stärken, indem er die Verwaltung verpflichtet, bis Ende 2024 zusätzliche Sicherheitsrichtlinien für die Zusammenarbeit mit Lieferanten zu erarbeiten.
Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung der Mitarbeitenden erstellen. Drittens wird der Bundesrat eine Übersicht über die bestehenden Kommunikationsmittel erstellen lassen.
Der Bundesrat schreibt, dass sich die Cybersicherheit beim Bund auch dank dem Anfang Jahr in Kraft getretenen Informationssicherheitsgesetz (ISG) verbessert. Edöb Adrian Lobsiger hat Empfehlungen an die beiden Bundesämter und Xplain geschickt.
Diese teilte am Mittwoch mit, dass die meisten Empfehlungen von Lobsiger bereits umgesetzt oder im Zuge des Neuaufbaus der IT-Infrastruktur im vergangenen Jahr angepasst wurden. Die Bundesanwaltschaft führt im Fall des Cyberangriffs auf Xplain zwei Strafverfahren.
©Keystone/SDA
German 
English 
French 
Spanish 
Arabic