Vom Cyberangriff auf Xplain im Mai war auch der Kanton Aargau betroffen. Die Ransomware-Bande Play erbeutete Daten des Departements Volkswirtschaft und Inneres (DVI). Diese waren im Rahmen von Softwareentwicklungsprojekten mit Xplain ausgetauscht worden und auf der Infrastruktur der Interlakner Firma gespeichert, teilt das Departement mit.

Xplain entwickelt seit 10 Jahren verschiedene Anwendungen für das DVI. "Die Applikationen JustThis für das Amt für Migration und Integration (MIKA) und Polaris für die Kantonspolizei sind produktiv im Einsatz und werden vom DVI auf der kantonalen IT-Infrastruktur betrieben", heisst es vom Kanton.

Insgesamt veröffentlichte die Hackergruppe Play rund 342 Gigabyte an Daten im Darknet. Davon betreffen laut Mitteilung 9,5% (32 GB) das DVI. "Bei der Analyse der publizierten Daten wurden auch sensible Daten gefunden, die einen erhöhten Schutzbedarf aufweisen", erklärt das DVI.

Bei JustThis seien dies einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide. Bei Polaris handle es sich um Fehleraufzeichnungen, Musterberichte als Grundlage für Softwareentwicklung sowie Screenshots früherer und aktueller Systeme, die operative und unvollständig anonymisierte Daten beinhalten würden.

Das DVI gibt eigene Fehler zu. Die vom Kanton eingesetzte Task Force habe festgestellt, "dass einige der für den Wissensaustausch benötigten Daten auf der Infrastruktur der Verwaltung hätten belassen und Daten bei der Lieferantin auch früher wieder hätten gelöscht werden müssen".

Um die Risiken zu minimieren, habe das DVI seit dem Bekanntwerden des Angriffs verschiedene Massnahmen zur Absicherung und Überwachung der IT-Infrastruktur sowie verschiedene organisatorische Massnahmen umgesetzt und Quellcode-Analysen durchgeführt. Die Verträge mit den Lieferanten würden bezüglich Informationssicherheit, Datenschutz und Datenaustausch überprüft und bei Bedarf angepasst. "Zudem wurden verstärkte Kontrollen betreffend Löschung von Daten eingeführt."

Nach der detaillierten Analyse der veröffentlichten Daten habe das DVI die Ergebnisse mit der Beauftragten für Öffentlichkeit und Datenschutz (ÖDB) besprochen. "Insgesamt mussten gemäss gemeinsamer Einschätzung 23 Personen direkt über die Datenschutzverletzungen informiert werden. Die entsprechende Information erfolgte Anfang Oktober 2023", so das Aargauer Departement.

"Wir haben aus dem Vorfall gelernt", erklärt Andreas Bamert-Rizzo, Generalsekretär des DVI. Es gehe jetzt darum, die notwendigen Massnahmen zu ergreifen, um möglichst gut gegen einen Cyberangriff geschützt zu sein. "Dabei muss auch die Informationssicherheit bei externen Lieferanten besser beachtet werden."