Xplain hat einiges zu erklären

Behörde, Datensicherheit, Widerspruch.

Zögerlich sind Bundesbehörden und Medien aufgewacht. Bei der privaten Sicherheitsfirma Xplain sind mehrere Millionen sensible Daten abhanden gekommen und waren zeitweise im Darknet einsehbar.

Mehr als 30 Schweizer Amtsstuben sind Kunden der IT-Firma aus Interlaken. Vertraulich sind dabei in erster Linie die Geschäftsbeziehungen. Wie wird eine solche Firma ausgewählt, wie wird ihr Sicherheitsstandard überprüft. Oder einfach gefragt: wie kann es offenbar russischen kriminellen Hackern gelingen, dermassen viele Daten abzusaugen und nach einem misslungenen Erpressungsversuch zu veröffentlichen?

Gleich sieben Kräfte wirft Tamedia in die Informationsschlacht. Die bringen so wertvolle Erkenntnisse an die Oberfläche wie die, dass die IT-Bude ihre Räumlichkeiten oberhalb einer Kebab- und einer India-Bude hat. Scharf recherchierte Erkenntnis: «Es duftet nach Tandoori Chicken und Döner mit scharf.»

Das war sicherlich insofern eine gute Nachricht, weil die dortige Einkehr im Rahmen des Spesenreglements von Tamedia gelegen haben dürfte. Aber obwohl es den Informationsbeschaffern sogar gelungen ist, mit dem  Gründer und CEO von Xplain zu sprechen, ergibt sich daraus nur: «Darüber kann Löwinger derzeit nicht sprechen.»

Worüber aber zu sprechen wäre, listet «20 Minuten» auf. Der neuste Datenskandal ist ein weiterer in einer langen Liste. Den Anfang machte «Insieme» im Jahr 2012. Korruption vom Feinsten, freihändige Vergabe von Millionenaufträgen, ungetreue Amtsführung. 120 Millionen Franken später zog der Bundesrat die Notbremse und beendete das Projekt.

Der bundeseigene Rüstungsbetrieb Ruag wurde ein Jahr lang ausspioniert, bis die angebliche Expertin für Datensicherheit vom Nachrichtendienst des Bundes 2016 darauf aufmerksam gemacht wurde; selbst hatte sie nix bemerkt.

2022 poppte das Milliardenprojekt für die Cybersicherheit der Armee auf. Es soll zwischen 800 Millionen und 3 Milliarden kosten, oder so. Es soll auch irgendwann fertig werden, zu unbekannten Kosten.

Zur Bearbeitung der Welle von Asylgesuchen nach Ausbruch des Ukrainekriegs beschaffte sich der Bund schnell ein Registriertool für 2,8 Millionen Franken. Freihändig, also ohne Ausschreibung. Und jetzt Xplain.

Dazu kommt noch das Datenleck bei den Corona-Krediten und der Skandal um die angeblich sichere Verschlüsselungstechnologie der Crypto AG.

Und jetzt Xplain. Neben vielem anderen kann man die Adressen von Bundesräten oder Top-Kadern einsehen, heikle Daten von Interpol, SBB-Datensammlungen über Kunden, Fahndungslisten, und, und, und.

Anscheinend soll sich die Firma in Absprache mit dem Bund geweigert haben, ein gefordertes Lösegeld zu bezahlen. Das alles ist sozusagen normaler Bestandteil des aktuellen Kampfes um Datensicherheit. Dabei gilt grundsätzlich: was von A nach B transportiert wird, kann auch abgegriffen werden.

Sowohl die Verschlüsssler wie die Knacker rüsten unablässig auf, aber es bleibt die Tatsache bestehen, dass nicht einmal nur physisch gelagerte Daten vor Diebstahl sicher sind. Allerdings erhebt sich hier wieder einmal eine ganze Latte von Fragen.

In erster Linie: wieso die Unsitte von Behörden, Aufträge freihändig zu vergeben, obwohl es klare und eindeutige Vorschriften gibt, dass ab einer niedrigen Schwelle obligatorisch eine Ausschreibung zu erfolgen hat, niemals Konsequenzen hat. So bekam Xplain offenbar nach Gewohnheitsrecht mehr und mehr Aufträge in Millionenhöhe, ohne dass die Behörden in der Lage wären, deren Sicherheitsstandards zu überprüfen.

Erschwerend kommt hinzu, dass sensible Daten offenbar auf Servern von Xplain gelagert wurden, möglicherweise sogar in der Cloud. Auch wenn sie dort verschlüsselt sind, ist das natürlich eine laut ausgesprochene Einladung an Hacker.

Hacken ist dabei ein Geschäft wie jedes andere. Es geht um Aufwand und Ertrag. Hacker haben null Interesse, sich an mit allen Schikanen und modernsten Mitteln verschlüsselten Daten die Zähne auszubeissen. Sie nehmen sich immer Kandidaten vor, bei denen Schwachstellen zu vermuten sind.

Etwas anderes sind übrigens Hacks, von denen nicht zuletzt Tamedia immer wieder profitiert. Hier geht es um das Stehlen von Geschäftsunterlagen, die dann als «Papers» oder «Leaks» ausgeschlachtet und als Hehlerware veröffentlicht werden. Wobei die Motive der Hacker, die diese Datenseen gratis zur Verfügung stellen, immer im Dunklen bleiben. Genau wie die Kriterien der profitierenden Medien, nach welchen sie einzelne Personen medial ans Kreuz nageln – und andere nicht.

Diese Veröffentlichungen hatten bei den Profiteuren der Hehlerware noch nie personelle oder andere Konsequenzen. Genau so wird es nun wohl auch bei den schlampigen Bundesbehörden gehen, obwohl Alfred Heer, Mitglied der Geschäftsprüfungskommission, bereits «lückenlose und rasche Aufklärung» sowie personelle Konsequenzen gefordert hat. Abgesehen davon, dass er dafür das falsche Parteibuch hat – SVP – wird es höchstens zu ein paar Frühpensionierungen kommen.

Ob allerdings Xplain diesen Schlag überlebt, ist mehr als zweifelhaft.