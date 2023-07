Xplain-Hackerangriff Cybersecurity-Chef des Bundes räumt Probleme ein: «Der Vorfall hat das Vertrauen sicherlich nicht gestärkt» Sensible Daten der Bundesverwaltung landeten im Darknet. Florian Schütz, Delegierter des Bundes für Cybersicherheit, nimmt im Interview Stellung zum Vorfall und erklärt, wie der Bund das Vertrauen der Bevölkerung für zukünftige Digitalisierungsprojekte gewinnen will.

Florian Schütz, Delegierter des Bundes für Cybersicherheit, in seinem Büro. Bild: Sandra Ardizzone (Archivbild 8.6.2020)

Der Hackerangriff auf Xplain hat gezeigt: Hochsensible Daten aus der Bundesverwaltung sind an einen externen IT-Dienstleister weitergegeben worden und verblieben dort jahrelang, offenbar schlecht geschützt. Wie konnte das passieren?

Was genau geschehen ist, ist Gegenstand von laufenden Untersuchungen. Deren Ergebnisse müssen wir abwarten. Erste Hinweise liegen jedoch vor. Betroffen sind unterschiedliche Daten von unterschiedlichen Behörden. Nicht überall lief deren Weitergabe gleich. Generell gibt es Vorschriften, wie klassifizierte Daten und Personendaten zu behandeln sind. Und wie externe IT-Dienstleister damit umgehen müssen. Es ist anzunehmen, dass diese Vorschriften nicht überall eingehalten worden sind. Über die Gründe kann man derzeit nur spekulieren.

Im Normalfall erhalten externe Entwickler nur anonymisierte «Dummy-Daten». Dennoch sind Namen von Betroffenen aus der Hooligan-Datenbank des Fedpol bei Xplain gelandet.

Wir werden uns sorgfältig und im Einzelfall anschauen müssen, welche Daten weshalb nicht anonymisiert an Xplain weitergegeben worden sind. Hat man aus Zeitgründen auf die Anonymisierung verzichtet? Oder war es operationell notwendig, echte Daten zu liefern? Auch Fragen zum Datenmanagement und zur Aufbewahrung stellen sich.

Der Fall Xplain Ende Mai erbeutete die Hackergruppe Play bei einem Ransomware-Angriff auf die IT-Firma Xplain, die auch für Bund und Kantone Dienstleistungen erbringt, rund 900 Gigabyte an Daten. Da die Firma in Absprache mit den Behörden den Hackern kein Lösegeld zahlte, wurden die Daten am 14. Juni im Darknet publiziert. Darunter sind sensible Informationen, unter anderem vom Bundesamt für Polizei (Fedpol), von Zoll und Grenzschutz und von kantonalen Migrationsämtern. Der Bundesrat hat eine Administrativuntersuchung eingeleitet. Auch der Eidgenössische Datenschutzbeauftragte und zahlreiche kantonale Staatsanwaltschaften untersuchen den Fall.

Der Basler Datenschutzbeauftragte Beat Rudin sagte der «Schweiz am Wochenende», eine Behörde bleibe auch nach der Weitergabe von Daten an Externe für deren Schutz verantwortlich. Ist der Bund dieser Verantwortung nachgekommen?

Die betroffenen Amtsstellen von Bund und Kantonen bleiben als «Datenherren» selbstverständlich für den Datenschutz verantwortlich. Unter gewissen Bedingungen ist die Weitergabe von sensiblen Daten an externe Dienstleister gesetzlich erlaubt. Im Rahmen der laufenden Untersuchung schauen wir uns jetzt sehr genau die Verträge und das Verhalten in der Zusammenarbeit mit Xplain an.

Was heisst das konkret?

Wir überprüfen, ob die Verträge die über das Datenschutzgesetz hinaus notwendigen Klauseln zur Sorgfaltspflicht enthielten – und ob diese eingehalten worden sind. Wir schauen uns an, ob wir zukünftig zusätzliche Schutzmassnahmen einfordern müssen. Und wir müssen überprüfen, ob der Bund seiner Sorgfaltspflicht nachgekommen ist: Haben wir ausreichend kontrolliert, dass der Dienstleister diese Massnahmen auch umsetzt und beispielsweise Daten wieder löscht? Diese Abklärungen brauchen Zeit. Wenn die Ergebnisse vorliegen, werden sie selbstverständlich in zukünftige Verträge mit externen Dienstleistern einfliessen.

