Bund erinnert IT-Dienstleister an Cybersecurity-Pflichten

IT-Dienstleister, die für den Bund arbeiten, haben unlängst Post erhalten. In einem Brief erinnern die Behörden die Unternehmen an ihre vertraglichen Pflichten, insbesondere in Bezug auf Cybersecurity und Datenschutz. Zudem äussert der Bund die Erwartung, dass seine IT-Dienstleister "sich regelmässig "über aktuelle Cyberbedrohungen und Gegenmassnahmen informieren"; wie "Inside-IT" aus dem Schreiben zitiert.

Demnach enthält das Dokument fünf Punkte, welche die Unternehmen gewährleisten müssten. Sie reichen von der Pflicht zur Multi-Faktor-Authentifizierung über das Verbot zur Speicherung nicht anonymisierter Produktivdaten bis zur Anforderung eines Incident-Response-Prozessses und eines zentralen Logging-Systems. Könnten die genannten Punkte nicht eingehalten werden, seien Vertragspartner und das Nationale Zentrum für Cybersicherheit (NCSC) sofort zu informieren.

Hintergrund des Schreibens dürfte der Ransomwareangriff auf den IT-Dienstleister Xplain sein, der Anfang Juni 2023 publik wurde. Das Unternehmen arbeitet unter anderem für das Bundesamt für Polizei (Fedpol), die Armee und den Zoll, aber auch für Private, für kantonale Behörden und die Landespolizei des Fürstentums Liechtenstein. Die Hackergruppe Play, die den Angriff durchführte, veröffentlichte seither grosse Mengen geschützter Daten im Darknet. Weitere Hintergründe zu diesem Hack und dessen Folgen lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an,. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.