Wie geheime Daten des Bundes im Darknet landeten

Die Untersuchungsberichte zum Xplain-Skandal zeigen: Die Behörden handelten fahrlässig. Die wichtigsten Fragen und Antworten.

Die Kanzlei Oberson Abels empfiehlt unter anderem mehr Ressourcen für die Informationssicherheit in der Bundesverwaltung.

Was ist passiert?

Im Frühjahr 2023 hat die Hackergruppe Play bei einem Cyberangriff auf die Firma Xplain – eine Herstellerin von Software für den Sicherheitsbereich – grosse Datenmengen gestohlen und im Darknet veröffentlicht. Darunter waren auch heikle Daten der Bundesverwaltung; vertrauliche Informationen und besonders schützenswerte Personendaten. Der Bundesrat ordnete eine externe Untersuchung an, durchgeführt von der Kanzlei Oberson Abels. Unabhängig davon nahm der Eidgenössische Datenschutzbeauftragte die Vorgänge unter die Lupe. Am Mittwoch sind nun die Untersuchungsberichte veröffentlicht worden. Noch hängig sind Strafverfahren im Zusammenhang mit dem Cyberangriff.

Was sind die Haupterkenntnisse der Untersuchungen?

Der Verdacht hat sich bestätigt: Heikle Daten des Bundes sind an Xplain übermittelt worden. Zum einen verfügten Mitarbeitende von Xplain über E-Mail-Konten des Bundes, von denen sie Daten an ihre Xplain-Adresse weitergeleitet haben. Zum anderen leiteten IT-Mitarbeitende des Bundes Anfragen von Benutzern mit heiklen Daten an Xplain weiter oder stellten diese Xplain auf einem gemeinsam genutzten Server zur Verfügung. Dies, ohne die Daten zu entfernen, zu pseudonymisieren oder zu schwärzen. Hinzu kommt ein automatischer Abfluss: Eine Support-Funktion, die in einigen Xplain-Anwendungen enthalten war, führte dazu, dass grosse Mengen von Daten zu Xplain flossen.

Die Firma Xplain wirbt für ihre Software. Dem Bund wurde die Zusammenarbeit mit ihr zum Verhängnis.

Um welche Art von heiklen Daten geht es?

Im Darknet landeten zum Beispiel Auszüge aus der Hooligan-Datenbank. Betroffen waren aber auch Bundesratsmitglieder und ausländische Beamte: In den Berichten ist die Rede von Dateien im Anhang einer E-Mail, die «geheime Informationen über Bundesrätinnen und -räte und ausländische Beamte enthielt». Die Dokumente bezogen sich auf «Treffen mit ranghohen nationalen und internationalen Beamten». Ein anderer Fall betrifft Interpol-Ausschreibungen mit besonders schützenswerten Personendaten. Die E-Mail dazu wird im Untersuchungsbericht wie folgt wiedergegeben: «Hallo [Vorname von W] Kannst Du das Select Skript für die Meldungen gemäss Excel ausführen. Und dann auf blockiert Zuteilungen untersuchen. Aber noch kein Update Script ausführen. Gruss [Vorname von Z]».

Wer ist verantwortlich?

Beide Untersuchungen kommen zum Schluss, dass die betroffenen Bundesstellen – vor allem das Bundesamt für Polizei (Fedpol) und das Bundesamt für Zoll und Grenzsicherheit (BAZG) – ihre Pflichten zumindest teilweise nicht wahrgenommen haben. Dazu gehört, den Lieferanten sorgfältig auszuwählen sowie ihn angemessen zu instruieren und zu überwachen. Der Bund arbeitet bereits seit einem Vierteljahrhundert mit der Firma zusammen. Der erste Auftrag war die Beratung des Grenzwachtkorps. Die engste Zusammenarbeit bestand aber zwischen dem Fedpol und Xplain – geregelt in mehr als 100 Verträgen.

Gibt es personelle Konsequenzen?

Offiziell nicht. Vor einer Woche hat zwar die 62-jährige Fedpol-Chefin Nicoletta della Valle nach rund zehn Jahren ihren Rücktritt bekannt gegeben. Auf Anfrage sagt das Justiz- und Polizeidepartement aber, es bestehe kein Zusammenhang.

Fedpol-Direktorin Nicoletta della Valle tritt 2025 zurück.

Was wird den Behörden konkret vorgeworfen?

Der eidgenössische Datenschützer schreibt in seiner Untersuchung, das Fedpol und das BAZG hätten die Datensicherheit nicht ausreichend gewährleistet. Die Behörden hätten ausdrücklich regeln müssen, wie im Rahmen von Wartung und Support mit Personendaten umzugehen sei. Zudem hätten die Prozesse kontrolliert werden müssen. Pikant: Ein anderes – nicht genanntes – Bundesamt stellte 2020 offenbar fest, dass eine Supportfunktion datenschutzwidrig war. Spätestens zu diesem Zeitpunkt hätte Xplain beziehungsweise die Bundesverwaltung das Risikopotenzial erkennen und Massnahmen ergreifen müssen, schreibt der Datenschützer. Die Kanzlei Oberson Abels empfiehlt unter anderem mehr Ressourcen für die Informationssicherheit in der Bundesverwaltung.

Was hat Xplain falsch gemacht?

Auch Xplain kommt schlecht weg. Die Behauptung der Firma, ihr sei nicht bewusst gewesen, dass ihr Personendaten übermittelt würden, widerspricht laut dem Datenschützer «sowohl der tatsächlichen Sachlage wie auch den vorgesehen Supportprozessen». Selbst als ein Bundesamt Xplain auf die unverhältnismässige Übermittlung von Personendaten bei der Fehlerbehebungsfunktion aufmerksam gemacht habe, sei das Problem nicht behoben worden. Auch im Bericht von Oberson Abels heisst es: «Xplain hat die Bestimmungen des Datenschutzgesetzes verletzt.» Der Bund ist jedoch abhängig von der Firma, weil ihm die Anwendungen nicht gehören.

Welche Lehren zieht der Bundesrat aus den Erkenntnissen?

Der Bundesrat schreibt, mit dem neuen Informationssicherheitsgesetz seien bereits viele Massnahmen eingeleitet worden, um die Sicherheit zu verbessern. Zusätzlich hat er nun das Verteidigungsdepartement beauftragt, den IT-Schutz des Bundes bis Ende Jahr zu überprüfen. Das VBS soll standardisierte Vertragsklauseln zur Informationssicherheit sowie Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erarbeiten. Der Bundesrat will ausserdem Mitarbeitende besser schulen und die Übersicht über die Lieferantenbeziehungen verbessern. Sofortmassnahmen hatte er bereits vor einem Jahr getroffen.

Jeden Tag das Wichtigste aus Bern und der Welt mit unserem Newsletter BZ am Abend. Melden Sie sich hier an.