Wie der Datenabfluss vom Bund zu Xplain zustande kam
Der Hackerangriff auf die Berner Firma Xplain führt zu Datenleck des Bundes. Die Hintergründe.
Wieso konnten Hacker bei der Berner Firma Xplain Daten des Bundes entwenden? Weil diese Firma für den Bund Software testete und integrierte, oder weil im Rahmen von Wartungs- oder Supportdienstleistungen Daten flossen. Das schreibt der Bundesrat in seiner am Mittwoch veröffentlichten Mitteilung zu seinen Massnahmen nach dem Hackerangriff vom Frühling 2023.
Auf Seite 14 des Untersuchungsberichts fasst die von der Landesregierung mit der Administrativuntersuchung betraute Genfer Kanzlei die Situation zusammen. Sie schreibt, erstens hätten Mitarbeiter von Xplain vom E-Mail-Konto des Bundes, das ihnen im Rahmen der Zusammenarbeit zur Verfügung gestellt wurde, an ihr E-Mail-Konto bei Xplain oder an das E-Mail-Konto ihrer Kollegen bei Xplain produktive Daten versendet.
Produktive Daten
Mit produktiven Daten sind Daten gemeint, die live in Benutzung stehen. Diese Daten erhielten sie laut der Untersuchung von Angestellten des Bundes. Zumindest in einem Fall habe ein Mitarbeiter von Xplain aller Wahrscheinlichkeit nach selbst Daten aus einem Produktionssystem des Bundesamts für Polizei (Fedpol) extrahiert.
Zweitens hätten Bundesangestellte, die für den internen IT-Support zuständig waren, Nutzeranfragen, die Produktivdaten enthielten, an Xplain weitergeleitet. Oder sie auf einem gemeinsam genutzten Server zur Verfügung gestellt. Dies, ohne die Produktivdaten zuvor zu entfernen, sie mit einem Pseudonym zu ergänzen oder zu schwärzen.
Die Rolle der Bundesangestellten
Drittens hätten Bundesangestellte im Rahmen von IT-Entwicklungs-, Text- oder Migrationsarbeiten Xplain Produktivdaten übermittelt. Wie das Bundesamt für Cybersicherheit (BACS) im März dieses Jahres mitteilte, stahl die Hackergruppe «Play» bei ihrem Angriff von Mai 2023 über 9000 Datenobjekte der Bundesverwaltung.
Die Hälfte dieser Daten galten als sensibel. Die 9000 Datenobjekte umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter.