Im Frühjahr 2023 wurden bei der Xplain AG, einer Herstellerin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff grosse Datenmengen gestohlen und im Darknet veröffentlicht. Davon betroffen waren auch produktive Daten der Bundesverwaltung, darunter vertrauliche Informationen und besonders schützenswerte Personendaten. Seit Bekanntwerden dieses Datenabflusses hat der Bundesrat zahlreiche Massnahmen ergriffen oder in Auftrag gegeben, um den Vorfall aufzuarbeiten und Lehren daraus zu ziehen.
Der Bundesrat hatte eine Administrativuntersuchung angeordnet, um zu erfahren, welche Umstände auf Seiten der Bundesverwaltung dazu geführt haben, dass die Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam. Die Administrativuntersuchung, die von der Kanzlei OBERSON ABELS SA durchgeführt wurde, ist nun mit deren Untersuchungsbericht abgeschlossen. Aus diesem geht hervor, dass in den letzten Jahren in wenigen Fällen aktiv produktive Daten des Bundes an die IT-Umgebung der Xplain AG übermittelt wurden. Dies geschah in Test- und Integrationsphasen einer Software oder im Rahmen von Wartungs- oder Supportdienstleistungen sowohl durch Mitarbeitende der Xplain AG, welche über ein E-Mail-Konto des Bundes verfügten, als auch durch Mitarbeitende des Bundes. Zudem führte eine in einigen Xplain-Anwendungen enthaltene und inzwischen deaktivierte Support-Funktion zu grossen Mengen von Datentransfers von der IT-Umgebung des Bundes in die IT-Umgebung der Xplain AG. Aus Sicht des Untersuchungsorgans haben die betroffenen Bundesstellen ihre Pflichten, ihren Lieferanten sorgfältig auszuwählen sowie ihn angemessen zu instruieren und zu überwachen ungenügend wahrgenommen. Diesen Pflichten kamen die Bundesstellen unter dem Aspekt des Datenschutzes nicht und aus Sicht der Informationssicherheit nur teilweise nach.
Mit der Inkraftsetzung der Informationssicherheitsgesetzgebung (ISG) per 1. Januar 2024 wurden bereits viele Massnahmen eingeleitet, welche die Sicherheit systematisch und nachhaltig verbessern. Von den Verwaltungseinheiten wird unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und in Betrieb nehmen. Mit dem ISMS kann die Geschäftsleitung sämtliche Sicherheitsprozesse, wie Inventarisierung der Informationen und Informatikmittel, Risikobeurteilungen, Sicherheit bei der Zusammenarbeit mit Dritten, Ausbildung, Vorfallmanagement oder Planung von Audits, führen.
Massnahmenpaket zur Vermeidung von Datenabflüssen
Weiter hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Das Massnahmenpaket fokussiert sich auf drei Bereiche:
Erstens wird das Sicherheitsmanagement gestärkt, indem unter anderem bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
Zweitens wird bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet.
Drittens wird bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt.
Um die Datensicherheit des Bundes weiter zu verbessern und die Lehren aus dem Vorfall zu ziehen, hat der Bundesrat das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) beauftragt, den IKT-Grundschutz des Bundes bis Ende 2024 zu überprüfen und allfällige Anpassungen vorzuschlagen. Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Diese Massnahmen ergänzen die unmittelbar nach dem Vorfall von den betroffenen Verwaltungseinheiten und im Vertragsmanagement ergriffenen Sofortmassnahmen – z.B. bezüglich Zusammenarbeit mit der Xplain AG, Sensibilisierung von IT-Lieferanten und Überprüfung der Verträge mit diesen – sowie die gestützt auf das neue ISG eingeleiteten Massnahmen.
Weitere Arbeiten in den ordentlichen Strukturen und Auflösung des Krisenstabes
Nach dem Abschluss der Administrativuntersuchung und dem Beschluss des Bundesrats zu den verschiedenen Massnahmen können die weiteren Arbeiten in den ordentlichen Strukturen wahrgenommen werden. Deshalb hat der Bundesrat den politisch-strategischen Krisenstab "Datenabfluss" aufgelöst, der die Arbeiten im Zusammenhang mit dem Datenabfluss bei der Xplain AG seit Juni 2023 koordiniert hat.
Weitere unabhängige Untersuchungen und Strafverfahren
Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) als unabhängige Aufsichtsbehörde gestützt auf das Bundesgesetz über den Datenschutz (DSG) ebenfalls eine Untersuchung zum Datenabfluss bei der Xplain AG durch, deren Schlussbericht auch am 1. Mai 2024 publiziert wird. Die beiden Untersuchungen wurden voneinander unabhängig durchgeführt.
Im Zusammenhang mit dem Cyberangriff gegen die Xplain AG führt die Bundesanwaltschaft (BA) zwei Strafverfahren. Für Auskünfte zu diesen Strafverfahren ist die BA zuständig.
Das EFD widmet sich einer Vielzahl von Aufgaben. Dazu gehören das Bundesbudget, Finanz-, Währungs- und Steuerfragen aus dem nationalen und internationalen Bereich, die Zoll- und Warenkontrolle und die Umsetzung der Alkoholgesetzgebung.
Von der Informatik über das Personalwesen bis hin zur Infrastruktur und Logistik erbringt das EFD darüber hinaus Dienstleistungen für die ganze Bundesverwaltung.
Die Pressemitteilung Abschluss der Administrativuntersuchung zum Hackerangriff auf die Xplain AG: Bundesrat beschliesst Massnahmen wurde publiziert von EFD am 01.05.2024 (Erster Mai). Die Meldung Abschluss der Administrativuntersuchung zum Hackerangriff auf die Xplain AG: Bundesrat beschliesst Massnahmen hat die ID News-HLP-16-1817421.
Eidgenössisches Finanzdepartement EFD (Firmenporträt) | |
Artikel 'Abschluss der Administrativuntersuchung zum ...' auf Swiss-Press.com |
Vierbeinige Lebensbegleiter aus dem Tierheim
VIER PFOTEN - Stiftung für Tierschutz, 04.10.2024 Fachhochschule Nordwestschweiz, 04.10.2024Die Lage auf dem Arbeitsmarkt im September 2024
Staatssekretariat für Wirtschaft SECO, 04.10.2024
16:22 Uhr
Krisengipfel in Basel: Verliert Meister YB auch beim FCB? »
15:31 Uhr
Was Milliarden Vögel in den Süden treibt »
22:12 Uhr
Streit um Arbeitsmarkt: Schweizer Löhne entwickelten sich besser, ... »
1664 Original Lager Bier 24x50cl
CHF 21.90 statt 43.80
Coop
2 go Energy Drink Sugarfree 6x25cl
CHF 6.00
Coop
2Go Energy Drink 6x25cl
CHF 6.00
Coop
À Table! Bratpfanne Ceramic 20cm
CHF 29.95
Coop
À Table! Bratpfanne Ceramic 24cm
CHF 34.95
Coop
À Table! Bratpfanne Classic 20cm
CHF 17.95
Coop
Aktueller Jackpot: CHF 1'034'230