- Im Fall des Cyberangriffs von Kriminellen auf die Internetfirma Xplain haben sowohl der Bund als auch die Berner IT-Firma Fehler begangen.
- Das schreibt der Eidgenössische Datenschutzbeauftragte in drei neu veröffentlichten Untersuchungsberichten.
- Der Bundesrat hat Massnahmen beschlossen.
Demnach haben weder das Bundesamt für Polizei (Fedpol) noch das Bundesamt für Zoll und Grenzsicherheit (BAZG) mit Xplain klar vereinbart, unter welchen Voraussetzungen Personendaten im Rahmen von Supportleistungen durch Xplain auf deren Server gespeichert werden dürften. Zudem habe Xplain keine angemessenen Massnahmen zur Gewährleistung der Datensicherheit oder des Informationsschutzes getroffen.
Die Bundesstellen hätten ausdrücklich festhalten müssen, in welchem Umfang Personendaten an die Berner Firma übermittelt und von Xplain gespeichert werden dürften. Ohne diese genauen Anforderungen sei letztlich auf dem Server von Xplain «eine Sammlung von unstrukturierten Daten» entstanden. Die Menge an übermittelten Personendaten hält der Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) zudem für unverhältnismässig.
Auch habe Xplain die datenschutzrechtlichen Grundsätze der Zweckbindung und der Verhältnismässigkeit verletzt. Zudem seien trotz vereinzelt vorhandener vertraglicher Löschpflichten Personendaten vertragswidrig aufbewahrt worden.
Bundesrat beschliesst Massnahmen
Nach Vorliegen einer externen Untersuchung hat der Bundesrat Massnahmen zur Vermeidung künftiger Datenabflüsse beschlossen. Erstens will er das Sicherheitsmanagement des Bundes stärken, indem die Verwaltung bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellen muss.
Zweitens lässt die Landesregierung bis Ende Jahr ein Ausbildungskonzept für die Schulung und Sensibilisierung von Angestellten erarbeiten. Drittens lässt der Bundesrat eine Übersicht über die vorhandenen Kommunikationsmittel erstellen.
Die Cybersicherheit beim Bund erhöhe sich auch dank der Anfang Jahr in Kraft getretenen Informationssicherheitsgesetzgebung (ISG), schreibt der Bundesrat.
Die Kritisierten selber sagen bisher nicht viel. Die betroffenen Bundesstellen schreiben auf Anfrage von SRF, sie würden die geltenden Empfehlungen bezügliche Datenschutz nun prüfen. Das besonders kritisierte Bundesamt für Polizei schreibt, es äussere sich zu Fehlern, Schuld oder personalrechtlichen Konsequenzen erst, wenn die Bundesanwaltschaft ihr Verfahren abgeschlossen habe. Und die Firma Xplain teilt mit, die meisten Empfehlungen seien ihrerseits umgesetzt.
Aus dem Untersuchungsbericht im Auftrag des Bundesrats geht hervor, dass Xplain eine Befragung verweigert und verlangte Dokumente zurückbehalten hat. Dennoch ist die Firma bis heute immer noch für die Bundesverwaltung tätig, wenn auch unter erhöhten Sicherheitsvorkehrungen. Denn auch die Untersuchungsberichte zeigen: Die Behörden sind schlicht abhängig von der Software und vom Know-how dieser Berner Firma.
