Die Xplain AG, eine führende Software-Firma aus Bern, wurde im Mai 2023 Opfer eines Cyberangriffs durch die Ransomware-Gruppe «Play». Im Rahmen dieses Angriffs wurden Daten entwendet, verschlüsselt und es wurde ein Lösegeld gefordert, auf das Xplain AG nicht reagierte. Am 14. Juni 2023 wurden die gestohlenen Daten im Darknet veröffentlicht, was gravierende datenschutzrechtliche Implikationen hatte.
Seit mehr als zwei Jahrzehnten liefert Xplain der Landespolizei technische Anwendungen, Softwareentwicklung und Support. Unter den im Darknet veröffentlichten Daten befanden sich daher auch Datensätze, die von der Landespolizei übermittelt wurden.
Die Landespolizei hat bereits begonnen, das Ausmass des Schadens zu ermitteln. Die Analyse des erbeuteten Datensatzes ergab das Vorhandensein von Personendaten, die im Zusammenhang mit den von Xplain durchgeführten Entwicklungs- und Supportarbeiten gespeichert wurden. Es wurden 59 solcher Personendatensätze identifiziert, von denen einige zu aktuellen und ehemaligen Mitarbeitern gehören und andere aus dem Personenregister stammen. Es wird derzeit geprüft, ob einige dieser Personendaten reine Testdaten sein könnten.
Das Ministerium für Inneres und die Datenschutzstelle wurden über den Vorfall sowie das Ergebnis der Datenanalyse informiert. Inzwischen wurden seitens der Landespolizei umgehende Schutzmassnahmen für ihre Systeme ergriffen. Zudem wurde eine interne Arbeitsgruppe eingesetzt, um Lehren aus diesem Vorkommnis zu ziehen und die Datensicherheit, insbesondere hinsichtlich der Schnittstelle zu IT-Lieferanten, zu erhöhen.
Es ist zu beachten, dass keine vertraulichen Daten oder Informationen aus den operationellen Datenbanken der Landespolizei gestohlen wurden.
Die strafrechtliche Verantwortung für diese Straftat liegt bei den Schweizer Strafverfolgungsbehörden, die in engem Kontakt mit unserer Landespolizei stehen. Ein IT-Forensiker der Liechtensteinischen Landespolizei ist zudem in der kantonalen Taskforce aktiv beteiligt, um die im Darknet veröffentlichten Xplain-Daten weiter zu analysieren.
Die Landespolizei wird die betroffenen Personen unverzüglich benachrichtigen, sobald deren Identitäten abschliessend verifiziert und die aktuellen Adressen erhoben wurden. Die fortlaufende Untersuchung soll aufklären, welche Datensätze tatsächliche Informationen enthalten und welche möglicherweise nur Testdaten sind.