Cyberkriminalität Aargauer Datenlieferung an Xplain ist laut Datenschutz «unzulässig»

ga, sda

24.1.2024 - 15:36

Die Aargauer Kantonsverwaltung hat dem gehackten Unternehmen Xplain sensible Daten geliefert. Das sei "unzulässig" gewesen, hält die Datenschutzbeauftragte fest. Und die Daten wurden bei Xplain von einer Hackergruppe gestohlen und im Darknet veröffentlicht. (Archivbild)
Die Aargauer Kantonsverwaltung hat dem gehackten Unternehmen Xplain sensible Daten geliefert. Das sei "unzulässig" gewesen, hält die Datenschutzbeauftragte fest. Und die Daten wurden bei Xplain von einer Hackergruppe gestohlen und im Darknet veröffentlicht. (Archivbild)
Keystone

Die Aargauer Kantonsverwaltung hat im Vorfeld des Datendiebstahls bei der Softwarefirma Xplain gegen die Datenschutzbestimmungen verstossen. Daher hat die kantonale Beauftragte für Öffentlichkeit und Datenschutz die Verwaltung in einem Bericht scharf kritisiert. Die Herausgabe der Daten sei «unzulässig» gewesen.

Konkret hatte der Kanton dem Anbieter von Behördensoftware produktive und besonders schützenswerte Daten geliefert. Die Hackergruppe «Play» machte im ersten Halbjahr 2023 einen Ransomware-Angriff auf Xplain und lud eine riesige Datenmenge herunter. Da Xplain kein Lösegeld bezahlte, veröffentlichte «Play» die Daten im Darknet.

Das Aargauer Departement Volkswirtschaft und Inneres (DVI) lieferte die Daten laut Aargauer Regierungsrat im Rahmen von Software-Entwicklungsprojekten an Xplain. Die Verwaltung trug also ihren Anteil dazu bei, dass bei der Firma überhaupt sensible Daten gespeichert waren und geklaut werden konnten. Der Kanton arbeitet seit rund zehn Jahren mit der Firma in Interlaken BE zusammen.

Im Vertrag steht nichts

«Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur war in den Verträgen mit Xplain nicht vorgesehen», heisst es im Bericht. Daher seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden.

«Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts», hält die Datenschutzbeauftragte Gunhilt Kersten im Bericht fest: «Die Übermittlung von Produktivdaten, insbesondere von besonders schützenswerten Personendaten an Xplain AG war daher unzulässig.» Der Bericht von Ende Dezember wurde auf der Website des Kantons publiziert.

Heikle Daten nicht zum Testen nutzen

Die allgemeinen Geschäftsbedingungen des Kantons Aargau über die Informationssicherheit und den Datenschutz (ISDS) sehe bei der Erbringung von Informatikdienstleistungen explizit vor, «dass Produktivdaten unter keinen Umständen zu Testzwecken benutzt werden dürfen», steht im Bericht weiter.

Das Innendepartement machte laut Bericht zwar geltend, produktive Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung an den Dienstleister übermittelt worden.

Auch Kantonspolizei lieferte Daten

Darunter waren auch betriebliche Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide sowie Daten des kantonalen Einwohnerregister und von JustThis (Geschäftsverwaltung Strafjustiz) und Polaris (Geschäftsverwaltung Polizei).

«Dabei handelt es sich auch um produktive, besonders schützenswerte Personendaten. Diese Daten waren von Abteilungen des DVI beziehungsweise der Kantonspolizei an Xplain AG übermittelt worden», heisst es im Bericht der Datenschutzbeauftragten.

Das DVI habe nicht eingehender abgeklärt, ob eine Übermittlung von Produktivdaten an Xplain erforderlich gewesen sei oder ob die Ziele auch auf der Infrastruktur des Kantons oder durch Verwendung von Test- oder anonymisierten Daten hätten erreicht werden können.

Kanton muss nachbessern

Die Datenschutzbeauftragte bemängelt, dass im Rahmen der internen Dienstaufsicht nicht bemerkt sei, dass unzulässige Datenbekanntgaben durch die verantwortlichen Stellen an Xplain AG erfolgt seien.

Die Datenschutzbeauftragte empfiehlt, dass die internen Prozesse des DVI daraufhin zu überprüfen seien, ob die rechtzeitige Durchführung von Datenschutz-Folgeabschätzungen darin genügend verankert seien. Auch soll geklärt werden, wer innerhalb des DVI für die Einhaltung der Datenschutzvorschriften verantwortlich sei.

Die Hackergruppe «Play» veröffentlichte nach dem Datenklau bei Xplain insgesamt 32 Gigabyte Daten aus dem DVI. Veröffentlicht wurden unter anderem geschäftliche Kontaktdaten von Mitarbeitenden des Amts für Migration und Integration des Kantons Aargau (MIKA) und der Kantonspolizei sowie Kontaktdaten von Gemeinden und Sozialdiensten.

ga, sda