Digital
Analyse

Xplain: Gehackte Software-Lieferantin des Bundes weiter in der Kritik

Sicht auf ein Gebaeude mit dem Hauptsitz der IT-Firma Xplain, am Sonntag, 2. Juli 2023, in Interlaken. Die IT-Firma wurde im letzten Mai gehackt. Die Software des Unternehmens wird bei Polizei-, Geric ...
Die Xplain AG hat ihren Hauptsitz in Interlaken. Insgesamt beschäftigt die Firma über 80 Mitarbeitende an sieben Standorten.Bild: keystone
Analyse

Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik

Nach dem Hackerangriff auf die zuvor kaum bekannte Softwarefirma Xplain landeten sensible Daten des Bundes im Darknet. Wie sich nun zeigt, waren die Bundesaufträge nicht nur lukrativ, sondern auch gefährlich.
09.07.2023, 09:10
Ann-Kathrin Amstutz und Florence Vuichard / ch media
Mehr «Digital»

Der Test ist etwas für Nerds, für techaffine Leute wie Jorgo Ananiadis. Und so hat sich der Präsident der Piratenpartei und IT-Experte am Mittwoch hingesetzt und mit einem einfachen Standardverfahren die Website von Xplain analysiert, also das Einstiegsportal jener Softwarefirma, die dafür mitverantwortlich ist, dass nun Berge von Bundesdaten im Darknet gelandet sind.

Der Befund war ernüchternd, die Note F klar ungenügend. Der gut gemeinte Rat des Testtools: «Autsch, Sie sollten sofort an Ihrer Sicherheitslage arbeiten.»

Weitere Mängel entdeckt

Eine unsichere Webseite ist freilich noch kein Beweis für ein unsicheres Datenmanagement. Aber sie ist ein Indiz dafür, wie der Schweizer Sicherheitsexperte und Berater Christian Folini betont. Denn der Aufwand, um die eigene Homepage von F auf die Bestnote A zu hieven, sei überschaubar. «Es zeugt also von einem tiefen Sicherheitsbewusstsein, wenn man es nicht macht.»

Christian Folini, Cybersecurity-Experte.
Christian Folini.Bild: PD

Doch Folini wollte es genauer wissen und hat sich aufgrund von Ananiadis Testresultat etwas genauer umgeschaut im Xplain-Universum. Dabei stiess er auf mehrere Mängel: Ein Server, den Xplain für das Bundesamt für Polizei (Fedpol) installierte, sei seit drei Jahren nicht mehr auf den neusten Stand gebracht worden, und die Login-Maske des Servers erlaube es einem Angreifer allzu leicht, die Passwörter der Mitarbeitenden des Bundes mitzuschreiben.

Eine unsichere Website ist für Piratenpartei-Präsident Ananiadis ein Alarmsignal, ein Gebot zur Vorsicht: «Ich bringe schliesslich mein Geld auch nicht zu einer Bank, die kaputte Fensterscheiben und eine defekte Türe hat.»

Um welche Aufträge in Millionenhöhe ging es?

Der Bund, mehrere Kantone und die SBB waren da etwas weniger wählerisch. Sie störten sich offensichtlich auch nicht an der Tatsache, dass Xplain nach keinem Standard für Informationssicherheit (ISO 27001) zertifiziert ist.

Sie verteilten gemäss Angaben der Informationsplattform fürs öffentliche Beschaffungswesen (Simap) insgesamt 20 Aufträge an Xplain im Wert von total über 30 Millionen Franken – mit der Option auf weitere 21 Millionen.

Hauptkundin mit fünf Projekten ist die Eidgenössische Zollverwaltung, die neu Bundesamt für Zoll und Grenzsicherheit (BAZG) heisst. Das Bundespolizeiamt Fedpol und das Verteidigungsdepartement kommen auf je drei Aufträge.

Hinzu kommen die Aufträge, die gar nicht auf Simap gelistet sind. Das BAZG erteilte seinen ersten Auftrag an Xplain im Wert von knapp 1,3 Millionen Franken bereits 2009. Da dieser nicht dem Beschaffungsgesetz unterstellt war, sei keine öffentliche Publikation erfolgt, heisst es heute beim Zollamt.

Ob auch das Fedpol Aufträge ohne öffentliche Publikation erteilt hat, ist unklar. Das Polizeiamt liess entsprechende Fragen unbeantwortet.

Bei 11 von 20 öffentlich ausgeschriebenen Fällen wurden die Aufträge freihändig vergeben, also ohne vorgängige öffentliche Ausschreibung. Xplain erhielt den Zuschlag gemäss Simap meist, weil die Softwarefirma mit Sitz im bernischen Interlaken das «wirtschaftlich günstigste Angebot» vorgelegt habe oder weil es sich um «Folgeaufträge» handelt. Offensichtlich hat Xplain hier die ursprüngliche Software bereitgestellt oder entwickelt und folglich dann auch den fortführenden Auftrag erhalten, da die Software ihr «geistiges Eigentum» sei.

Was lief schief?

Dass eine intensive Zusammenarbeit zwischen Bundesbehörden und Xplain besteht, erklärt allerdings noch nicht, wie derart heikle Daten wie etwa die Adressen von Bundesratsmitgliedern auf die Server der IT-Firma gelangen konnten.

