Massnahmen zur Vermeidung von künftigen Datenabflüssen

Die Umsetzung der Massnahmen schreitet voran. Zudem hat das durch das SEPOS durchgeführte Betriebssicherheitsverfahren ergeben, dass die kürzliche Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Im Frühjahr 2023 wurden bei der Xplain AG, einer Lieferantin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff Daten gestohlen. Darunter waren auch produktive Daten der Bundesverwaltung, namentlich vertrauliche Informationen und besonders schützenswerte Personendaten. Im August 2023 ordnete der Bundesrat eine Administrativuntersuchung durch eine externe Stelle an, um zu erfahren, welche Umstände zum Datenabfluss geführt hatten.

Auf der Grundlage der Untersuchungsergebnisse und zusätzlich zu den im Rahmen des neuen Informationssicherheitsgesetzes eingeleiteten Massnahmen beschloss der Bundesrat am 1. Mai 2024 ein Massnahmenpaket, mit dem die Risiken von Datenabflüssen wesentlich reduziert werden sollen. Der Fokus des Pakets lag auf den folgenden drei Bereichen:

•    Erstens die Stärkung des Sicherheitsmanagements, unter anderem durch die Umsetzung zusätzlicher Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten, sowie die Stärkung der Kontroll- und Auditfähigkeit.

•    Zweitens die Erarbeitung bis Ende 2024 eines Ausbildungskonzepts für die Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben.

•    Drittens das Erstellen einer Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden.

An seiner Sitzung vom 19. Februar 2025 wurde der Bundesrat über den Stand der Massnahmen informiert, die in der Verantwortung des Staatssekretariats für Sicherheitspolitik (SEPOS), des Eidgenössischen Finanzdepartements (EFD) und der Bundeskanzlei (BK) liegen. Die Umsetzung der Massnahmen schreitet voran.

Das SEPOS erhielt insbesondere den Auftrag, den IT-Grundschutz in der Bundesverwaltung zu untersuchen und gegebenenfalls Anpassungen vorzuschlagen. Das in diesem Zusammenhang beauftragte Unternehmen InfoGuard AG hat Anfang Januar 2025 einen Bericht vorgelegt. Dieser kommt zu folgendem Schluss: Auch wenn mit dem IT-Grundschutz in der Bundesverwaltung eine effiziente und bewährte Grundlage für die Informationssicherheit vorhanden ist, besteht ein gewisses Optimierungspotenzial, was insbesondere die Integration der neuen Sicherheitsthemen, die Ausbildung sowie die Begleitung und die Evaluierung der Wirkung von technischen Sicherheitsmassnahmen betrifft. Die Empfehlungen der InfoGuard AG werden analysiert und an den entsprechenden Weisungen werden bis Ende 2025 die notwendigen Anpassungen vorgenommen.

Zur Stärkung der Sicherheit bei der Zusammenarbeit mit Lieferanten hat das SEPOS ein neues Konzept zur Kontroll- und Auditfähigkeit bei Lieferanten erarbeitet, das von einer interdepartementalen Expertengruppe des Bundes validiert wurde. Das Konzept soll im Laufe des Jahres 2025 innerhalb des Bundes umgesetzt werden.

Weiter hat das SEPOS neue standardisierte Vertragsklauseln erarbeitet, zu denen noch eine Konsultation bei den Branchenverbänden durchzuführen ist. Bis Ende 2025 soll die Bekanntgabe der Vertragsklauseln erfolgen.

Beim Ausbildungskonzept bedarf es einiger Anpassungen in Zusammenarbeit mit den Departementen und insbesondere mit dem Eidgenössischen Personalamt. Das Konzept soll bis Ende 2025 in Kraft treten.

Die Prüfung der Verträge zwischen dem Bund und dessen Lieferanten auf das Vorhandensein der notwendigen Klauseln im Bereich des Cyberschutzes durch das EFD (Bundesamt für Bauten und Logistik BBL) in Zusammenarbeit mit den Departementen ist abgeschlossen. Wo eine Änderung oder Ergänzung der Verträge notwendig oder zweckdienlich war, wurden die entsprechenden Anpassungen vorgenommen. Alle neuen Verträge enthalten die notwendigen Klauseln.

Zudem wird demnächst eine öffentliche Ausschreibung des BBL zur Beschaffung von Auditleistungen für alle Verwaltungseinheiten des Bundes lanciert. Die Bedarfserhebung erfolgte in Zusammenarbeit mit dem SEPOS, insbesondere um den Bedarf an internen Audits der Ämter in Anwendung des Informationssicherheitsgesetzes zu ermitteln.

Die Bundeskanzlei hat eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt und mit den Departementen besprochen. Die Übersicht zeigt, dass es beim Bund sowohl für klassifizierte Informationen wie auch für Personendaten Lösungen gibt.

Im Oktober 2024 informierte das Unternehmen Xplain seine auftraggebenden Stellen beim Bund über die Übernahme durch die CHAPTERS Group AG, eine Beteiligungsgesellschaft mit Sitz in Hamburg, beziehungsweise durch die Schweizer Tochtergesellschaft CHAPTERS Software Switzerland GmbH. Das SEPOS leitete daraufhin ein Betriebssicherheitsverfahren gemäss Artikel 49 des Informationssicherheitsgesetzes ein. Das Verfahren hat ergeben, dass die Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Bericht InfoGuard AG: IT-Grundschutz des Bundes: Überprüfung der Vorgaben des Bundes für den IT-Grundschutz (PDF, 785 kB)