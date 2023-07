Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe

Die vom Hackerangriff betroffene Firma Xplain stellt für den Bund wichtige Sicherheits-Software her, mit der die Behörden Tag und Nacht arbeiten. Was, wenn Xplain pleiteginge oder verkauft würde?

Henry Habegger / ch media

Das Logo der IT-Firma Xplain Anfang Juli am Firmensitz in Interlaken. Seit dem Hackerangriff ist nichts mehr wie vorher. Das Logo wurde inzwischen aus Sicherheitsüberlegungen entfernt. Bild: keystone

Es war für eine Reihe von Akteuren eine mittlere Katastrophe: Hacker stahlen der Interlakner Softwarefirma Xplain grosse Mengen von teilweise sensiblen Daten von Kunden wie dem Bund und veröffentlichten sie im Darknet.

Das eine Problem ist, dass die Hacker überhaupt zu sensiblen Personendaten aller Art kamen. Eine der Fragen, denen unter anderem Strafverfolgungsbehörden und Datenschützer nachgehen: Wie kam es, dass die Kunden überhaupt solche Daten an den Software-Entwickler übergaben? Wer ist für den Schaden verantwortlich?

Was passiert, wenn die Firma in Konkurs geht?

Aber es gibt noch ein ganz anderes Problem, das bisher kaum öffentlich diskutiert wurde: Was passiert, wenn Xplain als Folge des Hackerangriffs und der juristischen Auseinandersetzungen in finanzielle Probleme geraten oder gar in Konkurs gehen sollte? Ist der sichere Weiterbetrieb der Anwendungen, die Xplain beispielsweise für eine Reihe von Sicherheitsbehörden des Bundes bereitstellt, dann überhaupt sichergestellt?

Xplain produziert mit ihren rund achtzig Angestellten für eine Reihe von Bundesstellen wie Bundesamt für Polizei, Bundesamt für Zoll und Grenzsicherheit, Bundesamt für Justiz oder Armasuisse diverse Software im Bereich der inneren Sicherheit.

Dazu gehört etwa die Plattform eneXs, die bei Behörden wie Grenzwacht und Polizei Tag und Nacht im Einsatz ist. Die Applikation erlaubt es, Pässe, Identitätskarten, Aufenthaltspapiere, Visa, Fahrzeugschilder überall und jederzeit zu überprüfen. Xplain stellt dabei den sogenannten eneXs-Server - gewissermassen die Relaisstation - zur Verfügung, über den die Abfragen an die verschiedenen nationalen und internationalen Datenbanken laufen. Zu diesen Datenbanken gehören etwa das Fahndungssystem Ripol, das zentrale Migrationsinformationssystem Zemis oder das Informationssystem Ausweisschriften ISA. Xplain liefert auch Updates der Software.

Sicherheits-App des Bundes steht und fällt mit Privatfirma

Xplain selbst schreibt auf der Firmen-Website: «Unser eneXs Server ist das Dispatching-Center für alle Abfragen an nationale und internationale Datenbanken. Er dient als zentraler Abfrageserver auf alle Datenbanken.»

Die ganze Applikation zur inneren Sicherheit steht und fällt also derzeit offensichtlich mit Xplain. Der Bund übertrug diese heikle Aufgabe, warum auch immer, einer privaten Unternehmung. Das könnte sich jetzt als folgenschwer erweisen.

Was passiert beispielsweise, sollte Xplain ins Ausland verkauft werden? Im extremen Fall etwa an eine chinesische Firma? Könnte der Bund dies überhaupt verhindern? Hat er sich irgendwie abgesichert? Verfügt er über irgendwelche Rechte oder Sicherheiten für den Notfall? Beispielsweise eine vertragliche Absicherung, die ihm im Fall der Fälle Zugang zum Quellcode der Software sichert.

Experten gehen nicht davon aus, dass der Bund hier viel in den Händen hat. Entsprechend nervös wirkt dieser auch. Das zuständige Bundesamt für Bauten und Logistik (BBL) will die von CH Media aufgeworfene Frage nach den Rechten nicht beantworten. Nach mehrtägigen Abklärungen antwortete das BBL am Donnerstag kurz angebunden: «Aufgrund laufender Verfahren können wir uns zurzeit zu den Inhalten der Verträge nicht äussern.»

CEO von Xplain: «Es stellen sich grundsätzliche Fragen»

Auch Xplain -CEO Andreas Löwinger will sich derzeit auf Anfrage nicht zur Frage äussern, wer welche Rechte hat und wie weit der Bund sich abgesichert hat. Er sagt einzig: «Es stellen sich einige grundsätzliche Fragen, aber wir können uns derzeit nicht näher äussern.» Löwinger verweist aber auch noch auf Aussagen von Florian Schütz, Chef Cybersicherheit beim Bund.

Im Interview mit der «Schweiz am Wochenende» hatte Schütz gesagt: «Die Aufarbeitung des Xplain-Falls wird zeigen, ob wir richtig aufgestellt sind, ob es mehr Kontrollmechanismen braucht, um das Risiko zu senken, oder ob der Bund allenfalls einige der Leistungen mittelfristig selber erbringen müsste.»

Der Bund prüft also offensichtlich, gewisse bisher an Private ausgelagerte hoheitliche Aufgaben von Firmen wie Xplain künftig selbst zu übernehmen.

Der Hintergrund liegt auf der Hand: Es ist nicht ausgeschlossen, dass die durch den Hackerangriff und die anschliessenden juristischen Auseinandersetzungen in die Enge getriebene Xplain das Geschäft mit den Applikationen für den Bund nicht mehr selbst weiterführen kann.

Der Bund würde in dieser Situation kaum darum herumkommen, sich die Rechte an der für ihn so wichtigen Software zu sichern. Was natürlich mit Kostenfolgen verbunden ist, denn gratis werden Firmen wie Xplain ihre Entwicklungen kaum abgeben wollen. (aargauerzeitung.ch)