Zum Inhalt springen
Audio
Nach Hackerangriff auf Xplain landeten sensible Daten im Darknet
Aus Regionaljournal Aargau Solothurn vom 26.02.2024. Bild: Keystone/Peter Schneider
abspielen. Laufzeit 2 Minuten 23 Sekunden.

Hackerangriff Trotz Datenklau: Aargau arbeitet weiter mit Xplain

  • Im Mai 2023 griff die Hackergruppe «Play» das Berner Software-Unternehmen Xplain an und erbeutete heikle Daten von Bundes- und Kantonsverwaltungen. Die Daten wurden im Darknet veröffentlicht.
  • Das Bundesamt für Cybersicherheit deckte in einem Bericht gravierende Sicherheitsmängel bei Xplain auf. Als Reaktion darauf setzte Xplain die gesamte IT-Infrastruktur neu auf.
  • Der Kanton Aargau gab jetzt bekannt, dass er die Zusammenarbeit mit Xplain fortsetzt.

Das Ausmass des Hackerangriffs auf Xplain im Frühling 2023 war enorm. Sensible Daten von Mitarbeitenden, von verdeckten Ermittlerinnen und Verwaltungsangestellten landeten im Darknet. Besonders brisant: Xplain bietet Applikationen an, die im Sicherheitsbereich eingesetzt werden.

Das ist passiert

Box aufklappen Box zuklappen

Im Mai letzten Jahres hat die Hackergruppe «Play» einen Ransomware-Angriff auf das im Bereich der inneren Sicherheit tätige IT-Unternehmen Xplain verübt. Die Gruppe stahl aus noch ungeklärten Gründen rund 900 Gigabyte Daten, darunter heikles Material. Danach wurde Xplain von Play erpresst:  Xplain sollte das geforderte Lösegeld (engl. ransom) bezahlen, ansonsten würde Play die gestohlenen Daten veröffentlichen. Weil Xplain nicht auf die Forderung einging, liess Play seinen Worten Taten folgen: Hochsensible Daten wie etwa Namen von Mitgliedern einer Spezialeinheit der Armee, Namen von Betroffenen aus der Hooligan-Datenbank des Fedpol, Privatadressen von Bundesräten oder Daten aus Strafverfahren landeten im Darknet.

Ein Bericht des Bundesamts für Cybersicherheit (BACS) zeigte später auf, dass bei Xplain gravierende Sicherheitsmängel bestanden. So hat es laut Bericht nur sehr wenige Sicherheitsvorkehrungen gegeben, die es erlaubt hätten, einen solchen Hackerangriff zu entdecken.

Wir müssten sonst die Aufträge neu ausschreiben.
Autor: Andreas Bamert Generalsekretär Innendepartement Kanton Aargau

Das Berner IT-Unternehmen reagierte auf die Kritik und baute die gesamte IT-Infrastruktur um. Dabei stützte sich das Unternehmen auf die Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC). Seit November 2023 seien die technischen und organisatorischen Anforderungen an die Sicherheit erfüllt, heisst es in einem Bericht.

Nun hat der Kanton Aargau bekannt gegeben, dass die Zusammenarbeit mit Xplain trotz des Datenklaus fortgeführt wird. Dabei beruft sich der Kanton auf den Bericht des BACS. Die Firma sei zudem wichtig für den Kanton. «Würden wir den Anbieter wechseln, müssten wir die Aufträge neu ausschreiben», erklärt Andreas Bamert, Generalsekretär des Aargauer Innendepartements.

Zwei Polizisten in blauer Uniform laufen auf ein Polzeiauto zu.
Legende: Die Applikation Polaris ist bei der Kantonspolizei Aargau im Einsatz. Über die Software werden Rapporte geschrieben, Dossiers bearbeitet oder Statistiken erstellt. Die Kantonspolizei hat aber bereits vor dem Cyberangriff entschieden, Polaris in Zukunft durch eine andere Software zu ersetzen. Keystone/Ennio Leanza

Das Aargauer Innendepartement arbeitet bereits seit zehn Jahren mit der Berner IT-Firma zusammen. Unter anderem geht es dabei um die Applikation JustThis, die vom Amt für Migration genutzt wird, oder Polaris, die bei der Kantonspolizei im Einsatz ist. Künftig sollen auch andere Abteilungen Applikationen von Xplain nutzen.

Kanton Waadt zieht Konsequenzen

Anders entschieden hat der Kanton Waadt: Anfang Februar gab der Regierungsrat bekannt, dass der Kanton die Zusammenarbeit mit Xplain per sofort beendet. Mit dem Auftrag entgeht der IT-Firma viel Geld: Das Kantonsparlament hatte über 10 Millionen Franken für das IT-Projekt gesprochen.

Der Bund selbst hat in seinem Bericht grünes Licht für die weitere Zusammenarbeit mit Xplain gegeben. Inwiefern die Bundesämter mit Xplain weiterarbeiten, ist nicht bekannt. Aufgrund der laufenden Untersuchungen wollen sie keine konkrete Antwort geben.

Aargau übt Selbstkritik

IT-Experte Hannes Lubich geht nicht davon aus, dass der Bund Xplain den Rücken kehren wird. «Es ist sehr viel Know-how auf beiden Seiten vorhanden und es besteht immer noch ein Vertrauensverhältnis.» Auf die Schnelle eine neue Firma oder eine neue Software als Ersatz zu finden, wäre ein schwieriges Unterfangen.

Der Kanton Aargau zieht aber auch seine Lehren aus dem Fall: «Es dürfen keine produktiven Daten mehr zu Testzwecken benutzt werden», erklärt Andreas Bamert. Produktive Daten sind reale Daten zu Personen. In diesem Fall waren es Strafbefehle, Zugangsdaten und Verwaltungsentscheide. Diese wurden der Firma Xplain weitergegeben, um die Applikation JustThis weiterzuentwickeln. Künftig will die Aargauer Verwaltung dafür keine echten Daten mehr verwenden.

Regionaljournal Aargau Solothurn, 26.2.2024, 12:03 Uhr ; 

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel