Die Xplain-Affäre zieht weitere Kreise. Der Bundesrat hat sich nun genötigt gefühlt, einen politisch-strategischen Krisenstab mit dem ominösen Namen "Datenabfluss" einzusetzen und ihm die Regie bei der Bewältigung des Vorfalls zu übertragen.
Unter der Leitung der Generalsekretärin des Eidgenössischen Finanzdepartements (EFD) sollen in diesem Krisenstab alle Departemente, die Bundeskanzlei sowie eine Vertretung der Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) zusammenarbeiten. Der Stab soll die strategische Lage fortlaufend analysieren und beurteilen, die bundesinternen Arbeiten koordinieren, die Information nach innen und aussen sicherstellen und Grundlagen für weitere Entscheide des Bundesrats erarbeiten.
Zusammengesetzt wurde der politisch-strategische Krisenstab Datenabluss, kurz PSK-D, schon vor rund zwei Wochen. Seither habe er zweimal getagt. Dabei habe er einen Überblick über die zu bewältigenden Aufgaben gewonnen und Vorschläge zum weiteren Vorgehen erarbeitet, teilt der Bundesrat mit. An seiner letzten Sitzung habe er nun das offizielle Mandat für den PSK-D verabschiedet.
Verträge werden unter die Lupe genommen
Der Krisenstab ist nicht die einzige Massnahme, die der Bundesrat beschlossen hat. Insbesondere will er genauer darauf achten, dass IT-Provider des Bundes ihre Security im Griff haben.
Man habe entschieden, so teilt er mit, bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen. Nötigenfalls sollen sie so angepasst werden, dass die Cybersicherheit der Dienstleister verbessert wird und der Bund im Fall eines erfolgreichen Hackerangriffs rascher reagieren kann. Damit und mit der Definition von Anforderungen im Beschaffungsprozess solle sichergestellt werden, dass Lieferanten des Bundes definierte Schutzstandards in Bezug auf Cyberangriffe einhalten müssen.
Administrativuntersuchung des Xplain-Hacks
Ausserdem plant der Bundesrat eine Administrativuntersuchung des Xplain-Vorfalls. Eine unabhängige Stelle solle analysieren, ob, wo und weshalb von Xplain die Sicherheitsvorgaben des Bundes mangelhaft umgesetzt worden sind. Ziel sei, einen ähnlichen Vorfall in Zukunft zu verhindern. Das Mandat für diese Untersuchung werde gegenwärtig vom Eidgenössischen Finanzdepartement zusammen mit dem PSK-D erarbeitet. Wie uns die Pressestelle des EFD erklärte, ist es noch nicht geklärt, ob ein Unternehmen oder eine Behörde die Untersuchung ausführen soll. Dies werde im Mandat festgelegt, das noch in Arbeit ist.
Was bedeutet das für die Zukunft des IT-Dienstleisters? Könnte das Ergebnis dieser Untersuchung verheerend ausfallen? Offensichtlich will der Bundesrat zumindest ein Sicherheitsnetz spannen. Xplain sei für nationale und kantonale Behörden ein zentraler IT-Dienstleister, schreibt er. Der Bundesrat habe deshalb das Eidgenössische Justiz- und Polizeidepartement beauftragt, unter Beizug der KKJPD und des EFD Massnahmen zu prüfen, um die Wartung und Weiterentwicklung der essenziellen Softwarekomponenten von Xplain sicherzustellen.
Die Analyse des von Play veröffentlichten Datenpakets ist derweil weiterhin in Gang. Da es mehrere Millionen Dateien umfasst, werden diese Arbeiten noch einige weitere Wochen oder gar Monate in Anspruch nehmen, so der Bundesrat.
Am 23. Mai wurde bekannt, dass die Ransomware-Bande Play
die IT-Systeme des Schweizer IT-Dienstleister Xplain geknackt und eine grosse Menge an Daten gestohlen hat. Das Unternehmen liefert Fachapplikationen, Software-Entwicklung sowie Support für Sicherheitsbehörden und Verwaltungen. Zu seinen Kunden gehören diverse Kantonspolizeien, die SBB und auch die Bundesverwaltung. Nach einigen Tagen begann die Bande, einzelne Dateien im Darknet zu veröffentlichen. Mitte Juni folgte das wahrscheinlich komplette Datenpaket, in dem sich
auch viele Daten der Bundesverwaltung befinden.