Brief nach Hacker-Angriff auf Xplain
Der Bund hält seinen IT-Dienstleistern eine Standpauke

Nach dem Hackerangriff auf den IT-Dienstleister Xplain fordert der Bund Sicherheit ein bei IT-Dienstleistern, die Aufträge für ihn erfüllen. Die Unternehmen sind per Brief aufgefordert worden zu prüfen, ob sie explizit aufgeführte Anforderungen erfüllen können.
Publiziert: 20.07.2023 um 00:35 Uhr
|
Aktualisiert: 20.07.2023 um 14:52 Uhr
1/5
Der Bund fordert bei IT-Dienstleistern, die für ihn Aufträge erfüllen, per Brief Sicherheit ein.
Foto: Screenshot

Die Cyberattacke auf die IT-Firma Xplain hat auch für den Bund unangenehme Folgen. Hinter dem Angriff auf die Berner Firma, die auch für den Bund IT-Dienstleistungen erbringt, steckt die mutmasslich russische Gruppierung Play.

Daten des Fedpol und des Bundesamts für Zoll und Grenzsicherheit (BAZG), gerieten dabei in die Hände der Cyberkriminellen. Weil sich Xplain in Absprache mit dem Bund weigerte, Lösegeld zu zahlen, landeten sie schliesslich in zwei Tranchen im Darknet.

Ende Juni setzte der Bundesrat einen Krisenstab ein, um den Datenklau zu untersuchen. Es müsse sichergestellt werden, «dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist», sagte Bundesrätin Karin Keller-Sutter (59).

Post vom Bund

Nun haben sämtliche IT-Dienstleister, die für den Bund arbeiten, Post vom Bund erhalten, wie «Inside IT» schreibt. Im zweiseitigen Schreiben, das dem Portal vorliegt, stünden «Informationen und Empfehlungen zur Informationssicherheit». Unterzeichnet wurde der Brief von Pierre Broye (59), Direktor Bundesamt für Bauten und Logistik (BBL), und Thierry Vauthey (58), Leiter Beschaffung bei der Behörde.

Externe Inhalte
Möchtest du diesen ergänzenden Inhalt (Tweet, Instagram etc.) sehen? Falls du damit einverstanden bist, dass Cookies gesetzt und dadurch Daten an externe Anbieter übermittelt werden, kannst du alle Cookies zulassen und externe Inhalte direkt anzeigen lassen.

Im Brief klopft der Bund den angeschriebenen Unternehmen auf die Finger. Sie müssten in der Lage sein, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen, Daten und Informationen sicherstellen zu können. Weiter steht, der Umgang mit Daten und Informationen müssten nachvollziehbar sein.

Fünf Punkte

«Wir gehen davon aus, dass Ihr Unternehmen die vertraglichen Pflichten einhält und sich regelmässig über aktuelle Cyberbedrohungen und entsprechende Gegenmassnahmen informiert», schreiben die Behörden. Schliesslich listen die BBL-Verantwortlichen fünf Punkte auf, die IT-Unternehmen im Dienst des Bundes einhalten müssen.

So müssten sich die Dienstleister dazu verpflichten, Multi-Faktor-Authentifizierung auf allen Systemen zu gewährleisten. Weiter wird ihnen die Nutzung unverschlüsselter Passwörter untersagt, ebenso die Speicherung nicht anonymisierter Produktivdaten des Bundes.

Zudem müssten die Unternehmen ein Löschverfahren für Testdaten nach deren Gebrauch implementieren und anwenden. Ebenso sei der Netzwerkverkehr zu überwachen und Mitarbeitende, die ausserhalb des Unternehmens arbeiten, müssten auf eine VPN-Verbindung «forciert» werden.

«Sofort Bundesverwaltung informieren»

Nicht zuletzt sei ein Incident-Response-Prozess erforderlich. Diese ermöglichen es Unternehmen, auf IT-Bedrohungen wie Cyberangriffe, Sicherheitsverletzungen und Serverausfälle zu reagieren. Zu guter Letzt brauche es zentrales Logging auf Systemen und Anwendungen, um Logdateien regelmässig auswerten zu können.

Falls die Unternehmen diese Sicherheitsanforderungen nicht einhalten könnten oder Schwachstellen oder Probleme entdeckten, seien die Vertragspartner in der Bundesverwaltung sofort zu informieren und das Nationale Zentrum für Cybersicherheit zu kontaktieren. (oco)

Fehler gefunden? Jetzt melden

Was sagst du dazu?