Als Konsequenz auf den Hackerangriff auf Xplain hat der Bundesrat nun Massnahmen beschlossen, mit denen Datenabflüsse bei IT-Lieferanten zukünftig verhindert werden sollen. Dabei stütze sich der Bundesrat auf den nun vorliegenden Untersuchungsbericht zur Administrativuntersuchung, heisst es in einer Aussendung dazu. Zur Erinnerung: Der Bundesrat hatte im August 2023 eine externe Stelle mit der Aufarbeitung der Ereignisse rund um den Datenabfluss bei der Xplain mandatiert.
Hintergrund dazu ist, dass im Frühjahr 2023 bei der Xplain, einer Herstellerin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff grosse Datenmengen gestohlen und im Darknet veröffentlicht wurden. Davon betroffen waren auch produktive Daten der Bundesverwaltung, darunter vertrauliche Informationen und besonders schützenswerte Personendaten. Seit Bekanntwerden dieses Datenabflusses habe der Bundesrat zahlreiche Massnahmen ergriffen oder in Auftrag gegeben, um den Vorfall aufzuarbeiten und Lehren daraus zu ziehen, so die Mitteilung.
Die in diesem Zusammenhang angeordnete Administrativuntersuchung, die von der Kanzlei Oberson Abels durchgeführt wurde, sei nun mit deren Untersuchungsbericht abgeschlossen. Aus diesem gehe hervor, dass in den letzten Jahren in wenigen Fällen aktiv produktive Daten des Bundes an die IT-Umgebung der Xplain übermittelt worden seien. Dies sei in Test- und Integrationsphasen einer Software oder im Rahmen von Wartungs- oder Supportdienstleistungen sowohl durch Mitarbeitende der Xplain, welche über ein E-Mail-Konto des Bundes verfügten, als auch durch Mitarbeitende des Bundes geschehen. Zudem habe eine in einigen Xplain-Anwendungen enthaltene und inzwischen deaktivierte Support-Funktion zu grossen Mengen von Datentransfers von der IT-Umgebung des Bundes in die IT-Umgebung der Xplain geführt. Aus Sicht des Untersuchungsorgans haben die betroffenen Bundesstellen ihre Pflichten, ihren Lieferanten sorgfältig auszuwählen sowie ihn angemessen zu instruieren und zu überwachen, ungenügend wahrgenommen. Diesen Pflichten kamen die Bundesstellen unter dem Aspekt des Datenschutzes nicht und aus Sicht der Informationssicherheit nur teilweise nach, heisst es.
Mit der Inkraftsetzung der Informationssicherheitsgesetzgebung (ISG) per 1. Januar 2024 seien bereits viele Massnahmen eingeleitet worden, welche die Sicherheit systematisch und nachhaltig verbesserten. Von den Verwaltungseinheiten werde unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und in Betrieb nehmen. Mit dem ISMS könne die Geschäftsleitung sämtliche Sicherheitsprozesse, wie Inventarisierung der Informationen und Informatikmittel, Risikobeurteilungen, Sicherheit bei der Zusammenarbeit mit Dritten, Ausbildung, Vorfallmanagement oder Planung von Audits, führen.
Weiter hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Das Massnahmenpaket fokussiert sich dabei auf drei Bereiche:
- Erstens soll das Sicherheitsmanagement gestärkt werden, indem unter anderem bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
- Zweitens werde bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet.
- Drittens werde bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt.
Um die Datensicherheit des Bundes weiter zu verbessern und die Lehren aus dem Vorfall zu ziehen, hat der Bundesrat laut Mitteilung das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) nun damit beauftragt, den IKT-Grundschutz des Bundes bis Ende 2024 zu überprüfen und allfällige Anpassungen vorzuschlagen. Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Diese Massnahmen sollen die unmittelbar nach dem Vorfall von den betroffenen Verwaltungseinheiten und im Vertragsmanagement ergriffenen Sofortmassnahmen ergänzen, z.B. bezüglich Zusammenarbeit mit der Xplain, Sensibilisierung von IT-Lieferanten und Überprüfung der Verträge mit diesen, und aber auch die gestützt auf das neue ISG eingeleiteten Massnahmen.
Nach dem Abschluss der Administrativuntersuchung und dem Beschluss des Bundesrats zu den verschiedenen Massnahmen könnten die weiteren Arbeiten in den ordentlichen Strukturen wahrgenommen werden. Deshalb habe der Bundesrat den politisch-strategischen Krisenstab "Datenabfluss" aufgelöst, der die Arbeiten im Zusammenhang mit dem Datenabfluss bei der Xplain AG seit Juni 2023 koordiniert hat.
Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) als unabhängige Aufsichtsbehörde gestützt auf das Bundesgesetz über den Datenschutz (DSG) ebenfalls eine Untersuchung zum Datenabfluss bei der Xplain durch, deren Schlussbericht werde nun ebenfalls publiziert. Die beiden Untersuchungen seien voneinander unabhängig durchgeführt worden.
Im Zusammenhang mit dem Cyberangriff gegen die Xplain hat die Bundesanwaltschaft (BA) derzeit noch zwei Strafverfahren am Laufen.
