Neue Episode im Xplain-Desaster: Unter den von der Hackergruppe «Play» erbeuteten und veröffentlichten Daten befinden sich auch ein Auszug aus der «Hoogan»-Datenbank.
In dieser Datenbank erfasst die Bundespolizei (Fedpol) Personen, die sich an Sportveranstaltungen im In- und Ausland gewalttätig verhalten haben und gegen die der zuständige Kanton oder Fedpol eine Massnahme verhängt haben.
Die XML-Datei, welche die Hacker im Darknet publiziert haben, enthält «Daten von 766 Personen, die im September 2015 im Informationssystem verzeichnet waren», wie die Bundespolizei am Mittwoch mitteilt.
Die Datei enthalte jedoch keine Informationen zu Delikten oder verfügten Massnahmen, versichert die Behörde.
Doch was haben achtjährige, sensible Daten der Sicherheitsbehörden auf einem Server einer privaten IT-Firma zu suchen?, fragt sich der Klein Report. «Abklärungen zu den Auflagen und Umständen, unter denen die Datei an die Dienstleisterin übergeben wurde und dort verblieb, sind im Gang.»
Fedpol habe weder Daten bei der Firma ausgelagert, noch werden dort Informationssysteme für Fedpol betrieben. Die von Fedpol betriebenen Informationssysteme laufen, wie die zugehörige Datenaufbewahrung, in einer gesicherten Infrastruktur des Bundes.
Der Bund war zwar wahrscheinlich nicht verantwortlich für die Sicherheitslücke bei Xplain, die die Hacker ausnutzten. Doch sind die Behörden eben Herrin über ihre Daten, bilanziert der Klein Report.
Seien bei einem «Lieferanten» Daten von Fedpol abgeflossen, die Persönlichkeitsrechte verletzen könnten oder wenn Personen Nachteile drohen, informiere Fedpol die Betroffenen «aktiv und direkt», heisst es bei der Bundespolizei weiter. «Dies unabhängig davon, ob ein eigenes oder ein Fehlverhalten des Lieferanten vorliegt.»
Die Betroffenen würden schriftliche informiert.
Am 12. Juni hatte die Bundespolizei Strafanzeige gegen Unbekannt erstattet, um zu klären, unter welchen Umständen operative Daten auf ein Dateisystem einer privaten Firma gelangen und dort angegriffen werden konnten.
Seit Bekanntwerden des Ransomware-Angriffs auf die IT-Dienstleisterin Xplain vor sechs Woche laufen in der Bundesverwaltung die Drähte heiss. Noch immer ist in weiten Teilen unklar, welche Daten genau betroffen sind.
Die Bundespolizei nutzte die Medienmitteilung, um einen «Hinweis» zu veröffentlichen: «Die Publikation von sensiblen Dateninhalten jeglicher Herkunft sind für den Schutz von Persönlichkeitsrechten und die Sicherheit kontraproduktiv. Eine Weiterverbreitung der illegal veröffentlichten Daten kann für sich sogar einen neuen Straftatbestand darstellen.»
