Anzeige
Anzeige
Anzeige
Lesedauer 4 Min.

Massnahmen zur Vermeidung von künftigen Datenabflüssen

An seiner Sitzung vom 19. Februar 2025 ist der Bundesrat über den Fortschritt bei der Umsetzung der Massnahmen informiert worden, die er am 1. Mai 2024 zur Vermeidung von künftigen Datenabflüssen bei IT-Lieferanten der Bundesverwaltung beschlossen hatte.
© (Quelle: Xplain)

Die Umsetzung der Massnahmen schreitet voran. Zudem hat das durch das SEPOS durchgeführte Betriebssicherheitsverfahren ergeben, dass die kürzliche Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Im Frühjahr 2023 wurden bei der Xplain AG, einer Lieferantin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff Daten gestohlen. Darunter waren auch produktive Daten der Bundesverwaltung, namentlich vertrauliche Informationen und besonders schützenswerte Personendaten. Im August 2023 ordnete der Bundesrat eine Administrativuntersuchung durch eine externe Stelle an, um zu erfahren, welche Umstände zum Datenabfluss geführt hatten.

Auf der Grundlage der Untersuchungsergebnisse und zusätzlich zu den im Rahmen des neuen Informationssicherheitsgesetzes eingeleiteten Massnahmen beschloss der Bundesrat am 1. Mai 2024 ein Massnahmenpaket, mit dem die Risiken von Datenabflüssen wesentlich reduziert werden sollen. Der Fokus des Pakets lag auf den folgenden drei Bereichen:

•    Erstens die Stärkung des Sicherheitsmanagements, unter anderem durch die Umsetzung zusätzlicher Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten, sowie die Stärkung der Kontroll- und Auditfähigkeit.

•    Zweitens die Erarbeitung bis Ende 2024 eines Ausbildungskonzepts für die Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben.

•    Drittens das Erstellen einer Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden.

An seiner Sitzung vom 19. Februar 2025 wurde der Bundesrat über den Stand der Massnahmen informiert, die in der Verantwortung des Staatssekretariats für Sicherheitspolitik (SEPOS), des Eidgenössischen Finanzdepartements (EFD) und der Bundeskanzlei (BK) liegen. Die Umsetzung der Massnahmen schreitet voran.

Stand der Massnahmen in der Verantwortung des SEPOS

Das SEPOS erhielt insbesondere den Auftrag, den IT-Grundschutz in der Bundesverwaltung zu untersuchen und gegebenenfalls Anpassungen vorzuschlagen. Das in diesem Zusammenhang beauftragte Unternehmen InfoGuard AG hat Anfang Januar 2025 einen Bericht vorgelegt. Dieser kommt zu folgendem Schluss: Auch wenn mit dem IT-Grundschutz in der Bundesverwaltung eine effiziente und bewährte Grundlage für die Informationssicherheit vorhanden ist, besteht ein gewisses Optimierungspotenzial, was insbesondere die Integration der neuen Sicherheitsthemen, die Ausbildung sowie die Begleitung und die Evaluierung der Wirkung von technischen Sicherheitsmassnahmen betrifft. Die Empfehlungen der InfoGuard AG werden analysiert und an den entsprechenden Weisungen werden bis Ende 2025 die notwendigen Anpassungen vorgenommen.

Zur Stärkung der Sicherheit bei der Zusammenarbeit mit Lieferanten hat das SEPOS ein neues Konzept zur Kontroll- und Auditfähigkeit bei Lieferanten erarbeitet, das von einer interdepartementalen Expertengruppe des Bundes validiert wurde. Das Konzept soll im Laufe des Jahres 2025 innerhalb des Bundes umgesetzt werden.

Weiter hat das SEPOS neue standardisierte Vertragsklauseln erarbeitet, zu denen noch eine Konsultation bei den Branchenverbänden durchzuführen ist. Bis Ende 2025 soll die Bekanntgabe der Vertragsklauseln erfolgen.

Beim Ausbildungskonzept bedarf es einiger Anpassungen in Zusammenarbeit mit den Departementen und insbesondere mit dem Eidgenössischen Personalamt. Das Konzept soll bis Ende 2025 in Kraft treten.

