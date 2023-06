Der oberste Datenschützer der Schweiz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) untersucht potenziell schwere Datenschutzverstöße bei den Bundesämtern für Polizei sowie für Zoll und Grenzsicherheit. Diese hätten im Kontext der Untersuchung einer Ransomware-Attacke auf das Unternehmen Xplain AG stattgefunden.

Wie der EDÖB auf seiner Webseite berichtet, hat er bereits Mitte April ein sogenanntes Vorabklärungsverfahren eröffnet. Zuvor warf ein Bericht in der Aargauer Zeitung Fragen zur Rechtmäßigkeit von Zugriffen von Mitarbeitenden des Bundesamts für Zoll und Grenzsicherheit (BAZG) auf das Schweizer nationale Fahndungsregister RIPOL des Schweizer Bundesamts für Polizei (Fedpol) auf.

Nach EDÖB-Anfrage räumen Behörden Verstöße ein

Nachdem der oberste Schweizer Datenschützer bei den Bundesämtern entsprechend nachgehakt hat, haben beide Einrichtungen zunächst mündlich und Anfang Juni auch schriftlich potenzielle Datenschutzverletzungen gemeldet. Sie setzten ihn zudem über das sogenannte DataBreach-Meldeportal darüber in Kenntnis, "dass es durch die Zusammenarbeit mit der Softwareanbieterin Xplain AG zu Verletzungen der Datensicherheit mit potentiell hohen Risiken für die Betroffenen gekommen sei".

Die Vorabklärung sei damit abgeschlossen. Der EDÖB hat basierend auf den Erkenntnissen am Dienstag vergangener Woche die "formelle Untersuchung wegen Anzeichen auf potenziell schwere Verstöße gegen die Datenschutzvorschriften eröffnet".

Wie Watson berichtet, ist die Cybergang Play im Mai durch eine serverseitige Sicherheitslücke bei der Xplain AG eingebrochen und hat dort unter anderem Daten der Bundesverwaltung entwendet. Dieselben Angreifer haben zuvor bereits etwa im April die NZZ mit einem Ransomware-Angriff lahmgelegt. Am 1. Juni hätten die Cyberkriminellen demnach zunächst einige Gigabyte an gestohlenen Daten im Darknet veröffentlicht, um schließlich am 14. Juni mit einer vollständigen Datenveröffentlichung mit einem Umfang von rund 900 Gigabyte nachzulegen.

Die Aargauer Zeitung berichtete in dem Kontext, dass zivile Zollangestellte Zugriff auf das Fahndungssystem RIPOL hatten, was bereits im März abgestellt wurde. Das BAZG wusste offenbar, dass die Zugriffe nicht legal waren. Da es aber "praktisch war und die rechtliche Grundlage im Zollgesetz auf sich warten liess", hatte es die Berechtigungen trotzdem vergeben, resümiert Watson.

