Anzeige
Anzeige
Anzeige
NMGZ-Patrick
Patrick Hediger
19. Feb 2025
Lesedauer 4 Min.

Massnahmen zur Vermeidung von künftigen Datenabflüssen

Cyberangriff auf Xplain

An seiner Sitzung vom 19. Februar 2025 ist der Bundesrat über den Fortschritt bei der Umsetzung der Massnahmen informiert worden, die er am 1. Mai 2024 zur Vermeidung von künftigen Datenabflüssen bei IT-Lieferanten der Bundesverwaltung beschlossen hatte.
© (Quelle: Xplain)

Die Umsetzung der Massnahmen schreitet voran. Zudem hat das durch das SEPOS durchgeführte Betriebssicherheitsverfahren ergeben, dass die kürzliche Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Im Frühjahr 2023 wurden bei der Xplain AG, einer Lieferantin von Software für den Sicherheitsbereich, bei einem Ransomware-Angriff Daten gestohlen. Darunter waren auch produktive Daten der Bundesverwaltung, namentlich vertrauliche Informationen und besonders schützenswerte Personendaten. Im August 2023 ordnete der Bundesrat eine Administrativuntersuchung durch eine externe Stelle an, um zu erfahren, welche Umstände zum Datenabfluss geführt hatten.

Auf der Grundlage der Untersuchungsergebnisse und zusätzlich zu den im Rahmen des neuen Informationssicherheitsgesetzes eingeleiteten Massnahmen beschloss der Bundesrat am 1. Mai 2024 ein Massnahmenpaket, mit dem die Risiken von Datenabflüssen wesentlich reduziert werden sollen. Der Fokus des Pakets lag auf den folgenden drei Bereichen:

•    Erstens die Stärkung des Sicherheitsmanagements, unter anderem durch die Umsetzung zusätzlicher Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten, sowie die Stärkung der Kontroll- und Auditfähigkeit.

•    Zweitens die Erarbeitung bis Ende 2024 eines Ausbildungskonzepts für die Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben.

•    Drittens das Erstellen einer Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden.

An seiner Sitzung vom 19. Februar 2025 wurde der Bundesrat über den Stand der Massnahmen informiert, die in der Verantwortung des Staatssekretariats für Sicherheitspolitik (SEPOS), des Eidgenössischen Finanzdepartements (EFD) und der Bundeskanzlei (BK) liegen. Die Umsetzung der Massnahmen schreitet voran.

Stand der Massnahmen in der Verantwortung des SEPOS

Das SEPOS erhielt insbesondere den Auftrag, den IT-Grundschutz in der Bundesverwaltung zu untersuchen und gegebenenfalls Anpassungen vorzuschlagen. Das in diesem Zusammenhang beauftragte Unternehmen InfoGuard AG hat Anfang Januar 2025 einen Bericht vorgelegt. Dieser kommt zu folgendem Schluss: Auch wenn mit dem IT-Grundschutz in der Bundesverwaltung eine effiziente und bewährte Grundlage für die Informationssicherheit vorhanden ist, besteht ein gewisses Optimierungspotenzial, was insbesondere die Integration der neuen Sicherheitsthemen, die Ausbildung sowie die Begleitung und die Evaluierung der Wirkung von technischen Sicherheitsmassnahmen betrifft. Die Empfehlungen der InfoGuard AG werden analysiert und an den entsprechenden Weisungen werden bis Ende 2025 die notwendigen Anpassungen vorgenommen.

Zur Stärkung der Sicherheit bei der Zusammenarbeit mit Lieferanten hat das SEPOS ein neues Konzept zur Kontroll- und Auditfähigkeit bei Lieferanten erarbeitet, das von einer interdepartementalen Expertengruppe des Bundes validiert wurde. Das Konzept soll im Laufe des Jahres 2025 innerhalb des Bundes umgesetzt werden.

Weiter hat das SEPOS neue standardisierte Vertragsklauseln erarbeitet, zu denen noch eine Konsultation bei den Branchenverbänden durchzuführen ist. Bis Ende 2025 soll die Bekanntgabe der Vertragsklauseln erfolgen.

Beim Ausbildungskonzept bedarf es einiger Anpassungen in Zusammenarbeit mit den Departementen und insbesondere mit dem Eidgenössischen Personalamt. Das Konzept soll bis Ende 2025 in Kraft treten.

Stand der Massnahmenumsetzung durch das EFD und die BK

Die Prüfung der Verträge zwischen dem Bund und dessen Lieferanten auf das Vorhandensein der notwendigen Klauseln im Bereich des Cyberschutzes durch das EFD (Bundesamt für Bauten und Logistik BBL) in Zusammenarbeit mit den Departementen ist abgeschlossen. Wo eine Änderung oder Ergänzung der Verträge notwendig oder zweckdienlich war, wurden die entsprechenden Anpassungen vorgenommen. Alle neuen Verträge enthalten die notwendigen Klauseln.

