Xplain-Hack: Bundesrat beschliesst Massnahmen

An seiner gestrigen Sitzung hat der Bundesrat Massnahmen beschlossen, mit denen Datenabflüsse bei IT-Lieferanten zukünftig verhindert werden sollen. Dabei stützt sich der Bundesrat auf den nun vorliegenden Untersuchungsbericht zur Administrativuntersuchung. Der Bundesrat hatte im August 2023 eine externe Stelle mit der Aufarbeitung der Ereignisse rund um den Datenabfluss bei der Xplain AG mandatiert.

Rückblende: Im Frühjahr 2023 wurden bei der Xplain AG, einer Herstellerin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff grosse Datenmengen gestohlen und im Darknet veröffentlicht. Davon betroffen waren auch produktive Daten der Bundesverwaltung, darunter vertrauliche Informationen und besonders schützenswerte Personendaten.

Untersuchungsbericht

Daraufhin hatte der Bundesrat eine Administrativuntersuchung angeordnet, um zu erfahren, welche Umstände auf Seiten der Bundesverwaltung dazu geführt haben, dass die Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam. Die Administrativuntersuchung, die von der Kanzlei Oberson Abels durchgeführt wurde, ist nun mit deren Untersuchungsbericht abgeschlossen.

Aus diesem geht hervor, dass in den letzten Jahren in wenigen Fällen aktiv produktive Daten des Bundes an die IT-Umgebung der Xplain AG übermittelt wurden. Dies geschah in Test- und Integrationsphasen einer Software oder im Rahmen von Wartungs- oder Supportdienstleistungen sowohl durch Mitarbeitende der Xplain AG, welche über ein E-Mail-Konto des Bundes verfügten, als auch durch Mitarbeitende des Bundes.

Zudem führte laut Untersuchungsbericht eine in einigen Xplain-Anwendungen enthaltene und inzwischen deaktivierte Support-Funktion zu grossen Mengen von Datentransfers von der IT-Umgebung des Bundes in die IT-Umgebung der Xplain AG. Aus Sicht des Untersuchungsorgans haben die betroffenen Bundesstellen ihre Pflichten, ihren Lieferanten sorgfältig auszuwählen sowie ihn angemessen zu instruieren und zu überwachen ungenügend wahrgenommen. Diesen Pflichten kamen die Bundesstellen unter dem Aspekt des Datenschutzes nicht und aus Sicht der Informationssicherheit nur teilweise nach.

Massnahmenpaket

Mit der Inkraftsetzung der Informationssicherheitsgesetzgebung (ISG) per 1. Januar 2024 wurden Massnahmen eingeleitet, welche die Sicherheit systematisch verbessern sollen. Von den Verwaltungseinheiten wird unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und in Betrieb nehmen. Mit dem ISMS kann die Geschäftsleitung sämtliche Sicherheitsprozesse, wie Inventarisierung der Informationen und Informatikmittel, Risikobeurteilungen, Sicherheit bei der Zusammenarbeit mit Dritten, Ausbildung, Vorfallmanagement oder Planung von Audits, führen.

Weiter hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Das Massnahmenpaket fokussiert sich auf drei Bereiche: Erstens wird das Sicherheitsmanagement gestärkt, indem unter anderem bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden. Zweitens wird bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet. Drittens wird bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt.

Um die Datensicherheit des Bundes weiter zu verbessern und die Lehren aus dem Vorfall zu ziehen, hat der Bundesrat das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) beauftragt, den IKT-Grundschutz des Bundes bis Ende 2024 zu überprüfen und allfällige Anpassungen vorzuschlagen. Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.