Gehackte IT-Firma Xplain Bund gibt heikle Daten an Firma, deren Sicherheit checkt er in 15 Jahren nie
Hacker haben bei Xplain kritische Informationen gestohlen. Nun zeigt unsere Recherche: Eine Überprüfung des Unternehmens fand nie statt. Fachleute sind entsetzt.
Hunderte von Gigabytes haben Hacker im Mai bei der Interlakner Softwarefirma Xplain gestohlen und ins Darknet gestellt. Darunter heikle Informationen der Bundesverwaltung, der Bundespolizei (Fedpol) und der Eidgenössischen Zollverwaltung. Es geht um Sicherheitsdispositive, geschützte Personendaten oder gar vertrauliche Informationen zu Hunderten von Strafverfahren. Seither rätselt die Öffentlichkeit darüber, wie die vertraulichen Daten an Xplain gelangen konnten und wieso zumindest ein Teil der Daten nicht verschlüsselt war.
Klar ist, dass auch der Bund in der Verantwortung steht. Gemäss eidgenössischem Datenschutzgesetz musste er sich vergewissern, dass Xplain in der Lage ist, die Datensicherheit zu gewährleisten. Erst nach einem sogenannten Sicherheitsaudit darf er sensible Daten überhaupt für die Bearbeitung teilen.
Gestützt auf das Öffentlichkeitsgesetz verlangte diese Redaktion darum beim Fedpol und der Zollverwaltung Einsicht in solche Audits aus den letzten fünfzehn Jahren, also seit Beginn der Zusammenarbeit mit der Bundesverwaltung.
«Aus meiner Sicht ist das nicht zu entschuldigen.»
Nun, knapp zwei Monate später und nach mehrfacher Fristerstreckung, erklären die Behörden einsilbig: Es wurden «keine Audits» bei Xplain vorgenommen, weder vom Fedpol noch von der Zollverwaltung.
Man hat also in 15 Jahren nichts unternommen, um die Sicherheit einer IT-Dienstleisterin in einem derart sensiblen Bereich zu überprüfen: «Aus meiner Sicht ist das nicht zu entschuldigen», sagt Anwalt und Datenschutzexperte Martin Steiger. «Es ist erschreckend, aber ich bin aufgrund der Vorgeschichte nicht überrascht.»
Wenn man Daten Dritten anvertraue, müsse die Datensicherheit gewährleistet bleiben. Man dürfe sich nicht allein auf allfällige vertragliche Zusicherungen verlassen, sondern müsse die Möglichkeit für Audits haben. Bei sensiblen Daten wie vom Fedpol oder der Zollverwaltung seien Audits sogar zwingend.
Mehrere Fachleute teilen die Kritik
Auch Ueli Buri, Präsident der Konferenz der Schweizer Datenschutzbeauftragten, sagt, die Auslagerung von Daten an Dritte sei zwar erlaubt, es müsse aber sichergestellt werden, dass die Datensicherheit gewährleistet sei. «Die Behörden haben die Pflicht, dies auch in einem angemessenen Rahmen zu überprüfen, etwa mit Sicherheitsaudits.» Der Grund liege darin, dass man sich nicht der Verantwortung für den Datenschutz entziehen könne, wenn Dienste ausgelagert würden.
«Ich würde erwarten, auch als Steuerzahler, dass die Verwaltung in einer solchen Zeitspanne mit solchen sensiblen Daten regelmässig verschiedene Sicherheitsüberprüfungen bei Drittfirmen vornimmt», sagt Chris Eckert, ehemaliger Kommissariatsleiter der Bundeskriminalpolizei und Cybercrime-Spezialist. Das sei auch branchenüblicher Standard. Denn Sicherheit sei nichts, was man einmal kaufen könne und dann bis ans Ende des Lebens geregelt sei, sagt Eckert. «Die Sicherheit im Umgang mit heiklen Informationen und sensitiven Daten muss regelmässig überprüft und angepasst werden, zum Beispiel in Form von unabhängigen Audits. Im vorliegenden Fall ist das aber offenbar sträflich vernachlässigt worden.»
Das Fedpol wie auch die Zollverwaltung weisen die Vorwürfe zurück. «Ob und inwiefern das Datenschutzgesetz verletzt wurde und alternativ gewählte Massnahmen zur Gewährleistung der Datensicherheit ausreichend waren, ist Gegenstand der laufenden Untersuchungen.»
Fehler gefunden?Jetzt melden.
