Xplain und Bund mit Fehlern beim Datenschutz
Der Eidgenössische Datenschutz- und éffentlichkeitsbeaufragte EDÖb hat bei den drei Untersuchungen zum Hackerangriff und den veröffentlichten Daten im Darkweb, der Interlakner Softwarefirma Xplain, Verletzungen des Datenschutzgesetzes festgestellt, die auf Fehler im Supportprozess zurückzuführen sind. Die Ergebnisse der Untersuchungen zeigen auf, dass Personendaten vom fedpol und BAZG einerseits ohne die notwendigen Datenschutzvorkehrungen an Xplain gelangten und diese andererseits anschliessend datenschutz- und teilweise vertragswidrig von Xplain aufbewahrt wurden.
Gleichzeitig hat heute auch der Bundesrat über Folgemassnahmen informiert: An seiner Sitzung vom 1. Mai 2024 hat der Bundesrat Massnahmen beschlossen, mit denen Datenabflüsse bei IT-Lieferanten zukünftig verhindert werden sollen. Dabei stützt sich der Bundesrat auf den nun vorliegenden Untersuchungsbericht zur Admi-nistrativuntersuchung. Der Bundesrat hatte im August 2023 eine externe Stelle mit der Aufarbeitung der Ereignisse rund um den Datenabfluss bei der Xplain AG mandatiert.
Das Massnahmenpaket fokussiert sich auf drei Bereiche:
- Erstens wird das Sicherheitsmanagement gestärkt, indem unter anderem bis Ende 2024 zusätzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditfähigkeit soll gestärkt werden.
- Zweitens wird bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept für die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet.
- Drittens wird bis Ende 2024 eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt.
Im Zusammenhang mit dem Cyberangriff gegen die Xplain AG führt die Bundesanwaltschaft daneben zwei Strafverfahren.
(text:pd&ogr/bild:unsplash)