Der Bund war von einem Cybervorfall betroffen. Analysen zeigen nun, dass der brisante Datenabfluss ins Darknet auf Fehler der Beamten beruht.
Die Bundesverwaltung hat mal wieder einen besonderen Tag ausgesucht, um ein brisantes Thema bekanntzugeben.
Am 1. Mai, wenn vielerorts Feiertag herrscht, gaben der Bundesrat und der Eidgenössische Datenschutzbeauftragte ihre Untersuchungsergebnisse zu einem grossen Cybervorfall im Jahr 2023 bekannt.
Ursachen hausgemacht
Die unter dem Stichwort Xplain bekannte Angelegenheit, bei der von einem externen Serviceanbieter zahlreiche Personendaten von Bundesamt für Polizei Fedpol und auch vom Bundesamt für Zoll und Grenzsicherheit BAZG abflossen, war schon peinlich genug.
Daher wollten die Beamten das Volk wohl nicht auch noch wissen lassen, dass sie für den Cybervorfall praktisch selbst verantwortlich sind.
Pflichtverletzung der Beamten
Aus Sicht der Untersuchungsfirma haben die betroffenen Bundesstellen ihre Pflichten, Lieferanten sorgfältig auszuwählen sowie diese angemessen zu instruieren und zu überwachen, ungenügend wahrgenommen, schrieb der Bundesrat am Mittwoch zur Analyse der Kanzlei Oberson Abels.
Diesen Pflichten seien die Bundesstellen unter dem Aspekt des Datenschutzes nicht und aus Sicht der Informationssicherheit nur teilweise nachgekommen, hiess es weiter.
Insgesamt waren allerdings ein Departement und 11 Verwaltungseinheiten aus drei weiteren Departementen von der Untersuchung betroffen.
Wilder Datenaustausch
Im teilweise geschwärzten Analysebericht steht, dass Mitarbeiter von Xplain vom E-Mail-Konto des Bundes an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet hätten.
In einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach sogar selbst Daten aus einem Produktionssystem von Fedpol extrahiert, und diese Daten seien dann in die IT-Umgebung von Xplain gelangt.
Produktivdaten übermittelt
Zweitens bearbeiteten Mitarbeiter vom Bund, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, und leiteten sie an Xplain weiter oder stellten sie Xplain auf einem gemeinsam genutzten Server zur Verfügung, ohne die Produktivdaten zuvor zu entfernen, zu pseudonymisieren oder zu schwärzen.
Drittens hätten Mitarbeiter des Bundes, die an IT-Entwicklungs-, Test- oder Migrationsarbeiten beteiligt waren, Xplain im Rahmen dieser Arbeiten auch Produktivdaten übermittelt.
Fehlender Schutz
Es gab zudem keine technischen Massnahmen, welche die oben genannten Extraktionen von Produktivdaten oder das Versenden von Produktivdaten per E-Mail an einen externen Anbieter verhinderten.
Die Beamten hätten nicht einmal das Vier-Augen-Prinzip sowie Sensibilisierungen für das Bundespersonal korrekt umgesetzt, was den Angreifern der Ransomware-Attacke die ganze Angelegenheit besonders einfach gemacht habe.
Datenmenge unverhältnismässig
Der Datenschutzbeauftragte Adrian Lobsiger kochte noch etwas mehr vor Wut in seiner separaten Analyse. Auf dem Server von Xplain sei eine Sammlung von unstrukturierten Daten aus den Bundesämtern Fedpol und BAZG entstanden, hiess es dort.
Die Menge an Personendaten, die im Rahmen dieser ganzen Prozesse übertragen wurden, sei obendrein unverhältnismässig gewesen.
Weder das Fedpol noch das BAZG hätten aber mit Xplain klar vereinbart, ob beziehungsweise unter welchen Voraussetzungen der externe Dienstleister die Personendaten im Rahmen von Supportleistungen auf Servern überhaupt speichern darf.
Klare Regeln fehlten
Die Schweiz hätte ausdrücklich festhalten müssen, in welchem Umfang sie Personendaten an Xplain übermitteln und Xplain diese speichern darf, mahnte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte in der Medieninformation.
Wie all dies nur wenige Monate vor dem Inkrafttreten des neuen Datenschutzgesetzes der Schweiz passieren kann, bleibt schleierhaft. Firmen und Behörden müssten sich eigentlich genau um solche Dinge, die nun schiefgegangen sind, im Eidgenössischen Justizdepartement EJPD gekümmert haben.
Der Bundesrat sprach nunmehr Massnahmen aus, wie die Sicherheit für die IT und die Daten in der Bundesverwaltung verbessert werden müssen.
Der Datenschutzbeauftragte sprach zudem eigene Empfehlungen aus, welche die betroffenen Einheiten innerhalb von 30 Tagen annehmen oder ablehnen müssten.
Ausreichende Vorsorge
Bleibt nur die Hoffnung, dass mit alldem ausreichend Vorsorge getroffen wurde, dass so etwas künftig nicht mehr passiert.
Besonders schützenswerte Daten der Schweiz sollten nun nicht mehr im Darknet landen. Gesichert ist das allerdings nicht.
02.05.2024/kut./03.05.2024/Angaben zum Eidgenössischen Datenschutzbeauftragten klargestellt