Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen
Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.
Bundesämter und Xplain akzeptieren Vorgaben des Datenschützers
4. Juni 2024 um 10:16
Ist es erforderlich, dass Personendaten die Infrastruktur des Bundes verlassen? Diese Frage sollen sich Behörden und IT-Dienstleister vermehrt stellen, fordert der Edöb.
Das Bundesamt für Polizei (Fedpol), das Bundesamt für Zoll und Grenzsicherheit (BAZG) sowie der IT-Dienstleister Xplain haben die Datenschutzempfehlungen zum Cyberangriff akzeptiert. Dies teilte der Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) mit.
Bundesverwaltung und Dienstleister müssen Zusammenarbeiten prüfen
Unter anderem müssen Bundesorgane bei der Zusammenarbeit mit privaten Unternehmen prüfen, ob es erforderlich ist, dass Personendaten die geschützte Infrastruktur der Bundesverwaltung verlassen oder dass Private Zugang zu dieser Infrastruktur erlangen, schrieb der Edöb.
Die Bundesverwaltung und deren private Auftragsbearbeiter seien angehalten, ihre Zusammenarbeit in Bezug auf die gewonnenen Erkenntnisse zu überprüfen. Die Aufarbeitung des Ransomware-Vorfalls bei Xplain habe die hohen Risiken und Schadenspotenziale von solchen Datenübertragungen aufgezeigt, hiess es weiter.
Welche Daten an den Dienstleister gingen, wurde nicht festgehalten
Der Edöb hatte die Untersuchung gegen das Fedpol und das BAZG im Juni 2023 eröffnet und vier Wochen später auf Xplain ausgeweitet. In den Anfang Mai publizierten Ergebnissen kam der Datenschützer zum Schluss, dass sowohl der Bund als auch die Berner IT-Firma Fehler begangen haben.
Zum Beispiel hätten die Bundesstellen ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Interlakner Firma übermittelt und dort gespeichert werden dürfen. Ohne diese genauen Anforderungen sei letztlich "eine Sammlung von unstrukturierten Daten" entstanden. Die Menge der an Xplain übermittelten Personendaten hält der Edöb zudem für unverhältnismässig.
Der Angriff auf Xplain
Der Cyberangriff auf den IT-Dienstleister Xplain ist am 23. Mai 2023 bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters mit Ransomware angegriffen und dort Daten der Bundesverwaltung verschlüsselt und gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten die Cyberkriminellen die Daten im Juni im Darknet.
Unter anderem landeten Personendaten der Militärpolizei, Informationen über Hunderte von laufenden Strafverfahren sowie Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan aufgeführt waren, im Darknet. Auch Daten von kantonalen Verwaltungen flossen ab, so vom Aargauer Departement Volkswirtschaft und Inneres.
Unter dem Strich dürfte es nicht erstaunen, dass die beiden Bundesämter und Xplain die Empfehlungen des Edöb akzeptieren. Sein Bericht fiel angesichts des Ausmasses des Cyberangriffs harmlos aus. Wenn sich beide Seiten bereits an heutige gültige Standards gehalten hätten, wäre wohl weit weniger passiert.
(Mit Material von Keystone-sda)
Loading
Report: Deepseek ist anfällig für Manipulationen
Eine Untersuchung von Cisco zeigt, dass beim Modell "Deepseek R1" die Leitplanken einfach umgangen werden können. Das ist aber auch bei anderen der Fall.
Daten von Swissmem-Ausgleichskasse gestohlen
Die Ausgleichskasse des Verbandes der Schweizer Maschinen-, Elektro- und Metallindustrie wurde gehackt. Die Angreifer haben Server und Daten verschlüsselt.
Kanton Zürich sucht Security-Expertise
Ein Expertenpool soll das Amt für Informatik bei der Umsetzung der Informationssicherheitsrichtlinien unterstützen. Es geht um bis zu 7000 Arbeitstage.