Die unter dem Namen «Play» auftretende Hackergruppierung hatte bei einem Ransomware-Angriff auf die Firma Xplain grosse Datenmengen gestohlen. Darunter befinden sich auch operative Daten aus der Bundesverwaltung. Da Xplain sich in Absprache mit den Strafverfolgungsbehörden und dem Bund nicht erpressen liess und keine Lösegeldzahlung an die Hacker leistete, veröffentlichten diese am 14. Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet. Seit Bekanntwerden dieses Datenabflusses hat das Nationale Zentrum für Cybersicherheit (NCSC) in enger Zusammenarbeit mit den betroffenen Behörden eine Organisation zur Bewältigung des Vorfalls etabliert. Es laufen weiterhin intensive Arbeiten zur Auswertung und Analyse der Daten. Der Bund hat zudem Massnahmen eingeleitet, um ein Sicherheitsrisiko für die Bundesverwaltung zu minimieren.
Bundesinterne Arbeiten koordinieren, Kantone einbeziehen
Seit dem 9. Juni 2023 hat sich der Bundesrat mehrmals über diesen Vorfall informieren lassen. Am 16. Juni 2023 hat er entschieden, einen politisch-strategischen Krisenstab «Datenabfluss» (PSK-D) einzusetzen, der die umfangreichen Arbeiten auf operativer Stufe ergänzen soll. Der PSK-D hat seither bereits zwei Mal – am 21. Juni und am 26. Juni 2023 – getagt. Dabei verschaffte er sich einen Überblick über die zu bewältigenden Aufgaben und erarbeitete zuhanden des Bundesrats Vorschläge zum weiteren Vorgehen. An seiner Sitzung vom 28. Juni 2023 hat der Bundesrat nun das Mandat des PSK-D verabschiedet. Unter der Leitung der Generalsekretärin des Eidgenössischen Finanzdepartements (EFD) arbeiten in diesem Medienmitteilung 2/3 Krisenstab alle Departemente, die Bundeskanzlei sowie eine Vertretung der Konferenz der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD) zusammen. Der Krisenstab soll die strategische Lage fortlaufend analysieren und beurteilen, die bundesinternen Arbeiten koordinieren, die Information nach innen und aussen sicherstellen und Grundlagen für weitere Entscheide des Bundesrats erarbeiten.
Verträge mit Informatik-Dienstleistern werden überprüft
Weiter hat der Bundesrat das EFD beauftragt, in Zusammenarbeit mit dem PSK-D ein Mandat für eine Administrativuntersuchung zu erarbeiten. Mit einer Administrativuntersuchung soll von unabhängiger Seite untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind. Damit sollen Massnahmen identifiziert werden, um einen ähnlichen Vorfall künftig zu verhindern.
Der Bundesrat hat an seiner Sitzung zudem angeordnet, bestehende Verträge des Bundes mit Informatikdienstleistern zu überprüfen und nötigenfalls so anpassen zu lassen, dass die Cybersicherheit der Dienstleister verbessert wird und der Bund im Fall eines erfolgreichen Angriffs rascher reagieren kann. Damit und mit der Definition von Anforderungen im Beschaffungsprozess soll sichergestellt werden, dass Lieferanten des Bundes definierte Schutzstandards in Bezug auf Cyberangriffe einhalten müssen.
Die vom Hackerangriff betroffene Firma Xplain ist für nationale und kantonale Behörden ein zentraler IT-Dienstleister. Der Bundesrat hat deshalb das Eidgenössische Justiz- und Polizeidepartement beauftragt, unter Beizug der KKJPD und des EFD Massnahmen zu prüfen, um die Wartung und Weiterentwicklung dieser essentiellen Softwarekomponenten sicherzustellen.
Der Bund wird über die weiteren Schritte bei der Bewältigung dieses Vorfalls weiterhin transparent informieren.
Bisher getroffene Massnahmen
Nachdem die Bundesverwaltung Anfang Juni von Xplain über den Ransomware-Angriff informiert worden war, wurden umgehend Massnahmen getroffen, um das Sicherheitsrisiko für die Bundesverwaltung zu minimieren. Die Auswertung und vertieften Analysen des Datenpakets laufen weiter. Aufgrund der Grösse des Datenpaketes (mehrere Millionen Dateien) werden diese Arbeiten einige Wochen oder gar Monate in Anspruch nehmen.