Der Delegierte des Bundes für Cybersicherheit (NCSC), Florian Schütz, ist kein Mann der grossen Worte. Eines macht er aber sogleich klar: Auch fast drei Wochen nach dem grossen Leck ist das ganze Ausmass des Schadens noch nicht bekannt. Die beunruhigenden Berichte vom Wochenende über geleakte vertrauliche Kontaktdaten und Sicherheitsdispositive könnten noch nicht alles gewesen sein.
«Es könnten noch heikle Daten drin sein, ebenso gut ist es möglich, dass nichts mehr drin ist. Die Analysen laufen noch. Wir können deshalb auch die Grösse des Schadens noch nicht beziffern und haben keine abschliessenden Erkenntnisse», so Schütz. Gegen hundert Leute in verschiedenen Bundesstellen seien damit beschäftigt, die geleakten Daten anzuschauen und bei Sicherheitsrisiken sofort zu handeln.
Wir untersuchen gewisse Möglichkeiten, wie Daten zu Xplain gelangen konnten.
Und dann ist da die grosse Frage: Wie kamen vertrauliche staatliche Daten auf die Computer der Softwareherstellerin? Schütz spricht von ersten Spuren. Untersucht würden «gewisse Möglichkeiten, wie Daten zu Xplain gelangen konnten».
Meldungen über Softwarefehler zum Beispiel enthielten offenbar auch heikle Daten aus Bundesstellen – und gingen an Xplain. Parlamentarierinnen und Parlamentarier kritisieren die Bundesbehörden und deren IT-Sicherheitskultur scharf: Warum waren sensible Daten nicht verschlüsselt? Warum schaute bei Xplain niemand genauer hin?
Ich möchte wirklich zuerst verstehen, ob die Daten sein durften, wo sie waren und ob sie richtig gehandhabt wurden.
«Es stellt sich die Frage, ob es Vorgaben gab, die da waren, aber nicht eingehalten wurden. Das muss wirklich pro Projekt angeschaut werden, um die Komplexität zu sehen», betont Schütz und rät von voreiligen Schlüssen und Schuldzuweisungen ab. «Ich möchte wirklich zuerst verstehen, ob die Daten sein durften, wo sie waren und ob sie richtig gehandhabt wurden.»
Xplain-Software weiterhin im Einsatz
Pikant ist: Bundesamt für Polizei, Zoll, Militärpolizei und zahlreiche Kantonspolizeien brauchen die Xplain-Software für ihren Betrieb – auch nach dem Hacking-GAU. Sie sind angewiesen auf eine Firma, die nach dem enormen Reputationsschaden um ihre Existenz fürchtet.
«Diese Systeme sind wichtig für uns und wir haben auch ein Interesse, sie weiterzuverwenden. Hier ist es auch wichtig, mit der Firma Xplain zusammenzuarbeiten und zu schauen, wie ihre Zukunft aussieht», sagt Schütz. Gleichzeitig müsse man sich auf verschiedene Szenarien vorbereiten. Ein Szenario: ein Konkurs von Xplain.
Hunderte IT-Verträge unter der Lupe
Der Bundesrat berichtete bereits dreimal über den Hackerangriff und seine Folgen. Er lässt die Cybersicherheitsexperten Hunderte weitere IT-Verträge mit Privatfirmen durchleuchten.
Doch weshalb geht der Bund überhaupt das Risiko ein, heikle Anwendungen von Privaten programmieren zu lassen? Weil es nicht anders gehe, sagt Schütz ziemlich lapidar: «Der Bund ist keine Softwarefirma. Es wäre sehr teuer, diese Fähigkeit aufzubauen.»
Wer trägt die Verantwortung?
Der Staat wird abhängig bleiben von Privaten. Aber Strafverfolgungs- und Bundesbehörden werden nachforschen müssen, wer allenfalls zu wenig hingeschaut und allenfalls zu tiefe Sicherheitsstandards gesetzt hat.
Und ebenso, ob auch Florian Schütz und seine Leute vom Zentrum für Cybersicherheit versagt haben. Er fände es schwierig, die komplette Verantwortung für einen externen Softwarelieferanten zu übernehmen, sagt «Mr. Cyber». Aber letztlich müsse das seine Chefin entscheiden: Bundesrätin Karin Keller-Sutter.
