Bei dem Cyberangriff auf die Interlakner Firma Xplain wurden auch hochsensible Daten des Bundes entwendet, darunter vom Fedpol und der Zollverwaltung. Bis zu dem Vorfall hatten diese als Kunden aber nie Sicherheitsaudits bei Xplain durchgeführt. Dies zeigt eine Recherche der Tamedia-Zeitungen, die gestützt auf das Öffentlichkeitsgesetz Einsicht in solche Audits aus den letzten 15 Jahren verlangten.
Nach mehrfacher Fristerstreckung hätten die Behörden jetzt "einsilbig" erklärt: Es wurden "keine Audits" bei Xplain vorgenommen, weder vom Fedpol noch von der Zollverwaltung, schreibt der
'Tages-Anzeiger'. "Man hat also in 15 Jahren nichts unternommen, um die Sicherheit einer IT-Dienstleisterin in einem derart sensiblen Bereich zu überprüfen."
"Das ist nicht zu entschuldigen"
Eigentlich müsste sich der Bund gemäss eidgenössischem Datenschutzgesetz vergewissern, dass Xplain in der Lage ist, die Datensicherheit zu gewährleisten. Erst nach einem Sicherheitsaudit darf er sensible Daten überhaupt für die Bearbeitung teilen. Doch das passierte nicht.
"Aus meiner Sicht ist das nicht zu entschuldigen", sagt Anwalt und Datenschutzexperte Martin Steiger dem 'Tages-Anzeiger'. "Es ist erschreckend, aber ich bin aufgrund der Vorgeschichte nicht überrascht." Man dürfe sich nicht allein auf allfällige vertragliche Zusicherungen verlassen, sondern müsse die Möglichkeit für Audits haben. Bei sensiblen Daten wie vom Fedpol oder der Zollverwaltung seien Audits sogar zwingend, verlangt Steiger.
Behörden weisen Vorwürfe zurück
Auch weitere Experten äussern Kritik. Ueli Buri, Präsident der Konferenz der Schweizer Datenschutzbeauftragten, sagt, die Auslagerung von Daten an Dritte sei zwar erlaubt, es müsse aber sichergestellt werden, dass die Datensicherheit gewährleistet sei. "Die Behörden haben die Pflicht, dies auch in einem angemessenen Rahmen zu überprüfen, etwa mit Sicherheitsaudits."
Das Fedpol wie auch die Zollverwaltung weisen die Vorwürfe gegenüber den Tamedia-Zeitungen zurück. "Ob und inwiefern das Datenschutzgesetz verletzt wurde und alternativ gewählte Massnahmen zur Gewährleistung der Datensicherheit ausreichend waren, ist Gegenstand der laufenden Untersuchungen."
Per Brief will der Bund inzwischen mehr erfahren
Im Nachgang zum Xplain-Hack hat der Bund inzwischen mit 2 Briefen an seine IT-Dienstleister reagiert, wie wir im Juli exklusiv berichtet haben.
In seinem Brief listete das Bundesamt für Bauten und Logistik (BBL) 5 Punkte auf, die Unternehmen gewährleisten müssen. Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot der Nutzung von unverschlüsselten Passwörtern und der Speicherung nicht anonymisierter Produktivdaten des Bundes.
Das Fedpol verlangte in seinem Brief an IT-Dienstleister
präzise Auskünfte zur Cybersicherheit und zum Umgang mit Daten. "Im Sinne einer proaktiven und präventiven Massnahme hat sich das Fedpol entschieden, bei den bedeutsamsten externen Leistungserbringern eine Bestätigung zum IT-Grundschutz einzuholen", hiess es im Brief.
Das Fedpol will wissen, ob produktive Daten regelmässig gelöscht werden, nachdem ein Supportfall abgeschlossen wurde und ob davon Löschprotokolle erstellt werden. Weiter müssen die Dienstleister angeben, ob sie ihre Informationen datenschutzkonform aufbewahren und ob sichergestellt ist, dass Testdatenbanken in keinem Falle produktive Daten enthalten. Damit werden genau diese Punkte angesprochen, die ein Sicherheitsaudit bei Xplain hätte klären können.