Diese Frage wird aktuell vom Bund untersucht. Aufgrund der laufenden Verfahren darf sich Xplain dazu nicht äussern, wie Geschäftsführer Andreas Löwinger gegenüber der «Schweiz am Wochenende» sagt.

Gemeinsam mit zwei Geschäftspartnern, die noch heute mit ihm den dreiköpfigen Verwaltungsrat bilden, hat Löwinger die Firma Xplain im Jahr 2000 gegründet. Aufgrund der früheren Tätigkeiten der Gründer und ihrer Ausbildungen habe man sich für die Fokussierung auf «Homeland-Security» entschieden, sagt er.

Die Bundesbehörden waren eine naheliegende Kundschaft. So bewarb sich die Firma bei öffentlichen Ausschreibungen um Bundesaufträge. «Wir arbeiten in einer relativ kleinen Nische», erklärt Löwinger. Dennoch gebe es in der Schweiz eine zweistellige Anzahl von Firmen, die im Markt «Homeland Security» Software-Lösungen und Dienstleistungen anbieten.

Ihren Hauptsitz hat Xplain in einem Belle-Époque-Gebäude in Interlaken, direkt an der Aare gelegen. Neben drei weiteren Standorten in der Schweiz – in Aarau, Zürich und Lausanne – hat die Firma noch zwei Niederlassungen in Spanien und eine in Deutschland. Sie beschäftigt insgesamt rund 80 Mitarbeitende.

Une personne regarde le site internet de la societe Xplain, leader dans la creation de solutions logicielles dans le secteur "Homeland Security" ce dimanche 2 juillet 2023 a Daillens. Des in ...
watson hat die Attacke der Ransomware-Bande Play im Mai publik gemacht.Bild: keystone

Was Xplain eigentlich anbietet – und was nicht

Löwinger macht gegenüber der «Schweiz am Wochenende» klar: «Wir sind keine Cybersicherheitsfirma.» Xplain stelle zwar Software für die Bearbeitung von Daten bereit, aber sie biete keine Hosting-Dienste an. «Als Softwarefirma besteht unser Auftrag darin, verschiedene Fachanwendungen zu entwickeln und bereitzustellen.»

Oder anders gesagt: Xplain bietet zwar «Security» und «Lösungen für den gesamten Bereich der inneren und zivilen Sicherheit an», wie der Website zu entnehmen ist. Aber die Firma ist keine Spezialistin für Cybersicherheit, trotz des Versprechens von «End-to-end-Digitalisierungslösungen». Und deshalb ist die Firma auch nach keinen Standards für Informationssicherheit zertifiziert, wie Löwinger erklärt.

Die Hackergruppe «Play», die für den Cyberangriff auf Xplain verantwortlich zeichnet, ist nicht für gezielte Angriffe bekannt. Wie Cybersicherheitsspezialist Tobias Ellenberger kürzlich gegenüber CH Media sagte, startet die Gruppe vielmehr grossflächige Angriffe, um an möglichst viele Opfer heranzukommen. Im Visier sind meist kleine bis mittelgrosse Firmen, die kein aufwendiges Sicherheitsdispositiv haben.

Mittlerweile hat Xplain die Sicherheit ihrer Homepage verbessert, wie Ananiadis herausgefunden hat. Statt der Note F gibt es jetzt ein A und man erkenne, dass laufend daran gearbeitet wird. Der gute Wille scheint also vorhanden zu sein.

Hinweis
Ende März war auch das Verlagshaus CH Media, zu dem dieses Newsportal gehört, von einem Angriff der Cyberkriminellen-Gruppe «Play» betroffen. Dabei sind auch Kundendaten von CH Media gestohlen und im Darknet veröffentlicht worden. Der Funktionsumfang der IT-Infrastruktur ist inzwischen mehrheitlich wiederhergestellt.

Der Xplain-Hackerangriff und seine weitreichenden Folgen

Alle Storys anzeigen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Ransomware-Banden der Welt
1 / 22
Die gefährlichsten Ransomware-Banden der Welt
In dieser Bildstrecke lernst du einige der gefährlichsten Ransomware-Banden kennen, die häufig mithilfe von kriminellen Geschäftspartnern und praktisch überall in Europa und Nordamerika zuschlagen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Schock und Panik bei Konzert in Colorado – Hagelsturm verletzt 100 Menschen
Video: watson
Das könnte dich auch noch interessieren:
24 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Aristoteles
09.07.2023 13:24registriert April 2023
Klingt irgendwie paradox: „Xplain bietet zwar «Security» und «Lösungen für den gesamten Bereich der inneren und zivilen Sicherheit an», wie der Website zu entnehmen ist. Aber die Firma ist keine Spezialistin für Cybersicherheit, trotz des Versprechens von «End-to-end-Digitalisierungslösungen»“

Das ist ja wie Homöopathie. Globuli als Medizin für kranke Menschen anzupreisen aber kein Spezialist für Medizin zu sein. Läuft.
231
Melden
Zum Kommentar
24
OECD rät zu verantwortungsbewusster Nutzung von Handys in Schulen

Die Industriestaatenorganisation OECD hat nach einer Studie zu einem verantwortungsbewussten Einsatz von Mobiltelefonen im Schulunterricht geraten. Sie warnte zugleich vor massiven Lernrückständen bei Schülerinnen und Schülern, die ständig auf ihr Handy gucken.

Zur Story