Die Konföderation ist am Cyberangriff auf Xplain schuld

Die Konföderation ist am Cyberangriff auf Xplain schuld
Die Konföderation ist am Cyberangriff auf Xplain schuld
-

Bei den Ermittlungen zum Cyberangriff auf das Unternehmen Xplain im vergangenen Jahr wurden Fehler der Bundespolizei und des Zolls festgestellt. Auch das Unternehmen ist schuld. Der Bundesrat kündigt am Mittwoch Massnahmen an.

Nach einem Ransomware-Angriff auf das Berner Unternehmen Xplain im Mai 2023 wurden zahlreiche persönliche Daten der Bundesverwaltung, darunter auch sensible Daten, im „Darknet“ veröffentlicht. Diese Daten wurden auf einem Xplain-Server gespeichert.

In den drei nach dem Anschlag eingeleiteten Ermittlungen stellte der Bundesdatenschutzbeauftragte (PFPDT) Rechtsverstöße fest.

Bei der Übermittlung von Personendaten des Bundes an Xplain durch die Bundesämter für Polizei (fedpol) und Zollamt (OFDF) wurden daher nicht die notwendigen Datenschutzmassnahmen ergriffen. Diese Daten seien dann von Xplain unter Verstoß gegen den Datenschutz und teilweise unter Verstoß gegen vertragliche Pflichten aufbewahrt worden, präzisiert die PFPDT in einer Pressemitteilung.

Seit Bekanntwerden dieses Datenlecks habe der Bundesrat zahlreiche Massnahmen ergriffen bzw. ergreifen lassen, um diesen Vorfall aufzuklären und Lehren daraus zu ziehen, schreibt die Regierung in einer separaten Medienmitteilung.

Insbesondere ordnete er eine externe Verwaltungsuntersuchung an. Am Mittwoch wurde ein Bericht erstellt und verabschiedet. Neben den dringenden Massnahmen nach dem Anschlag empfiehlt der Bundesrat eine ganze Reihe weiterer Massnahmen.

Sicherheitssystem

Insbesondere werden die Verwaltungseinheiten des Bundes verpflichtet, bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen und zu betreiben. Das ISMS ermöglicht dem Management die Verwaltung aller Sicherheitsprozesse, wie z. B. Inventarisierung von Informationen und IT-Ressourcen, Risikobewertung, Sicherheit bei der Zusammenarbeit mit Dritten, Schulung, Management von Vorfällen oder Auditplanung.

Die betroffenen Bundesbehörden seien „ihren Pflichten zur sorgfältigen Auswahl ihrer Lieferanten sowie zu deren angemessener Belehrung und Überwachung nicht ausreichend nachgekommen. Sie sind ihren Pflichten aus datenschutzrechtlicher Sicht nicht und nur teilweise nachgekommen.“ der Informationssicherheit», schliesst der Bundesrat ab.

Dieser Artikel wurde automatisch veröffentlicht. Quelle: ats

-

PREV Strohballen zum Schutz des Hauses nach dem Einsturz einer Klippe in der Dordogne
NEXT Was sollten Marokkaner erwarten? – Telquel.ma