Bund führte bei Xplain nie Audits durch

18. September 2023 um 09:13
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

15 Jahre lang gab es bei der Firma keine Sicherheitsaudits, zeigt ein Bericht. Experten kritisieren die Untätigkeit des Bundes.

Bei dem Cyberangriff auf die Interlakner Firma Xplain wurden auch hochsensible Daten des Bundes entwendet, darunter vom Fedpol und der Zollverwaltung. Bis zu dem Vorfall hatten diese als Kunden aber nie Sicherheitsaudits bei Xplain durchgeführt. Dies zeigt eine Recherche der Tamedia-Zeitungen, die gestützt auf das Öffentlichkeitsgesetz Einsicht in solche Audits aus den letzten 15 Jahren verlangten.
Nach mehrfacher Fristerstreckung hätten die Behörden jetzt "einsilbig" erklärt: Es wurden "keine Audits" bei Xplain vorgenommen, weder vom Fedpol noch von der Zollverwaltung, schreibt der 'Tages-Anzeiger'. "Man hat also in 15 Jahren nichts unternommen, um die Sicherheit einer IT-Dienstleisterin in einem derart sensiblen Bereich zu überprüfen."

"Das ist nicht zu entschuldigen"

Eigentlich müsste sich der Bund gemäss eidgenössischem Datenschutzgesetz vergewissern, dass Xplain in der Lage ist, die Datensicherheit zu gewährleisten. Erst nach einem Sicherheitsaudit darf er sensible Daten überhaupt für die Bearbeitung teilen. Doch das passierte nicht.
"Aus meiner Sicht ist das nicht zu entschuldigen", sagt Anwalt und Datenschutzexperte Martin Steiger dem 'Tages-Anzeiger'. "Es ist erschreckend, aber ich bin aufgrund der Vorgeschichte nicht überrascht." Man dürfe sich nicht allein auf allfällige vertragliche Zusicherungen verlassen, sondern müsse die Möglichkeit für Audits haben. Bei sensiblen Daten wie vom Fedpol oder der Zollverwaltung seien Audits sogar zwingend, verlangt Steiger.

Behörden weisen Vorwürfe zurück

Auch weitere Experten äussern Kritik. Ueli Buri, Präsident der Konferenz der Schweizer Datenschutzbeauftragten, sagt, die Auslagerung von Daten an Dritte sei zwar erlaubt, es müsse aber sichergestellt werden, dass die Datensicherheit gewährleistet sei. "Die Behörden haben die Pflicht, dies auch in einem angemessenen Rahmen zu überprüfen, etwa mit Sicherheitsaudits."
Das Fedpol wie auch die Zollverwaltung weisen die Vorwürfe gegenüber den Tamedia-Zeitungen zurück. "Ob und inwiefern das Datenschutzgesetz verletzt wurde und alternativ gewählte Massnahmen zur Gewährleistung der Datensicherheit ausreichend waren, ist Gegenstand der laufenden Untersuchungen."

Per Brief will der Bund inzwischen mehr erfahren

Im Nachgang zum Xplain-Hack hat der Bund inzwischen mit 2 Briefen an seine IT-Dienstleister reagiert, wie wir im Juli exklusiv berichtet haben. In seinem Brief listete das Bundesamt für Bauten und Logistik (BBL) 5 Punkte auf, die Unternehmen gewährleisten müssen. Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot der Nutzung von unverschlüsselten Passwörtern und der Speicherung nicht anonymisierter Produktivdaten des Bundes.
Das Fedpol verlangte in seinem Brief an IT-Dienstleister präzise Auskünfte zur Cybersicherheit und zum Umgang mit Daten. "Im Sinne einer proaktiven und präventiven Massnahme hat sich das Fedpol entschieden, bei den bedeutsamsten externen Leistungserbringern eine Bestätigung zum IT-Grundschutz einzuholen", hiess es im Brief.
Das Fedpol will wissen, ob produktive Daten regelmässig gelöscht werden, nachdem ein Supportfall abgeschlossen wurde und ob davon Löschprotokolle erstellt werden. Weiter müssen die Dienstleister angeben, ob sie ihre Informationen datenschutzkonform aufbewahren und ob sichergestellt ist, dass Testdatenbanken in keinem Falle produktive Daten enthalten. Damit werden genau diese Punkte angesprochen, die ein Sicherheitsaudit bei Xplain hätte klären können.

Loading

Mehr zum Thema

image

Hacker verkaufen Daten von Temenos Quantum Fabric

In einem Hackerforum werden Daten von Temenos Quantum Fabric angeboten. Das Unternehmen sagt, es untersuche einen Cybersicherheitsvorfall.

publiziert am 4.11.2024
image

Kassen kranken offenbar an teurer Informatik

Die Prämien der Krankenkassen steigen wieder einmal an. Experten haben auch die hohen Informatikkosten als eine Ursache ausgemacht.

publiziert am 4.11.2024
image

SBB verlängern Wartungsvertrag für Datennetz

Das Datennetz der SBB soll noch weitere fünf Jahre in Betrieb bleiben. Einen entsprechenden Wartungsvertrag über 77 Millionen Franken hat Nokia zugeschlagen bekommen.

publiziert am 4.11.2024
image

Innosuisse fördert Latticeflow mit 3 Millionen Dollar

Das KI-Startup hat von der Schweizer Innovationsagentur Geld erhalten, um die Entwicklung der KI-Governance-Plattform weiter voranzutreiben.

publiziert am 4.11.2024