X

META10 | News

 

Secure Cloud E-News

Möchten Sie auf dem Laufenden bleiben? Melden Sie sich hier für unsere E-News an.

 

11Jul

Xplain-Cybervorfall: Bundesverwaltung und ihre privaten IT-Dienstleister müssen über die Bücher

IT-Sicherheit, Internet | 0 Comments | | Return| 11.07.2024|

Die Hackergruppe «Play» hat mit einem Ransomware-Angriff auf den externen IT-Dienstleister der Bundesverwaltung Xplain Daten gestohlen und am 14. Juni 2023 im Darknet veröffentlicht. Darunter befanden sich klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB hat die nach dem Cybervorfall eingeleiteten Untersuchungen gegen Xplain, gegen das betroffene Bundesamt für Polizei Fedpol und das betroffene Bundesamt für Zoll und Grenzsicherheit BAZG mit drei Schlussberichten und Empfehlungen1 abgeschlossen. Aufgrund der Erkenntnisse aus den drei Untersuchungen müssen die Bundesverwaltung und ihre privaten IT-Dienstleister beim Datenschutz über die Bücher.

Hohe Risiken und hohes Schadenpotenzial

Beim Betrieb und der Weiterentwicklung ihrer digitalen Applikationen arbeitet die Bundesverwaltung mit privaten Unternehmen zusammen. Dabei wird zuweilen auch die Bearbeitung von Personendaten übertragen. Die aufsichtsrechtliche Aufarbeitung des Ransomware-Vorfalls bei Xplain zeigt exemplarisch die hohen Risiken und Schadenspotenziale auf, die mit der Übertragung von Daten der Bundesverwaltung an Externe einhergehen. Aufgrund der in den drei Schlussberichten des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB1 gemachten Empfehlungen stehen die Bundesverwaltung und ihre privaten IT-Dienstleister in der Pflicht, die hohen Risiken zu analysieren und rechtzeitig durch angemessene Massnahmen auf ein vertretbares Mass zu senken.

Das sind die drei Hauptempfehlungen

Gemäss den Erkenntnissen aus den drei Schlussberichten des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB1 müssen die Bundesverwaltung und ihre privaten IT-Dienstleister namentlich die drei folgenden Hauptempfehlungen beachten:

1. Stets prüfen, ob Personendaten die Bundesverwaltung überhaupt verlassen müssen: Bundesorgane müssen als datenschutzrechtlich «Verantwortliche» bei der Zusammenarbeit mit privaten Unternehmen als Auftragsbearbeiter, beispielweise für die Erbringung von Supportdienstleistungen, stets prüfen, ob es erforderlich ist, dass Personendaten die geschützte Informatikinfrastruktur der Bundesverwaltung überhaupt verlassen müssen. Dafür ist eingehend abzuklären, ob es wirklich erforderlich ist, dass beauftragte Private Zugang zu dieser Infrastruktur erlangen. Zumindest ist stets zu prüfen, ob Personendaten vor ihrer Übermittlung anonymisiert werden können und welche übrigen technischen Massnahmen oder organisatorischen Vorkehren zur Verhinderung von Datenschutzverletzungen zu treffen sind.


2. Alles muss dokumentiert und vertraglich festgehalten werden: Nach der Analyse der datenschutzrelevanten Risiken und der Bestimmung der zu deren Minimierung geeigneten Massnahmen müssen die Bundesorgane und die privaten Unternehmen ihre Umsetzungsprozesse wie Datenflüsse, Anonymisierung oder Zugriffmodalitäten vollständig und verständlich dokumentieren. Auch müssen die Bundesorgane die erforderlichen technischen und organisatorischen Massnahmen in den mit den Privaten abgeschlossenen Verträgen, gegebenenfalls unter Vereinbarung von Konventionalstrafen, festhalten.


3. Private IT-Dienstleister müssen sich strikt an die abgeschlossenen Verträge halten: Private IT-Dienstleister haben sich bei der Bearbeitung von Personendaten der Bundesverwaltung hinsichtlich des Umfangs, der Intensität und der Dauer der Datenbearbeitung strikt an den Rahmen der vertraglichen Pflichten und Vorgaben zu halten. Geeignete Massnahmen zur Einhaltung dieser Vorgaben sind Konzepte zur rechtzeitigen Datenlöschung, die Sensibilisierung und Schulung der Mitarbeitenden sowie periodische interne oder externe Audits.

Inskünftig gibt es Kontrollen


Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte EDÖB behält sich vor, inskünftig in der ganzen Bundesverwaltung und bei den von ihr beauftragten privaten Unternehmen Kontrollen durchzuführen.

Das sind die drei «Schlussberichte und Empfehlungen»:
• «Schlussbericht und Empfehlungen vom 25. April 2024 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB in Sachen Xplain AG aufgrund Ransomware-Vorfall»
• «Schlussbericht und Empfehlungen vom 25. April 2024 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB in Sachen fedpol aufgrund Ransomware-Vorfall»
• «Schlussbericht und Empfehlungen vom 25. April 2024 des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB in Sachen BAZG aufgrund Ransomware-Vorfall»
 

Related