Stand der Massnahmenumsetzung durch das EFD und die BK

Die Prüfung der Verträge zwischen dem Bund und dessen Lieferanten auf das Vorhandensein der notwendigen Klauseln im Bereich des Cyberschutzes durch das EFD (Bundesamt für Bauten und Logistik BBL) in Zusammenarbeit mit den Departementen ist abgeschlossen. Wo eine Änderung oder Ergänzung der Verträge notwendig oder zweckdienlich war, wurden die entsprechenden Anpassungen vorgenommen. Alle neuen Verträge enthalten die notwendigen Klauseln.

Zudem wird demnächst eine öffentliche Ausschreibung des BBL zur Beschaffung von Auditleistungen für alle Verwaltungseinheiten des Bundes lanciert. Die Bedarfserhebung erfolgte in Zusammenarbeit mit dem SEPOS, insbesondere um den Bedarf an internen Audits der Ämter in Anwendung des Informationssicherheitsgesetzes zu ermitteln.

Die Bundeskanzlei hat eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt und mit den Departementen besprochen. Die Übersicht zeigt, dass es beim Bund sowohl für klassifizierte Informationen wie auch für Personendaten Lösungen gibt.

Übernahme von Xplain durch die CHAPTERS GROUP AG

Im Oktober 2024 informierte das Unternehmen Xplain seine auftraggebenden Stellen beim Bund über die Übernahme durch die CHAPTERS Group AG, eine Beteiligungsgesellschaft mit Sitz in Hamburg, beziehungsweise durch die Schweizer Tochtergesellschaft CHAPTERS Software Switzerland GmbH. Das SEPOS leitete daraufhin ein Betriebssicherheitsverfahren gemäss Artikel 49 des Informationssicherheitsgesetzes ein. Das Verfahren hat ergeben, dass die Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Bericht InfoGuard AG: IT-Grundschutz des Bundes: Überprüfung der Vorgaben des Bundes für den IT-Grundschutz (PDF, 785 kB)

Politik Hacking
Anzeige

Neueste Beiträge

Anpassung der Energieetikette für Neuwagen ab 1. Januar 2027
Das Eidgenössische Departement für Umwelt, Verkehr, Energie und Kommunikation (UVEK) hat die Grundlagendaten der Energieetikette für Personenwagen aktualisiert.
3 Minuten
ICT-Fachmesse CONNECT von Brack.Alltron erscheint in neuem Gewand
Unter dem Motto «Unboxing Tomorrow» möchte die Handelsgruppe Brack.Alltron die ICT-Themen von morgen präsentieren. 
3 Minuten
10. Jul 2026
Bitkom: Deutsche Digitalwirtschaft zeigt sich weiter stabil
Laut dem Bitkom soll der deutsche Markt für IT und Telekommunikation auch 2026 weiter wachsen. Einen Boom gibt es im Segment der Cloud-Software und bei KI-Plattformen, während der TK-Bereich deutlich weniger zulegt, doch zumindest Zeichen der Erholung aufweist.
3 Minuten
9. Jul 2026

Das könnte Sie auch interessieren

E-Mail «Neue Sprachnachricht» ist Phishing
Betrüger versenden E-Mails, in denen sie behaupten, dass eine neue Sprachnachricht bereitstehe. Damit versuchen sie, an Zugangsdaten von persönlichen Benutzerkonten zu gelangen.
3 Minuten
Open-Source-Technologien im Sicherheitsbereich - Parldigi | Digitale Nachhaltigkeit
In Staat und Wirtschaft kommen seit längerem Open-Source-Technologien zum Einsatz. Doch welche Rolle spielt Open-Source im Bereich Security? Auf diese Frage gab der Parldigi-Anlass in Bern u. a. mit Bundesrat Martin Pfister mögliche Antworten.
4 Minuten
26. Jun 2026
Digital Business im Fokus: Wohin geht die Reise? - Computerworld Ausgabe 2/2026
Autonomie und Souveränität werden inzwischen als Schlagworte mindestens ebenso häufig verwendet wie Künstliche Intelligenz und Datenschutz. Automatisierung und die Transformation zu einer hohen Dichte an KI-Agenten in Unternehmen werden die Zukunft des Digital Business prägen. Daraus entsteht ein Mix, der spannender und komplexer nicht sein könnte. Die Digitalisierung hat Dimensionen erreicht, die sich - Ironie des Wandels - fast nur noch mit KI bewältigen lassen. Höchste Zeit also für einen Überblick. 
2 Minuten
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige