Nach dem Hackerangriff auf die Informatikfirma Xplain im Mai 2023 haben die Untersuchungen verschiedene Mängel beim Bund und bei der betroffenen Firma aufgezeigt. Der Bundesrat will Datenlecks künftig verhindern.

Die geplanten Massnahmen im Überblick:

– NEUES GESETZ: Seit 1. Januar 2024 ist das neue Informationssicherheitsgesetz in Kraft. Von den Verwaltungseinheiten wird darin unter anderem verlangt, dass sie bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) in Betrieb nehmen.

– MEHR KONTROLLEN: Bis Ende 2024 sollen zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.

– BESSERE AUSBILDUNG: Bis Ende 2024 soll ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet werden.

– VERSTÄRKTE TRANSPARENZ: Bis Ende 2024 soll eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt werden.

– IT-SCHUTZ ÜBERPRÜFEN: Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) soll bis Ende 2024 den IT-Grundschutz des Bundes überprüfen und allfällige Anpassungen vorschlagen.

– KOORDINATION VERBESSERN: Das Bundesamt für Cybersicherheit (BACS) soll bis Ende 2024 aufzeigen, wie die Koordination bei der Bewältigung von Cyberangriffen zwischen Bund, Kantonen und Lieferanten konkret abläuft und nach welchen Kriterien das Ausmass der Cyberangriffe beurteilt werden soll.

Empfehlungen des Datenschützers

Parallel zu der vom Bundesrat angeordneten Administrativuntersuchung führte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) eine unabhängige Untersuchung durch. In den drei Schlussberichten sind verschiedene Empfehlungen zu finden, beispielsweise:

– Xplain soll technische und organisatorische Massnahmen zur Datensicherheit treffen, die angemessen seien in Bezug auf das Bearbeiten von besonders schützenswerten Personendaten im Rahmen von Support- und Wartungsprozessen, das Bearbeiten von Personendaten und auf die Entwicklung von Software im sensiblen Bereich der Inneren Sicherheit.

– Xplain soll ein Informationssicherheitsmanagementsystem (ISMS) aufbauen, ein Risikomanagement etablieren, Mitarbeitende sensibilisieren und regelmässige Audits durchführen. Zudem soll ein Löschkonzept gemäss den gesetzlichen und vertraglichen Vorgaben umgesetzt werden.

– Das Fedpol und das BAZG sollen prüfen, unter welchen Voraussetzungen es erforderlich ist, dass Personendaten im Rahmen von Supportprozessen die IKT-Systeme des Bundes verlassen und in den IKT-Systemen von Xplain gespeichert werden müssen.

– Das Fedpol und das BAZG sollen seine Mitarbeitenden kontinuierlich auf die datenschutzrechtlichen Risiken sensibilisieren und die Verträge im Bereich Datensicherheit präzisieren.

Die Firma Xplain, das Bundesamt für Polizei (Fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG) haben eine dreissigtägige Frist, um dem Edöb mitzuteilen, ob sie die Empfehlungen annehmen.

Empfehlungen der externen Experten

Die Firma Oberson Abels untersuchte im Auftrag des Bundesrats den Datenabfluss, in ihrem Bericht finden sich weitere Empfehlungen, beispielsweise:

– Dem Staatssekretariat für Sicherheitspolitik (Sepos) soll die Verantwortung für die Steuerung und Überwachung der Informationssicherheit des Bundes übertragen werden, die derzeit bei den Departementen liegt.

– Den Behörden und Organisationen im Bereich IT sollen ausreichende Ressourcen zur Erfüllung ihrer Aufgaben im Bereich der Informationssicherheit und des Datenschutzes zur Verfügung gestellt werden.

– Die Informationssicherheits- und Datenschutzkultur soll gestärkt werden. Das Verbot, produktive, also live in Benutzung stehende Daten an externe Leistungserbringer zu transferieren, soll klar und deutlich kommuniziert werden.

– Der Zugriff externer Leistungserbringer auf produktive Daten, sei es vor Ort oder aus der Ferne, soll auf ein Minimum reduziert, streng geregelt und kontrolliert werden.

– Die Löschung produktiver Daten, die in der Vergangenheit aktuellen oder früheren externen Leistungserbringern des Bundes zur Verfügung gestellt wurden, soll systematisch verlangt und anschliessend überprüft werden. (sda/mik)