Zum Inhalt springen

Nach Datenklau bei Xplain Bund gibt grünes Licht für weitere Zusammenarbeit mit Xplain

Im Mai 2023 wurde die IT-Firma Xplain Ziel eines Hackerangriffs, geheime Daten des Bundes landeten im Darknet. Nun liegt ein neuer Untersuchungsbericht vor.

Im Frühling letzten Jahres wurde die Schweizer Softwarefirma Xplain Opfer eines Hacker-Angriffs. Dabei flossen in grossem Ausmass teilweise hochsensible Daten ins Darknet ab.

Das ist passiert

Box aufklappen Box zuklappen

Im Mai letzten Jahres hat die Hackergruppe «Play» einen Ransomware-Angriff auf das im Bereich der inneren Sicherheit tätige IT-Unternehmen Xplain verübt. Die Gruppe stahl aus noch ungeklärten Gründen rund 900 Gigabyte Daten, darunter heikles Material.

Danach wurde Xplain von Play erpresst: Xplain sollte das geforderte Lösegeld (engl. Ransom) bezahlen, ansonsten würde Play die gestohlenen Daten veröffentlichen. Weil Xplain nicht auf die Forderung einging, liess Play seinen Worten Taten folgen: Hochsensible Daten wie etwa Namen von Mitgliedern einer Spezialeinheit der Armee, Namen von Betroffenen aus der Hooligan-Datenbank des Fedpol, Privatadressen von Bundesräten oder Daten aus Strafverfahren landeten im Darknet.

Der Chef der Firma Xplain, Andreas Löwinger, nimmt erstmals öffentlich Stellung. Er kann sich den Vorfall nicht erklären und sagt telefonisch gegenüber der Sendung «10vor10»: «Wie genau das hat passieren können, das ist nach wie vor unklar. Die Play Group, die uns angegriffen hat, die hinterlässt in der Regel keine Spuren.»

Wie ein bisher unveröffentlichter Bericht des Bundesamtes für Cybersicherheit (BACS) zeigt, gab es aber wohl gravierende Sicherheitsmängel bei Xplain. So heisst es in dem Bericht, es habe scheinbar nur sehr wenige Sicherheitsvorkehrungen gegeben, die es erlaubt hätten, einen solchen Angriff zu entdecken, da der Angreifer Daten exfiltrieren konnte.

Dazu sagt Löwinger, es sei nun Gegenstand der Strafuntersuchung, was für Fehler gemacht wurden und wer sie begangen hat. Laut Löwinger wird jetzt untersucht, wie sicher die Systeme von Xplain gewesen sind – eigentlich das Spezialgebiet seiner Firma. «Wir sollten gar keine solchen Daten haben. Ich habe ein paar Mal gesagt, wir brauchen die nicht, trotzdem sind sie zu uns gekommen», sagt Löwinger.

Angriff ein Risiko für Dritte

Für Hannes Lubich, Experte für Cybersicherheit, war es ein verheerender Angriff – nicht so sehr für die allgemeine Bevölkerung, aber für die direkt Betroffenen. Der Angriff sei einerseits ein Problem für den Bund als Auftraggeber, weil Daten bekannt wurden, die Dritte betreffen und die nun ebenfalls in ein Risiko gelangen könnten. Andererseits bedeute es für Xplain ein Reputationsschaden.

Fehler seien wahrscheinlich auf beiden Seiten passiert. Dies untersucht zurzeit das BACS, wie es in der Stellungnahme heisst. «Mit der Untersuchung soll geklärt werden, welche Umstände es auf Seiten der Bundesverwaltung ermöglicht haben, dass Xplain AG in den Besitz von produktiven Daten der Bundesverwaltung kam.»

Auch soll geklärt werden, ob Kontroll- und Aufsichtspflichten gegenüber Xplain nicht erfüllt wurden. Es sind weitere Untersuchungen hängig, darunter eine des Datenschützers und auch Strafanzeigen gegen die anonymen Hacker wurden eingereicht.

Weitere Zusammenarbeit?

Xplain baute nach dem Hackerangriff die gesamte IT-Infrastruktur gemäss den Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC) neu auf. Laut dem BACS-Bericht vom November seien die technischen und organisatorischen Anforderungen an die Sicherheit mittlerweile erfüllt. Ob die Zusammenarbeit der betroffenen Stellen und Xplain weitergeführt wird, ist noch unklar.

Die Bundesämter wollen auf Anfrage von SRF nicht verraten, ob und inwiefern sie noch mit Xplain zusammenarbeiten, da es sich noch um laufende Untersuchungen handle oder weil noch interne Abklärungen im Gange seien. Dass die Bundesämter der IT-Firma den Rücken kehren, dürfte aber bezweifelt werden: Zu stark verschachtelt sind die Dienstleistungen von Xplain mit denjenigen der Bundesbehörden.

Hannes Lubich erachtet eine weitere Zusammenarbeit als plausibel, denn: «Ich denke, der primäre Grund ist, dass man mit Experten über lange Zeit sehr gut zusammengearbeitet hat, ein Vertrauensverhältnis immer noch da ist und auch sehr viel Know-how auf beiden Seiten über die Gegenseite vorhanden ist.» Müsste man nun rasch eine neue Firma oder eine neue Software als Ersatz suchen, müsste man erst einmal eine solche Lösung finden.

10vor10, 06.02.2024 ; 

Meistgelesene Artikel