1 Mai 2024

Xplain und Bund mit Fehlern beim Datenschutz

Der Eidgen├Âssische Datenschutz- und ├ęffentlichkeitsbeaufragte ED├ľb hat bei den drei Untersuchungen zum Hackerangriff und den ver├Âffentlichten Daten im Darkweb, der Interlakner Softwarefirma Xplain, Verletzungen des Datenschutzgesetzes festgestellt, die auf Fehler im Supportprozess zur├╝ckzuf├╝hren sind. Die Ergebnisse der Untersuchungen zeigen auf, dass Personendaten vom fedpol und BAZG einerseits ohne die notwendigen Datenschutzvorkehrungen an Xplain gelangten und diese andererseits anschliessend datenschutz- und teilweise vertragswidrig von Xplain aufbewahrt wurden.

Gleichzeitig hat heute auch der Bundesrat ├╝ber Folgemassnahmen informiert: An seiner Sitzung vom 1. Mai 2024 hat der Bundesrat Massnahmen beschlossen, mit denen Datenabfl├╝sse bei IT-Lieferanten zuk├╝nftig verhindert werden sollen. Dabei st├╝tzt sich der Bundesrat auf den nun vorliegenden Untersuchungsbericht zur Admi-nistrativuntersuchung. Der Bundesrat hatte im August 2023 eine externe Stelle mit der Aufarbeitung der Ereignisse rund um den Datenabfluss bei der Xplain AG mandatiert.

Das Massnahmenpaket fokussiert sich auf drei Bereiche:

  • Erstens wird das Sicherheitsmanagement gest├Ąrkt, indem unter anderem bis Ende 2024 zus├Ątzliche Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten erstellt werden. Die Kontroll- und Auditf├Ąhigkeit soll gest├Ąrkt werden.
  • Zweitens wird bis Ende 2024 ein funktionsbezogenes Ausbildungskonzept f├╝r die Schulung und Sensibilisierung von Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben erarbeitet.
  • Drittens wird bis Ende 2024 eine ├ťbersicht ├╝ber die vorhandenen Kommunikationsmittel der Bundesbeh├Ârden erstellt.

Im Zusammenhang mit dem Cyberangriff gegen die Xplain AG f├╝hrt die Bundesanwaltschaft daneben zwei Strafverfahren.

(text:pd&ogr/bild:unsplash)