Bund zieht Lehren aus dem Xplain-Vorfall

2. Mai 2025 um 15:07
image
Foto: Andreas Fischinger / Unsplash

Die Bundesverwaltung zieht ihre Lehren aus dem Datenabfluss beim IT-Dienstleister Xplain. Demnach muss der Datenschutz schon bei der Ausschreibung eines Projekts berücksichtigt werden.

Fast zwei Jahre nach dem Hackerangriff auf den IT-Dienstleister Xplain hat das Staatssekretariat für Sicherheitspolitik (Sepos) seinen Bericht zur Vermeidung von Datenabflüssen bei Lieferanten vorgelegt. Es war vom Bundesrat beauftragt worden, eine Auslegeordnung zur Sicherheit bei Lieferketten zu erstellen.
Geht es nach dem Sepos, beginnt die Abwägung der Informationssicherheit bereits bei der Bedarfserhebung. Wenn eine Behörde eine Dienstleistung oder ein Produkt benötigt, müsse sie definieren, welche Sicherheitsanforderungen gestellt werden. Die Beschaffungsstelle habe anschliessend dafür zu sorgen, dass die Vorgaben in den Ausschreibungsunterlagen korrekt abgebildet werden. Das Sepos mahnt, dass eine enge Absprache zwischen Bedarfs- und Beschaffungsstelle erforderlich sei.

Verantwortung kann nicht abgewälzt werden

Das Sepos mahnt weiter, dass sich die Prüfung der Informationssicherheit nicht ausschliesslich auf den Zuschlagsempfänger beschränken dürfe. Eine Dienstleistung oder ein Produkt setze sich häufig aus langen und weitverzweigten Lieferketten zusammen, die auch Komponenten aus dem Ausland enthalten können. Auch sie müssten den Sicherheitsvorgaben genügen, heisst es in der Auslegeordnung.
Den Bedarfsstellen legt das Sepos die Kommunikation mit der Fachstelle des Bundes für Informationssicherheit nahe. Die Behörde biete Beratung und könne auch Projekte des Bundes rechtlich oder technisch beurteilen.
Der Angriff auf Xplain
Der Cyberangriff auf den IT-Dienstleister Xplain ist am 23. Mai 2023 bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters mit Ransomware angegriffen und dort Daten der Bundesverwaltung verschlüsselt und gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Juni im Darknet.
Unter anderem landeten Personendaten der Militärpolizei, Informationen über Hunderte von laufenden Strafverfahren sowie Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan aufgeführt waren, im Darknet. Auch Daten von kantonalen Verwaltungen flossen ab, so vom Aargauer Departement Volkswirtschaft und Inneres.


Loading

Mehr zum Thema

image

Wettbewerbshüter ermitteln gegen Google

Der Konzern hat in der Schweiz die Vorauswahl der Suchmaschine auf Android-Smartphones eingeschränkt. Die Wettbewerbskommission ermittelt wegen Kartellverdachts.

publiziert am 14.7.2026
image

Kommando Cyber verabschiedet sich von Microsoft

Statt mit M365 sollen die Cyberspezialisten der Armee schon ab Oktober mit Opendesk arbeiten. Grund ist der "US Cloud Act".

publiziert am 13.7.2026
image

Elektronische Siegel für Verwaltungen mit DeepSign

Vertrauen ist die Basis digitaler Verwaltung. Elektronische Siegel bestätigen Dokumente im Namen einer Behörde und sichern deren Echtheit. Mit DeepSign integrieren Schweizer Verwaltungen digitale Siegel sicher in bestehende Prozesse und schaffen die Grundlage für eine moderne, effiziente Verwaltung.

image

EU: Instagram und Facebook gefährden Kinder und Jugendliche

Die Suchtgefahr ist laut der EU Kommission zu hoch. Meta muss nun reagieren.

publiziert am 10.7.2026