Im Frühjahr 2023 wurden bei der Xplain AG, einer Herstellerin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff grosse Datenmengen gestohlen und im Darknet veröffentlicht. Davon betroffen waren auch produktive Daten der Bundesverwaltung, darunter vertrauliche Informationen und besonders schützenswerte Personendaten. Seit Bekanntwerden dieses Datenabflusses hat der Bundesrat zahlreiche Massnahmen ergriffen oder in Auftrag gegeben, um den Vorfall aufzuarbeiten und Lehren daraus zu ziehen.
Der Bundesrat hatte eine Administrativuntersuchung angeordnet, um zu erfahren, welche Umstände auf Seiten der Bundesverwaltung dazu geführt haben, dass die Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam. Die Administrativuntersuchung, die von der Kanzlei OBERSON ABELS SA durchgeführt wurde, ist nun mit deren Untersuchungsbericht abgeschlossen. Aus diesem geht hervor, dass in den letzten Jahren in wenigen Fällen aktiv produktive Daten des Bundes an die IT-Umgebung der Xplain AG übermittelt wurden. Dies geschah in Test- und Integrationsphasen einer Software oder im Rahmen von Wartungs- oder Supportdienstleistungen sowohl durch Mitarbeitende der Xplain AG, welche über ein E-Mail-Konto des Bundes verfügten, als auch durch Mitarbeitende des Bundes. Zudem führte eine in einigen Xplain-Anwendungen enthaltene und inzwischen deaktivierte Support-Funktion zu grossen Mengen von Datentransfers von der IT-Umgebung des Bundes in die IT-Umgebung der Xplain AG. Aus Sicht des Untersuchungsorgans haben die betroffenen Bundesstellen ihre Pflichten, ihren Lieferanten sorgfältig auszuwählen sowie ihn angemessen zu instruieren und zu überwachen ungenügend wahrgenommen. Diesen Pflichten kamen die Bundesstellen unter dem Aspekt des Datenschutzes nicht und aus Sicht der Informationssicherheit nur teilweise nach.
Mit der Inkraftsetzung der Informationssicherheitsgesetzgebung (ISG) per 1. Januar 2024 wurden bereits viele Massnahmen eingeleitet, welche die Sicherheit systematisch und nachhaltig verbessern. Von den Verwaltungseinheiten wird unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und in Betrieb nehmen. Mit dem ISMS kann die Geschäftsleitung sämtliche Sicherheitsprozesse, wie Inventarisierung der Informationen und Informatikmittel, Risikobeurteilungen, Sicherheit bei der Zusammenarbeit mit Dritten, Ausbildung, Vorfallmanagement oder Planung von Audits, führen.
Massnahmenpaket zur Vermeidung von Datenabflüssen
Weiter hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Das Massnahmenpaket fokussiert sich auf drei Bereiche:
- Erstens wird das Sicherheitsmanagement gestärkt, indem unter anderem bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
- Zweitens wird bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet.
- Drittens wird bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt.
Um die Datensicherheit des Bundes weiter zu verbessern und die Lehren aus dem Vorfall zu ziehen, hat der Bundesrat das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) beauftragt, den IKT-Grundschutz des Bundes bis Ende 2024 zu überprüfen und allfällige Anpassungen vorzuschlagen. Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.
Diese Massnahmen ergänzen die unmittelbar nach dem Vorfall von den betroffenen Verwaltungseinheiten und im Vertragsmanagement ergriffenen Sofortmassnahmen – z.B. bezüglich Zusammenarbeit mit der Xplain AG, Sensibilisierung von IT-Lieferanten und Überprüfung der Verträge mit diesen – sowie die gestützt auf das neue ISG eingeleiteten Massnahmen.
Weitere Arbeiten in den ordentlichen Strukturen und Auflösung des Krisenstabes
Nach dem Abschluss der Administrativuntersuchung und dem Beschluss des Bundesrats zu den verschiedenen Massnahmen können die weiteren Arbeiten in den ordentlichen Strukturen wahrgenommen werden. Deshalb hat der Bundesrat den politisch-strategischen Krisenstab „Datenabfluss“ aufgelöst, der die Arbeiten im Zusammenhang mit dem Datenabfluss bei der Xplain AG seit Juni 2023 koordiniert hat.
Weitere unabhängige Untersuchungen und Strafverfahren
Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) als unabhängige Aufsichtsbehörde gestützt auf das Bundesgesetz über den Datenschutz (DSG) ebenfalls eine Untersuchung zum Datenabfluss bei der Xplain AG durch, deren Schlussbericht auch am 1. Mai 2024 publiziert wird. Die beiden Untersuchungen wurden voneinander unabhängig durchgeführt.
Im Zusammenhang mit dem Cyberangriff gegen die Xplain AG führt die Bundesanwaltschaft (BA) zwei Strafverfahren. Für Auskünfte zu diesen Strafverfahren ist die BA zuständig.