Kanzlei Oberson Abels SA soll Xplain-Hack für Bundesrat untersuchen

Im Auftrag des Bundesrats wird das Eidgenössische Finanzdepartement (EFD) ein Untersuchungsorgan einsetzen. Das EFD wird die Genfer Kanzlei Oberson Abels SA mandatieren. Als unabhängige Stelle soll sie untersuchen, ob die Bundesverwaltung bei der Auswahl, Instruktion und Überwachung der Xplain AG sowie der Zusammenarbeit mit dieser Firma ihre Pflichten angemessen erfüllt hat. Zudem sollen Massnahmen identifiziert werden, um einen ähnlichen Vorfall künftig zu verhindern.

Die Hackergruppierung «Play» hat mit einem Ransomware-Angriff auf Xplain Daten gestohlen und am 14. Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet veröffentlicht. Darunter befinden sich auch klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung. Nachdem der Bund Anfang Juni von Xplain über den Angriff informiert worden war, wurden umgehend Massnahmen getroffen, um das Sicherheitsrisiko zu minimieren.

Am 28. Juni 2023 hat der Bundesrat den politisch-strategischen Krisenstab «Datenabfluss» (PSK-D) mandatiert. Zudem hat er das EFD beauftragt, in Zusammenarbeit mit dem PSK-D ein Mandat für eine Administrativuntersuchung zu erarbeiten.

Die zu mandatierende Kanzlei Oberson Abels SA soll aufzeigen, welche Umstände es aufseiten der Bundesverwaltung ermöglicht haben, dass Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam. Weiter soll geklärt werden, ob die Bundesverwaltung bei der Auswahl, Instruktion und Überwachung der Xplain AG sowie der Zusammenarbeit mit dieser Firma ihre Pflichten angemessen erfüllt hat. Zudem soll geprüft werden, welche Prozesse und Vorgaben in der Bundesverwaltung angepasst werden müssen, um künftig die Sicherheitsrisiken zu minimieren. Die Untersuchung erstreckt sich auf alle Departemente und die Bundeskanzlei.

Der Bundesrat hat das EFD beauftragt, das Untersuchungsorgan bei der Durchführung der Administrativuntersuchung als Koordinationsstelle zu begleiten. Das EFD wird dabei durch eine Kerngruppe unterstützt, in der das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS), das Eidgenössische Justiz- und Polizeidepartement (EJPD) und die Bundeskanzlei Einsitz nehmen. Das EFD übernimmt die Leitung dieser Kerngruppe.

Die Administrativuntersuchung soll bis Ende März 2024 abgeschlossen werden. Nach deren Durchführung wird der Bundesrat über die Ergebnisse und Empfehlungen informiert, damit er über die Folgen der Administrativuntersuchung entscheiden kann.

Bundesangestellte sowie Dritte können sachdienliche Hinweise zuhanden der Administrativuntersuchung auf der gesicherten externen Whistleblowing-Plattform der Eidgenössischen Finanzkontrolle (EFK) melden (www.whistleblowing.admin.ch).