Der Test ist etwas für Nerds, für techaffine Leute wie Jorgo Ananiadis. Und so hat sich der Präsident der Piratenpartei und IT-Experte am Mittwoch hingesetzt und mit einem einfachen Standardverfahren die Website von Xplain analysiert, also das Einstiegsportal jener Softwarefirma, die dafür mitverantwortlich ist, dass nun Berge von Bundesdaten im Darknet gelandet sind.
Der Befund war ernüchternd, die Note F klar ungenügend. Der gut gemeinte Rat des Testtools: «Autsch, Sie sollten sofort an Ihrer Sicherheitslage arbeiten.»
Eine unsichere Webseite ist freilich noch kein Beweis für ein unsicheres Datenmanagement. Aber sie ist ein Indiz dafür, wie der Schweizer Sicherheitsexperte und Berater Christian Folini betont. Denn der Aufwand, um die eigene Homepage von F auf die Bestnote A zu hieven, sei überschaubar. «Es zeugt also von einem tiefen Sicherheitsbewusstsein, wenn man es nicht macht.»
Doch Folini wollte es genauer wissen und hat sich aufgrund von Ananiadis Testresultat etwas genauer umgeschaut im Xplain-Universum. Dabei stiess er auf mehrere Mängel: Ein Server, den Xplain für das Bundesamt für Polizei (Fedpol) installierte, sei seit drei Jahren nicht mehr auf den neusten Stand gebracht worden, und die Login-Maske des Servers erlaube es einem Angreifer allzu leicht, die Passwörter der Mitarbeitenden des Bundes mitzuschreiben.
Eine unsichere Website ist für Piratenpartei-Präsident Ananiadis ein Alarmsignal, ein Gebot zur Vorsicht: «Ich bringe schliesslich mein Geld auch nicht zu einer Bank, die kaputte Fensterscheiben und eine defekte Türe hat.»
Der Bund, mehrere Kantone und die SBB waren da etwas weniger wählerisch. Sie störten sich offensichtlich auch nicht an der Tatsache, dass Xplain nach keinem Standard für Informationssicherheit (ISO 27001) zertifiziert ist.
Sie verteilten gemäss Angaben der Informationsplattform fürs öffentliche Beschaffungswesen (Simap) insgesamt 20 Aufträge an Xplain im Wert von total über 30 Millionen Franken – mit der Option auf weitere 21 Millionen.
Hauptkundin mit fünf Projekten ist die Eidgenössische Zollverwaltung, die neu Bundesamt für Zoll und Grenzsicherheit (BAZG) heisst. Das Bundespolizeiamt Fedpol und das Verteidigungsdepartement kommen auf je drei Aufträge.
Hinzu kommen die Aufträge, die gar nicht auf Simap gelistet sind. Das BAZG erteilte seinen ersten Auftrag an Xplain im Wert von knapp 1,3 Millionen Franken bereits 2009. Da dieser nicht dem Beschaffungsgesetz unterstellt war, sei keine öffentliche Publikation erfolgt, heisst es heute beim Zollamt.
Ob auch das Fedpol Aufträge ohne öffentliche Publikation erteilt hat, ist unklar. Das Polizeiamt liess entsprechende Fragen unbeantwortet.
Bei 11 von 20 öffentlich ausgeschriebenen Fällen wurden die Aufträge freihändig vergeben, also ohne vorgängige öffentliche Ausschreibung. Xplain erhielt den Zuschlag gemäss Simap meist, weil die Softwarefirma mit Sitz im bernischen Interlaken das «wirtschaftlich günstigste Angebot» vorgelegt habe oder weil es sich um «Folgeaufträge» handelt. Offensichtlich hat Xplain hier die ursprüngliche Software bereitgestellt oder entwickelt und folglich dann auch den fortführenden Auftrag erhalten, da die Software ihr «geistiges Eigentum» sei.
Dass eine intensive Zusammenarbeit zwischen Bundesbehörden und Xplain besteht, erklärt allerdings noch nicht, wie derart heikle Daten wie etwa die Adressen von Bundesratsmitgliedern auf die Server der IT-Firma gelangen konnten.
Diese Frage wird aktuell vom Bund untersucht. Aufgrund der laufenden Verfahren darf sich Xplain dazu nicht äussern, wie Geschäftsführer Andreas Löwinger gegenüber der «Schweiz am Wochenende» sagt.
Gemeinsam mit zwei Geschäftspartnern, die noch heute mit ihm den dreiköpfigen Verwaltungsrat bilden, hat Löwinger die Firma Xplain im Jahr 2000 gegründet. Aufgrund der früheren Tätigkeiten der Gründer und ihrer Ausbildungen habe man sich für die Fokussierung auf «Homeland-Security» entschieden, sagt er.
Die Bundesbehörden waren eine naheliegende Kundschaft. So bewarb sich die Firma bei öffentlichen Ausschreibungen um Bundesaufträge. «Wir arbeiten in einer relativ kleinen Nische», erklärt Löwinger. Dennoch gebe es in der Schweiz eine zweistellige Anzahl von Firmen, die im Markt «Homeland Security» Software-Lösungen und Dienstleistungen anbieten.
Ihren Hauptsitz hat Xplain in einem Belle-Époque-Gebäude in Interlaken, direkt an der Aare gelegen. Neben drei weiteren Standorten in der Schweiz – in Aarau, Zürich und Lausanne – hat die Firma noch zwei Niederlassungen in Spanien und eine in Deutschland. Sie beschäftigt insgesamt rund 80 Mitarbeitende.
Löwinger macht gegenüber der «Schweiz am Wochenende» klar: «Wir sind keine Cybersicherheitsfirma.» Xplain stelle zwar Software für die Bearbeitung von Daten bereit, aber sie biete keine Hosting-Dienste an. «Als Softwarefirma besteht unser Auftrag darin, verschiedene Fachanwendungen zu entwickeln und bereitzustellen.»
Oder anders gesagt: Xplain bietet zwar «Security» und «Lösungen für den gesamten Bereich der inneren und zivilen Sicherheit an», wie der Website zu entnehmen ist. Aber die Firma ist keine Spezialistin für Cybersicherheit, trotz des Versprechens von «End-to-end-Digitalisierungslösungen». Und deshalb ist die Firma auch nach keinen Standards für Informationssicherheit zertifiziert, wie Löwinger erklärt.
Die Hackergruppe «Play», die für den Cyberangriff auf Xplain verantwortlich zeichnet, ist nicht für gezielte Angriffe bekannt. Wie Cybersicherheitsspezialist Tobias Ellenberger kürzlich gegenüber CH Media sagte, startet die Gruppe vielmehr grossflächige Angriffe, um an möglichst viele Opfer heranzukommen. Im Visier sind meist kleine bis mittelgrosse Firmen, die kein aufwendiges Sicherheitsdispositiv haben.
Mittlerweile hat Xplain die Sicherheit ihrer Homepage verbessert, wie Ananiadis herausgefunden hat. Statt der Note F gibt es jetzt ein A und man erkenne, dass laufend daran gearbeitet wird. Der gute Wille scheint also vorhanden zu sein.
Running blatantly insecure software is always a management decision.https://t.co/aLkmpeyo8K went from "F" to "A+" within a day.
— Christian Folini / @folini@infosec.exchange (@ChrFolini) July 7, 2023
(And so did a lot of other Swiss websites, I guess.) pic.twitter.com/2p1J35UWiW
