Im Fall des Cyberangriffs auf den Behörden-Security-Anbieter Xplain haben sowohl der Bund als auch die Berner IT-Firma Fehler begangen. Das schreibt Adrian Lobsiger, der Eidgenössische Datenschutzbeauftragte (Edöb), in einer Mitteilung zu drei Untersuchungsberichten, die er am 1. Mai veröffentlicht hat.
Demnach hätten weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzsicherheit (BAZG) mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten auf den Servern von Xplain gespeichert werden könnten.
Die Bundesstellen hätten ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Interlakner Firma übermittelt und dort gespeichert werden dürften. Ohne diese genauen Anforderungen sei letztlich "eine Sammlung von unstrukturierten Daten" entstanden. Die Menge der an Xplain übermittelten Personendaten hält der Edöb zudem für unverhältnismässig.
Datenschutz und Verhältnismässigkeit ignoriert
Xplain hatte zwar keine Zugriffsmöglichkeiten auf die Datenbanken der beiden Bundesämter. Die Firma hätte gemäss dem Edöb aber wissen müssen, dass die von ihr programmierten Supportfunktionen auch Personendaten enthalten konnten. "Für diese Bearbeitungen hat Xplain als Auftragsbearbeiterin keine angemessenen Massnahmen zur Gewährleistung der Datensicherheit getroffen", hält der Datenschützer fest.
Auch habe Xplain die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt. Zudem seien trotz vereinzelt vorhandener vertraglicher Löschpflichten Personendaten vertragswidrig aufbewahrt worden, heisst es im Bericht.
Der Angriff auf Xplain
Der Cyberangriff auf den IT-Dienstleister Xplain ist
am 23. Mai 2023 bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters mit Ransomware angegriffen und dort Daten der Bundesverwaltung verschlüsselt und gestohlen. Weil sie kein Lösegeld erhielten,
veröffentlichten sie die Daten im Juni im Darknet.
Nicht nur der Datenschutzbeauftrage, sondern auch der Bundesrat reagierte auf das Datenleck. Er setzte
einen Krisenstab ein, der sicherstellen sollte, dass der Datenabfluss nicht weitergeht. Zudem erteilte er der Genfer Anwaltskanzlei Oberson Abels den
Auftrag, eine entsprechende Administrativuntersuchung durchzuführen.
Wie die Landesregierung mitteilte, sind auch die Genfer Anwälte zum Schluss gekommen, dass die betroffenen Bundesstellen Fehler gemacht haben. Lieferanten seien nicht sorgfältig genug ausgewählt, nicht angemessen instruiert und überwacht worden, heisst es im Bericht der Kanzlei.
Bundesrat beschliesst Massnahmen
Anhand des externen Untersuchungsberichts hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Erstens will er das Sicherheitsmanagement des Bundes stärken, indem die Verwaltung bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellen muss.
Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung von Angestellten erarbeiten. Drittens will der Bundesrat eine Übersicht über die vorhandenen Kommunikationsmittel erstellen.
Die Cybersicherheit beim Bund erhöhe sich auch dank des Anfang Jahr in Kraft getretenen Informationssicherheitsgesetzes (ISG), schreibt der Bundesrat. Darin ist etwa festgehalten, dass die Verwaltung über ein Information Security Management System verfügen muss. Edöb Adrian Lobsiger hat den beiden Bundesämtern und Xplain entsprechende Empfehlungen zugeschickt.
Das Unternehmen selbst teilte mit, dass die meisten Empfehlungen von Lobsiger bereits umgesetzt respektive im vergangenen Jahr im Zug des Neubaus der IT-Infrastruktur angepasst worden seien. Im Fall des Cyberangriffs auf Xplain führt die Bundesanwaltschaft zudem
zwei Strafverfahren.
Massnahmen des Bundesrates
Um solche Datenabflüsse in Zukunft zu vermeiden, hat der Bundesrat verschiedene Massnahmen vorgeschlagen. Konkret sind folgende vorgesehen:
- Neues Gesetz: Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.
- Mehr Kontrollen: Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
- Bessere Ausbildung: Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.
- Verstärkte Transparenz: Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.
- IT-Sicherheit überprüfen: Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.
- Koordination verbessern: Das Bundesamt für Cybersicherheit (Bacs) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Empfehlungen des Datenschützers
Auch der Edöb gibt in seinen drei Schlussberichten verschiedene Empfehlungen ab, darunter:
- Xplain soll technische und organisatorische Massnahmen zur Datensicherheit treffen, die angemessen seien in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, das Bearbeiten von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der Inneren Sicherheit.
- Xplain soll ein ISMS aufbauen, ein Risikomanagement etablieren, Mitarbeitende sensibilisieren und regelmässige Audits durchführen. Zudem soll ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt werden.
- Das Fedpol und das BAZG sollen prüfen, unter welchen Voraussetzungen es erforderlich ist, dass Personendaten im Rahmen von Supportprozessen die IKT-Systeme des Bundes verlassen und bei externen Anbietern gespeichert werden müssen.
- Das Fedpol und das BAZG sollen ihren Mitarbeitenden kontinuierlich auf die datenschutzrechtlichen Risiken sensibilisieren und die Verträge im Bereich Datensicherheit präzisieren.
Xplain, das Bundesamt für Polizei und das Bundesamt für Zoll und Grenzsicherheit haben jetzt 30 Tage Zeit, um dem Edöb mitzuteilen, ob sie die Empfehlungen annehmen.
Empfehlungen von Oberson Abels
Die Genfer Anwaltskanzlei Oberson Abels untersuchte den Datenabfluss im Auftrag des Bundesrats. Im Abschlussbericht der Rechtsanwälte finden sich ebenfalls weitere Empfehlungen, darunter beispielsweise:
- Dem Staatssekretariat für Sicherheitspolitik (Sepos) soll die Verantwortung für die Steuerung und Überwachung der Informationssicherheit des Bundes übertragen werden, die derzeit bei den Departementen liegt.
- Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informationssicherheit und des Datenschutzes zur Verfügung gestellt werden.
- Die Informationssicherheits- und Datenschutzkultur soll gestärkt werden. Das Verbot, produktive, also live in Benutzung stehende Daten an externe Leistungserbringer zu transferieren, soll klar und deutlich kommuniziert werden.
- Der Zugriff externer Leistungserbringer auf produktive Daten, sei es vor Ort oder aus der Ferne, soll auf ein Minimum reduziert, streng geregelt und kontrolliert werden.
- Die Löschung produktiver Daten, die in der Vergangenheit aktuellen oder früheren externen Leistungserbringern des Bundes zur Verfügung gestellt wurden, soll systematisch verlangt und anschliessend überprüft werden.
Wie der Schaden entstand
Im Zuge der Untersuchungen wurde auch überprüft, wieso die Hacker bei Xplain Daten des Bundes entwenden konnten. Grund dafür sei gewesen, dass die Firma für den Bund Software testete und integrierte, oder weil im Rahmen von Wartungs- oder Supportdienstleistungen Daten flossen. Die mit der Administrativuntersuchung betraute Genfer Kanzlei fasst die Situation wie folgt zusammen:
Erstens hätten Mitarbeiter von Xplain vom E-Mail-Konto des Bundes, das ihnen im Rahmen der Zusammenarbeit zur Verfügung gestellt wurde, an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet.
Diese produktiven Daten erhielten sie laut der Untersuchung von Angestellten des Bundes. Zumindest in einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach selbst Daten aus einem Produktionssystem des Fedpols extrahiert.
Zweitens hätten Bundesangestellte, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, an Xplain weitergeleitet, oder sie auf einem gemeinsam genutzten Server zur Verfügung gestellt. Dies, ohne die Produktivdaten zuvor zu entfernen, sie mit einem Pseudonym zu ergänzen oder zu schwärzen.
Drittens hätten Bundesangestellte im Rahmen von IT-Entwicklungs-, Text- oder Migrationsarbeiten Produktivdaten an Xplain übermittelt.
9000 Objekte betroffen
Wie das Bundesamt für Cybersicherheit bereits
im März dieses Jahres mitteilte, stahl die Ransomware-Bande Play bei ihrem Angriff über 9000 Datenobjekte der Bundesverwaltung. Im Darkweb veröffentlichte die Bande ein Paket mit 342 Gigabyte Daten. Dabei galt etwa die Hälfte dieser Daten als sensibel.
Die 9000 Objekte umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter. "Dabei war es nicht vorgesehen, dass wir produktive Daten bei uns haben", sagte Xplain-CEO Andreas Löwinger im Februar
im Interview mit inside-it.ch.