Zudem wird demnächst eine öffentliche Ausschreibung des BBL zur Beschaffung von Auditleistungen für alle Verwaltungseinheiten des Bundes lanciert. Die Bedarfserhebung erfolgte in Zusammenarbeit mit dem SEPOS, insbesondere um den Bedarf an internen Audits der Ämter in Anwendung des Informationssicherheitsgesetzes zu ermitteln.

Die Bundeskanzlei hat eine Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden erstellt und mit den Departementen besprochen. Die Übersicht zeigt, dass es beim Bund sowohl für klassifizierte Informationen wie auch für Personendaten Lösungen gibt.

Übernahme von Xplain durch die CHAPTERS GROUP AG

Im Oktober 2024 informierte das Unternehmen Xplain seine auftraggebenden Stellen beim Bund über die Übernahme durch die CHAPTERS Group AG, eine Beteiligungsgesellschaft mit Sitz in Hamburg, beziehungsweise durch die Schweizer Tochtergesellschaft CHAPTERS Software Switzerland GmbH. Das SEPOS leitete daraufhin ein Betriebssicherheitsverfahren gemäss Artikel 49 des Informationssicherheitsgesetzes ein. Das Verfahren hat ergeben, dass die Übernahme von Xplain durch die CHAPTERS GROUP AG keine besonderen Risiken für die Informationssicherheit des Bundes nach sich zieht.

Bericht InfoGuard AG: IT-Grundschutz des Bundes: Überprüfung der Vorgaben des Bundes für den IT-Grundschutz (PDF, 785 kB)

Inhalt
Politik Hacking
Anzeige

Neueste Beiträge

People
Ines Stutz mit mehr Verantwortung bei Aveniq
Ines Stutz übernimmt Leitung des neu geschaffenen Bereiches Consulting & Project Services.Um Kunden in Transformations- und Projektvorhaben noch gezielter zu unterstützen, stärkt Aveniq ihr Beratungs- und Projektgeschäft.
2 Minuten
NMGZ-Patrick
Patrick Hediger
25. Apr 2026
Mehr erfahren
Software & Development
Auf deutschen Smartphones sind im Schnitt fast 50 Apps installiert
Der Bitkom hat eine Befragung durchgeführt, wie viele und welche Apps die Deutschen auf ihren Smartphones nutzen. Die Zahl hat gegenüber dem Vorjahr erneut zugenommen, wobei Messenger den Nutzern am wichtigsten sind.
2 Minuten
boris-boden.jpg
Boris Boden
25. Apr 2026
Mehr erfahren
Software & Development
Irgendwo im ­Nirgendwo
Manchmal braucht es einfach die genauen GPS-Koordinaten, um den eigenen Standort durchzugeben.
2 Minuten
klaus-zellweger.jpg
Klaus Zellweger
26. Apr 2026
Mehr erfahren

Das könnte Sie auch interessieren

Security & Compliance
Phishing im Zusammenhang mit Verkäufen auf Ricardo.ch
Cyberkriminelle nutzen gezielt Verkaufsinserate auf Ricardo.ch, um Inserierende mit einer Kombination aus echten und gefälschten Nachrichten zu täuschen. Dabei versuchen sie, an die TWINT-Nummer und den TWINT-PIN der Betroffenen zu gelangen, um missbräuchliche Zahlungen vorzunehmen.
3 Minuten
NMGZ-Patrick
Patrick Hediger
30. Mär 2026
Security & Compliance
Cyberbedrohungslage in der Schweiz bleibt hoch
Der Halbjahresbericht des Bundesamtes für Cybersicherheit (BACS) beschreibt die relevanten Vorfälle und Entwicklungen im Kontext der Cyberbedrohungen gegen die Schweiz und international im zweiten Halbjahr 2025. Die Angriffe werden gezielter und komplexer.
4 Minuten
NMGZ-Patrick
Patrick Hediger
31. Mär 2026
Security & Compliance
Start der nationalen Sensibilisierungskampagne für Cybersicherheit 2026
Phishing- und Betrugsversuche sind weit verbreitet und werden oft erkannt, sodass angemessene Cybersicherheitsmassnahmen ergriffen werden. Dennoch bestehen Unsicherheiten, da KI-gestützte Nachrichten zunehmend personalisiert sind und dadurch noch authentischer wirken. 
3 Minuten
NMGZ-Patrick
Patrick Hediger
13. Apr 2026
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige