Im Fall des Cyberangriffs von Kriminellen auf die Internetfirma Xplain haben sowohl der Bund als auch die Berner IT-Firma Fehler begangen. Das schreibt der Eidgenössische Datenschutzbeauftragte in drei Untersuchungsberichten, die er am Mittwoch veröffentlichte.

Weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzsicherheit (BAZG) hätten mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten auf dem Server von Xplain gespeichert werden dürften. Das steht in der Mitteilung des Datenschutz- und Öffentlichkeitsbeauftragten (Edöb).

Die Bundesstellen hätten ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Berner Firma übermittelt und von Xplain gespeichert werden dürften. Ohne diese genauen Anforderungen sei letztlich auf dem Server von Xplain «eine Sammlung von unstrukturierten Daten» entstanden. Die Menge an übermittelten Personendaten hält der Edöb zudem für unverhältnismässig.

Xplain hatte keine Zugriffsmöglichkeiten auf die Datenbanken der beiden Bundesämter. Die Firma hätte aber für den Edöb wissen müssen, dass die von ihr programmierten Supportfunktionen auch Personendaten enthalten konnten. «Für diese Bearbeitungen hat Xplain als Auftragsbearbeiterin keine angemessenen Massnahmen zur Gewährleistung der Datensicherheit (…) getroffen.»

Auch habe Xplain die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt. Zudem seien trotz vereinzelt vorhandener vertraglicher Löschpflichten Personendaten vertragswidrig aufbewahrt worden.

Auch externer Untersuchungsbericht liegt vor

Der Cyberangriff auf den IT-Dienstleister Xplain war am 23. Mai bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet.

Unter anderem landeten Personendaten der Militärpolizei sowie Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan aufgeführt waren, im Darknet.

Nicht nur der Edöb, sondern auch der Bundesrat reagierte auf das Datenleck. Er setzte einen Krisenstab namens «Datenabfluss» ein, der sicherstellen sollte, dass der Datenabfluss nicht weitergeht. Zudem erteilte er einer Genfer Anwaltskanzlei den Auftrag, bis Ende März eine Administrativuntersuchung durchzuführen.

Wie die Landesregierung am Mittwoch mitteilte, sind auch die Genfer Anwälte zum Schluss gekommen, die betroffenen Bundesstellen hätten Fehler gemacht. Lieferanten seien nicht sorgfältig genug ausgewählt und nicht angemessen instruiert und überwacht worden.

Bundesrat beschliesst Massnahmen

Nach Vorliegen der externen Untersuchung hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Erstens will er das Sicherheitsmanagement des Bundes stärken, indem die Verwaltung bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellen muss.

Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung von Angestellten erarbeiten. Drittels lässt der Bundesrat eine Übersicht über die vorhandenen Kommunikationsmittel erstellen.

Die Cybersicherheit beim Bund erhöhe sich auch dank der Anfang Jahr in Kraft getretenen Informationssicherheitsgesetzgebung (ISG), schreibt der Bundesrat. Edöb Adrian Lobsiger hat den beiden Bundesämtern und Xplain Empfehlungen zugeschickt.

Letztere teilte am Mittwoch mit, die meisten Empfehlungen Lobsigers seien bereits umgesetzt respektive seien im vergangenen Jahr im Zug des Neubaus der IT-Infrastruktur angepasst worden. Im Fall des Cyberangriffs auf Xplain führt die Bundesanwaltschaft zwei Strafverfahren.

Keine Sicherheitsprüfungen vorgenommen

Pikant ist zudem, dass Xplain offenbar nie einer Sicherheitsprüfung unterzogen wurde. Gestützt auf das Öffentlichkeitsgesetz verlangte diese Redaktion damals beim Fedpol und der Zollverwaltung Einsicht in die Audits aus den letzten fünfzehn Jahren, also seit Beginn der Zusammenarbeit mit der Bundesverwaltung. Nach knapp zwei Monaten und nach mehrfacher Fristerstreckung erklärten die Behörden einsilbig: Es wurden «keine Audits» bei Xplain vorgenommen, weder vom Fedpol noch von der Zollverwaltung.

Man hat also in 15 Jahren nichts unternommen, um die Sicherheit einer IT-Dienstleisterin in einem derart sensiblen Bereich zu überprüfen: «Aus meiner Sicht ist das nicht zu entschuldigen», sagt Anwalt und Datenschutzexperte Martin Steiger. «Es ist erschreckend, aber ich bin aufgrund der Vorgeschichte nicht überrascht.»

SDA/step

Fehler gefunden?Jetzt melden.