Der Bundesrat hat am Mittwoch eine Administrativuntersuchung zur Aufarbeitung der Ereignisse rund um den desaströsen «Datenabfluss» – so das fast naturgesetzliche Wording der Behörden – bei der IT-Firma Xplain AG auf den Weg gebracht. Das Mandat geht an die Lausanner Kanzlei Oberson Abels SA.
«Die Administrativuntersuchung soll insbesondere aufzeigen, welche Umstände es aufseiten der Bundesverwaltung ermöglicht haben, dass Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam und ob bei der Auswahl, Instruktion und Überwachung der Xplain AG sowie bei der Zusammenarbeit mit dieser Firma die Pflichten angemessen erfüllt wurden», heisst es in dem am Mittwoch vom Bundesrat online gestellten «Untersuchungsauftrag».
Zudem soll das Gremium prüfen, welche Prozesse und Vorgaben in der Bundesverwaltung anzupassen seien, «um künftig die Sicherheitsrisiken, die mit der Übermittlung von Informationen der Bundesverwaltung, darunter klassifizierten Informationen und Personendaten, an externe Dienstleister sowie mit deren Bearbeitung verbunden sind, besser erkennen, adressieren und mitigieren zu können».
Die Administrativuntersuchung nimmt alle Departemente sowie die Bundeskanzlei ins Visier. Und: «Sie richtet sich nicht gegen bestimmte Personen», geht aus dem Dokument weiter hervor.
Die Hackergruppierung «Play» hatte mit einem Ransomware-Angriff auf die Berner Oberländer Firma Xplain in grossem Umfang Bundesdaten gestohlen und am 14. Juni im Darknet veröffentlicht.
Darunter befanden sich auch sogenannt klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung.
Am 28. Juni hatte der Bundesrat einen politisch-strategischen Krisenstab «Datenabfluss» mandatiert. Zudem beauftragte er das Finanzdepartement, in Zusammenarbeit mit dem Krisenstab ein Mandat für eine Administrativuntersuchung zu erarbeiten. Dieses liegt nun auf dem Tisch.
Die Administrativuntersuchung soll bis Ende März 2024 abgeschlossen werden. Danach will der Bundesrat seine Schlüsse daraus ziehen.