Kanton Aargau: Cyberangriff auf die Firma Xplain AG - aktuelle Situation
Information der von Datenschutzverletzungen betroffenen Personen abgeschlossen.
Ende Mai 2023 wurde bekannt, dass die Schweizer Firma Xplain AG Opfer eines Ransomware- Angriffs durch die Hackergruppe „Play“ geworden ist.
Betroffen von diesem Cyberangriff waren auch Daten des Departements Volkswirtschaft und Inneres (DVI) des Kantons Aargau, die im Rahmen von Softwareentwicklungsprojekten mit der Xplain AG ausgetauscht wurden und auf deren Infrastruktur gespeichert waren. Personen, die von den Datenschutzverletzungen betroffen sind, hat das DVI in Abstimmung mit der Beauftragten für Öffentlichkeit und Datenschutz (ÖDB) informiert. Die Informatiksicherheit der Kantonalen Verwaltung war vom Ransomware-Angriff nicht betroffen. In der Beantwortung eines parlamentarischen Vorstosses hat der Regierungsrat zu verschiedenen Fragen zum Vorfall Stellung genommen.
Die Xplain AG entwickelt seit rund zehn Jahren verschiedene Anwendungen für das Departement Volkswirtschaft und Inneres (DVI). Die Applikationen „JustThis“ für das Amt für Migration und Integration (MIKA) und „Polaris“ für die Kantonspolizei sind produktiv im Einsatz und werden vom DVI auf der kantonalen IT-Infrastruktur betrieben.
Nach Bekanntwerden des Cyberangriffs hat das DVI unverzüglich eine Task Force unter Leitung des Generalsekretärs gebildet und die Projektarbeiten für die Entwicklung weiterer Systeme in Zusammenarbeit mit Xplain bis auf Weiteres sistiert. Die Task Force plant, koordiniert und dokumentiert sämtliche Massnahmen für die Applikationen, die vom Cyberangriff auf Xplain betroffen waren. Darunter gehört nebst dem Umgang mit den Datenschutzverletzungen und Massnahmen zur Risikominimierung auch die Klärung der weiteren Zusammenarbeit mit Xplain.
In der Beantwortung der Interpellation von René Bodmer vom 29. August 2023 betreffend mehrfache Attacken auf die IT-Infrastruktur des Kantons Aargau sowie auf deren externen Dienstleister, die Firma Xplain, hat der Regierungsrat zu verschiedenen Fragen Stellung genommen. Dabei hat er auch festgehalten, dass verschiedene Fragen nach diversen sensitiven Informationen rund um die kantonale Infrastruktur zu deren Schutz nicht vollständig beantwortet werden können.
Umfang und Inhalt der veröffentlichten Daten
Gesamthaft veröffentlichte die Hackergruppe gegen 342 Gigabyte (GB) an Daten. Davon betreffen rund 9,5 Prozent (32 GB) das DVI.
Bei der Analyse der publizierten Daten wurden auch sensible Daten gefunden, die einen erhöhten Schutzbedarf aufweisen. Bei JustThis sind dies einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide. Bei Polaris handelt es sich um Fehleraufzeichnungen, Musterberichte als Grundlage für Softwareentwicklung sowie Screenshots früherer und aktueller Systeme, die operative und unvollständig anonymisierte Daten beinhalten.
Die Task Force hat dazu festgestellt, dass einige der für den Wissensaustausch benötigten Daten auf der Infrastruktur der Verwaltung hätten belassen und Daten bei der Lieferantin auch früher wieder hätten gelöscht werden müssen.
Massnahmen zur Risikominimierung
Um die Risiken bei den produktiven Systemen von Xplain zu minimieren, hat das DVI verschiedene Massnahmen zur Absicherung und Überwachung der IT-Infrastruktur sowie verschiedene organisatorische Massnahmen umgesetzt und Quellcode-Analysen durchgeführt.
Zudem werden Kantonsmitarbeitende und Mitwirkende in IT-Projekten im Umgang mit sensiblen Daten verstärkt sensibilisiert und geschult. Die Verträge mit den Lieferanten werden bezüglich Informationssicherheit, Datenschutz und Datenaustausch überprüft und bei Bedarf angepasst. Zudem wurden verstärkte Kontrollen betreffend Löschung von Daten eingeführt. Andreas Bamert-Rizzo, Generalsekretär DVI, sagt hierzu: „Wir haben aus dem Vorfall gelernt. Es geht darum, die notwendigen Massnahmen zu ergreifen, um möglichst gut gegen einen Cyberangriff geschützt zu sein, aber auch die Folgen eines möglichen Cyberangriffs soweit wie möglich zu minimieren. Dabei muss auch die Informationssicherheit bei externen Lieferanten besser beachtet werden.“
Information der betroffenen Personen
Ein öffentliches Organ wie die Kantonale Verwaltung ist gemäss Gesetz über die Information der Öffentlichkeit, den Datenschutz und das Archivwesen (IDAG) verpflichtet, die betroffene Person zu informieren, falls eine unbefugte Datenbearbeitung oder ein Datenverlust vorliegt, wenn es zum Schutz der Person erforderlich ist oder wenn die Beauftragte für Öffentlichkeit und Datenschutz (ÖDB) es verlangt. Die Informationspflicht entfällt dann, wenn die Information nicht oder nur mit unverhältnismässigem Aufwand möglich ist.
Nach der detaillierten Analyse der veröffentlichten Daten hat das DVI die Ergebnisse und die Vorschläge zur Information der betroffenen Personen mit der ÖDB besprochen. Insgesamt mussten gemäss gemeinsamer Einschätzung 23 Personen direkt über die Datenschutzverletzungen informiert werden. Die entsprechende Information erfolgte Anfang Oktober 2023.
Quelle: Kanton Aargau Staatskanzlei
Titelbild: Symbolbild © DreamerAchieverNoraTarvus – shutterstock.com