Auslegeordnung zu Massnahmen nach Hackerangriff auf Xplain
Strengere Kontrollen und klare Vorgaben sollen nach dem Xplain-Hackerangriff Datenabflüsse bei Bundesdienstleistern vermeiden.
Genauere Abklärungen bei der Auftragsvergabe und eine gezieltere Aufsicht sollen künftig Datenabflüsse bei externen IT-Dienstleistern des Bundes verhindern. Dies ist das Fazit einer Auslegeordnung zum Hackerangriff auf das IT-Unternehmen Xplain.
Informationssicherheit beginne schon, wenn der Bedarf für eine neue Softwarelösung oder Dienstleistung definiert werde, schrieb das Staatssekretariat für Sicherheitspolitik (Sepos) am Donnerstag in einer Mitteilung zu dem Bericht. Die Verantwortlichen müssten frühzeitig festlegen, was die Sicherheitsanforderungen seien und dafür sorgen, dass diese in den Ausschreibungsunterlagen korrekt abgebildet seien.
Informationssicherheit dürfe sich zudem nicht auf denjenigen Lieferanten beschränken, der den Zuschlag erhalten habe, hiess es weiter. Denn hinter einem Produkt stünden oft lange und weitverzweigte Lieferketten.
Bericht zu Xplain-Affäre stammt von Fachstelle für Informationssicherheit
Der Bundesrat hatte den Bericht vor einem Jahr vor dem Hintergrund der Vorgänge bei Xplain in Auftrag gegeben. Verfasst hat den Bericht die Fachstelle für Informationssicherheit im Staatssekretariat für Sicherheitspolitik.
Der Cyberangriff auf den IT-Dienstleister Xplain war am 23. Mai 2023 bekannt geworden. Hacker hatten eine Schwachstelle auf den Servern von Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen.
Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet. Unter anderem landeten Personendaten der Militärpolizei sowie Angaben zu Personen, die 2015 im Hooligan-Informationssystem Hoogan aufgeführt waren, im Darknet.
