Fall Xplain: «Richtige Lehren aus Vorfall gezogen»
Der Bund habe aus dem Datenklau bei der Firma Xplain gelernt, so die Geschäftsprüfungskommission des Ständerats (GPK-S).
Aus dem Fall Xplain und somit dem Diebstahl von Daten durch Kriminelle hat der Bund die richtigen Schlüsse gezogen. Das findet die dafür zuständige Subkommission der Geschäftsprüfungskommission des Ständerats (GPK-S). «Wir haben uns davon überzeugen lassen, dass die richtigen Lehren aus dem Vorfall gezogen wurden», sagte am Donnerstag ihr Präsident Pirmin Schwander.
Der Schwyzer SVP-Ständerat machte diese Aussage im Rahmen der Beratung des Geschäftsberichts 2023 des Bundesrats. Schwander sagte unter anderem, seit der Aufarbeitung des Datenabflusses dürften Angestellte der Berner Informatikfirma Xplain nur noch unter Aufsicht des Bundes und in Räumlichkeiten des Bundes mit sogenannten produktiven Daten arbeiten. Das sind live in Benutzung stehende Daten.
Bundesämter entscheiden über Zusammenarbeit mit Xplain
Verschiedene Bundesämter hätten eine Interessenabwägung gemacht, ob sie mit Xplain weiter zusammenarbeiten wollten oder nicht. Der Abbruch der Zusammenarbeit würde für sie bedeuten, dass Informatikaufträge neu ausgeschrieben werden müssten, so Schwander. Fast überall sei entschieden worden, mit Xplain weiterzuarbeiten.
Schwander ermunterte aber die Bundesverwaltung zu prüfen, auch jüngere, noch weniger etablierte Firmen für Auftragserteilungen zu berücksichtigen. Er sagte auch, als Folge des Datenabflusses bei Xplain habe die Bundesverwaltung die rund 7600 bestehenden IT-Verträge überprüft.
Nachverhandlungen nach Überprüfung der IT-Verträge
Bei rund 660 sicherheitsrelevanten Verträgen seien ungenügende Bestimmungen identifiziert worden. Nun liefen Nachverhandlungen. Der Cyberangriff auf den IT-Dienstleister Xplain war im Mai 2023 bekannt geworden.
Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters mit Erpresser-Software angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet. Anfang Mai dieses Jahres veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) drei Untersuchungsberichte zum Datenleck.
Er kam zum Schluss, sowohl Bund als auch Xplain hätten Fehler gemacht, und gab eine Reihe von Empfehlungen ab. Xplain und zwei betroffene Bundesämter gaben in der Folge bekannt, die Empfehlungen würden akzeptiert. Zudem beschloss der Bundesrat eine Reihe von Massnahmen zur Vermeidung künftiger Datenabflüsse.