Bund führte bei Xplain nie Audits durch

18. September 2023 um 09:13
image
Illustration: Erstellt durch inside-it.ch mit Midjourney

15 Jahre lang gab es bei der Firma keine Sicherheitsaudits, zeigt ein Bericht. Experten kritisieren die Untätigkeit des Bundes.

Bei dem Cyberangriff auf die Interlakner Firma Xplain wurden auch hochsensible Daten des Bundes entwendet, darunter vom Fedpol und der Zollverwaltung. Bis zu dem Vorfall hatten diese als Kunden aber nie Sicherheitsaudits bei Xplain durchgeführt. Dies zeigt eine Recherche der Tamedia-Zeitungen, die gestützt auf das Öffentlichkeitsgesetz Einsicht in solche Audits aus den letzten 15 Jahren verlangten.
Nach mehrfacher Fristerstreckung hätten die Behörden jetzt "einsilbig" erklärt: Es wurden "keine Audits" bei Xplain vorgenommen, weder vom Fedpol noch von der Zollverwaltung, schreibt der 'Tages-Anzeiger'. "Man hat also in 15 Jahren nichts unternommen, um die Sicherheit einer IT-Dienstleisterin in einem derart sensiblen Bereich zu überprüfen."

"Das ist nicht zu entschuldigen"

Eigentlich müsste sich der Bund gemäss eidgenössischem Datenschutzgesetz vergewissern, dass Xplain in der Lage ist, die Datensicherheit zu gewährleisten. Erst nach einem Sicherheitsaudit darf er sensible Daten überhaupt für die Bearbeitung teilen. Doch das passierte nicht.
"Aus meiner Sicht ist das nicht zu entschuldigen", sagt Anwalt und Datenschutzexperte Martin Steiger dem 'Tages-Anzeiger'. "Es ist erschreckend, aber ich bin aufgrund der Vorgeschichte nicht überrascht." Man dürfe sich nicht allein auf allfällige vertragliche Zusicherungen verlassen, sondern müsse die Möglichkeit für Audits haben. Bei sensiblen Daten wie vom Fedpol oder der Zollverwaltung seien Audits sogar zwingend, verlangt Steiger.

Behörden weisen Vorwürfe zurück

Auch weitere Experten äussern Kritik. Ueli Buri, Präsident der Konferenz der Schweizer Datenschutzbeauftragten, sagt, die Auslagerung von Daten an Dritte sei zwar erlaubt, es müsse aber sichergestellt werden, dass die Datensicherheit gewährleistet sei. "Die Behörden haben die Pflicht, dies auch in einem angemessenen Rahmen zu überprüfen, etwa mit Sicherheitsaudits."
Das Fedpol wie auch die Zollverwaltung weisen die Vorwürfe gegenüber den Tamedia-Zeitungen zurück. "Ob und inwiefern das Datenschutzgesetz verletzt wurde und alternativ gewählte Massnahmen zur Gewährleistung der Datensicherheit ausreichend waren, ist Gegenstand der laufenden Untersuchungen."

Per Brief will der Bund inzwischen mehr erfahren

Im Nachgang zum Xplain-Hack hat der Bund inzwischen mit 2 Briefen an seine IT-Dienstleister reagiert, wie wir im Juli exklusiv berichtet haben. In seinem Brief listete das Bundesamt für Bauten und Logistik (BBL) 5 Punkte auf, die Unternehmen gewährleisten müssen. Dazu zählen die Pflicht zur Multifaktor-Authentisierung, das Verbot der Nutzung von unverschlüsselten Passwörtern und der Speicherung nicht anonymisierter Produktivdaten des Bundes.
Das Fedpol verlangte in seinem Brief an IT-Dienstleister präzise Auskünfte zur Cybersicherheit und zum Umgang mit Daten. "Im Sinne einer proaktiven und präventiven Massnahme hat sich das Fedpol entschieden, bei den bedeutsamsten externen Leistungserbringern eine Bestätigung zum IT-Grundschutz einzuholen", hiess es im Brief.
Das Fedpol will wissen, ob produktive Daten regelmässig gelöscht werden, nachdem ein Supportfall abgeschlossen wurde und ob davon Löschprotokolle erstellt werden. Weiter müssen die Dienstleister angeben, ob sie ihre Informationen datenschutzkonform aufbewahren und ob sichergestellt ist, dass Testdatenbanken in keinem Falle produktive Daten enthalten. Damit werden genau diese Punkte angesprochen, die ein Sicherheitsaudit bei Xplain hätte klären können.

Loading

Mehr erfahren

Mehr zum Thema

image

Noch mehr Daten von Dell gestohlen

Dell ist von einem grossen Data Breach betroffen. Jetzt behauptet der verantwortliche Hacker, auch noch ein anderes System geknackt zu haben.

publiziert am 15.5.2024
image

ETH-Forschende tricksen Easyride der SBB aus

Den Standortdaten eines Smartphones sollten nicht vertraut werden, bilanzieren ETH-Forschende nach einem Experiment, das es ihnen ermöglichte, gratis Zug zu fahren.

publiziert am 15.5.2024
image

Adnovum-Umsatz stagniert

Das Schweizer Software-Unternehmen hat trotzdem wieder zusätzliches Personal eingestellt und meldet eine hohe Nachfrage im Security-Bereich.

publiziert am 15.5.2024
image

Datenleck bei BFH betrifft 9600 Kursteilnehmende

Die Berner Fachhochschule (BFH) hat eigenen Angaben zufolge sofort reagiert und die Betroffenen informiert.

publiziert am 14.5.2024