Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
Andreas Löwinger erinnert sich an jenen Morgen im letzten Mai, als sei es gestern gewesen. Ein Mitarbeiter habe bemerkt, dass in der Nacht ein Prozess der Datensicherheit stehen geblieben war und alle Daten verschlüsselt wurden. «Da waren wir uns sicher: Eine Bombe hat eingeschlagen», sagt der Chef der IT-Firma Xplain. In der Tat löste der Hackerangriff auf das Unternehmen aus Interlaken in Bundesbern ein Erdbeben aus.
Xplain entwickelt für zahlreiche Stellen des Bundes und der Kantone diverse Software im Bereich der inneren Sicherheit. Bei der Ransomware-Attacke erbeutete die Hackergruppe Play angeblich rund 900 Gigabyte an Daten.
Weil Xplain nicht auf die Lösegeldforderung einging, landeten die Daten im Darknet. Darunter fanden sich heikle Informationen des Bundesamtes für Polizei (Fedpol) oder von kantonalen Migrationsämtern.
In der Folge leitete der Bundesrat eine Administrativuntersuchung ein. Auch der Eidgenössische Datenschutzbeauftragte und mehrere Strafverfolgungsbehörden untersuchen den Fall.
Wie die Hacker in das System eingedrungen sind, dürfte nie restlos geklärt werden. In der Regel hinterlassen sie keine Spuren. Trotzdem sagt Löwinger acht Monate später, die Bewältigung des Hacker-Vorfalls sei abgeschlossen. «Wir haben diese schwierige Zeit überstanden.»
Anforderungen an Cybersicherheit laut Bund erfüllt
In der Zwischenzeit konnte Xplain seinen Betrieb wieder aufnehmen. Dafür musste das Unternehmen die gesamte IT-Infrastruktur neu aufbauen und die externen Betreiber austauschen. Im Anschluss überprüfte ein externes Audit Xplain auf Herz und Nieren. Das ist Usus im Nachgang zu Cyberangriffen dieser Dimension und für den Bund eine Bedingung für eine weitere mögliche Zusammenarbeit.
Die Resultate haben auch das zuständige Bundesamt für Cybersicherheit – das frühere Nationale Zentrum für Cybersicherheit (NCSC) – überzeugt. Bei Xplain seien die «technischen und organisatorischen Anforderungen an die Cybersicherheit» erfüllt, kommt das NCSC in seiner Analyse zum Schluss. Auch der vom Bundesrat eingesetzte Krisenstab hat den Bericht zur Kenntnis genommen.
Allerdings heisst das nicht, dass der Bund generell grünes Licht gibt. «Ob nach diesem Cybervorfall die Zusammenarbeit weitergeführt werden kann oder nicht, muss von jedem betroffenen Bundesamt individuell beurteilt werden», heisst es im Dokument weiter.
Wie geht es weiter?
Ist damit die Affäre ausgestanden? Keineswegs. Es bleiben offene Fragen. So bleibt weiter unklar, ob die staatlichen Stellen die IT-Sicherheit bei Xplain je überprüft haben.
Der NCSC-Bericht bestätigt nun indirekt: Das geschah nicht in allen Fällen. So fordert die Behörde darin die Auftraggeber auf, von der Firma Xplain «regelmässige Nachweise für die Umsetzung zentraler Massnahmen der Cybersicherheit» und «umfassende Notfallpläne» für den Fall eines Angriffes zu verlangen.
Mit Blick auf die laufenden Untersuchungen möchte sich Firmenchef Löwinger nicht im Detail äussern. Doch auch er sagt: Es habe zwar Kunden gegeben, die das gemacht hätten. Löwinger erwähnt die Waadtländer Kantonspolizei, die im Rahmen ihrer Ausschreibung ein Audit verlangt habe. «Ihr Vorgehen war aber eher eine Ausnahme.»
Wie konnte das passieren?
Ein weiterer umstrittener Punkt: Wie sind die sensiblen Daten überhaupt zu Xplain gelangt? Im Normalfall erhalten externe Entwickler nur anonymisierte «Dummy-Daten». Dennoch sind etwa Namen von Betroffenen aus der Hooligan-Datenbank des Fedpol bei Xplain gelandet. Die Weitergabe sensibler Daten ist gesetzlich nur unter strengen Bedingungen erlaubt. Und die Auftraggeber – sprich die betroffenen Behörden – bleiben für den Datenschutz verantwortlich.
Ob der Bund seiner Sorgfaltspflicht nachgekommen ist, soll nun eine Untersuchung klären. Doch schon jetzt zieht das NCSC Lehren aus dem Hackerangriff. Im überarbeiteten Datenmanagement-Konzept werden striktere Regeln für die Handhabung von Daten definiert. So wurde festgelegt, dass Xplain «ab sofort keine Produktionsdaten speichert und auch keinen Zugriff auf produktive Systeme» hat.
Selbstkritik übt auch Firmenchef Löwinger. «Wir müssen uns fragen, welche Verantwortung wir haben. Vielleicht haben wir unsere Kunden zu wenig konsequent aufgefordert, uns keine Live-Daten zu liefern.» Es sei deshalb richtig, dass der Bund beim Datenmanagement die Schraube anziehe.
Löwinger findet ohnehin: Am besten sei es, wenn ein Anbieter wie Xplain beim Kunden vor Ort sei oder einen komplett sicheren Zugang habe. Dass sich diese Erkenntnis nicht schon früher durchgesetzt hat, ist das eigentliche Problem. Dies geschieht oft erst, wenn tatsächlich etwas schiefläuft.
(aargauerzeitung.ch)