Xplain wird von IT-Aktivisten mangelnde Sicherheitskultur vorgeworfen – was sich etwa am tiefen Sicherheitsstandard der Firmenwebsite zeige.

Die Diskussionen in den sozialen Medien werden zum Teil von einer kleinen Minderheit in der Datensicherheitscommunity geprägt. Ich wäre vorsichtig mit vorschnellen Pauschalurteilen und würde mir eine stärkere Unterscheidung von Hypothesen und belastbaren Fakten wünschen.

Fakt ist: Die kleine IT-Firma Xplain hat viele staatliche Auftraggeber aus dem datenschützerisch sensiblen Sicherheitsbereich. Sind Bund und Kantone hier ein Klumpenrisiko eingegangen, das sich jetzt rächt?

Zu den einzelnen Vertragsvergaben kann ich nichts sagen. Bundesstellen vergeben Aufträge selbstständig und wickeln diese über eine Beschaffungsbehörde wie das Bundesamt für Bauten und Logistik oder die Armasuisse ab. Xplain ist im Rahmen von verschiedenen Verträgen mit unterschiedlichen Behörden tätig gewesen. Aber die Frage nach dem Klumpenrisiko ist natürlich legitim.

Zur Person Florian Schütz, 41, ist seit August 2019 Delegierter des Bundes für Cybersicherheit und Leiter des Nationalen Zentrums für Cybersicherheit (NCSC). Davor war er im Bereich IT-Sicherheit für den Rüstungskonzern Ruag und den Versandhändler Zalando tätig. Schütz hat Informatik an der ETH studiert und ein Nachdiplomstudium in Sicherheitspolitik und Krisenmanagement absolviert. Ab 1. Januar 2024 wird er Direktor des neuen Bundesamts für Cybersicherheit.

Und wie fällt die Antwort darauf aus?

Man wird sich anschauen müssen, wie viele Alternativen es für die nachgefragten Leistungen auf dem Markt überhaupt gibt. Xplain ist in einer spezialisierten Nische mit relativ wenigen Anbietern tätig. Gibt es allenfalls zusätzliche Anforderungen, dass es sich um eine Schweizer Firma handeln muss, wird die Auswahl nochmals geringer. Wir werden uns auch anschauen müssen, ob ein zu grosses Vertrauensverhältnis zwischen den Auftraggebern und Xplain geherrscht hat.

Fehlen die Werkzeuge, um Risiken im Bereich Cybersicherheit bei der Auftragsvergabe frühzeitig zu erkennen?

Die vom Bundesrat angeordnete Administrativuntersuchung wird sich diese Prozesse anschauen. Bisher findet ein Beizug des Nationalen Zentrums für Cybersicherheit (NCSC) bei Beschaffungen für die Beantwortung von Cybersicherheitsfragen nur freiwillig auf Ersuchen der auftragsvergebenden Verwaltungseinheiten statt. Sie tragen die Verantwortung. Mit dem neuen Informationssicherheitsgesetz erhält der Bund nächstes Jahr zusätzliche Möglichkeiten. Er kann allen, die mit Daten des Bundes hantieren, zusätzliche Auflagen punkto Datensicherheit machen. Auch ein obligatorischer Einbezug des NCSC könnte künftig eine Variante sein.

Warum entwickelt der Bund die notwendigen Systeme für den Umgang mit Daten nicht selber?

Der Bund ist keine Entwicklungsfirma. Es würde grosse Ressourcen brauchen, so etwas aufzubauen. Wir müssen die richtige Balance zwischen Sicherheit, der Wirtschaftlichkeit und dem verantwortungsvollen Umgang mit Steuergeldern finden. In diesem Dreieck bewegen wir uns. Die Aufarbeitung des Xplain-Falls wird zeigen, ob wir richtig aufgestellt sind, ob es mehr Kontrollmechanismen braucht, um das Risiko zu senken, oder ob der Bund allenfalls einige der Leistungen mittelfristig selber erbringen müsste.

Droht der Bund das Vertrauen der Bevölkerung punkto Datensicherheit zu verlieren?

Ob und wie stark das Vertrauen der Bevölkerung in den Bund nach dem Xplain-Vorfall abgenommen hat, das wissen wir schlicht nicht. Da liegen keine Umfrageergebnisse vor. Fakt ist: Es sind Daten publik geworden, die nicht hätten publik werden sollen. Insofern stellen sich natürlich Fragen zum korrekten Umgang mit sensiblen Daten. Der Vorfall hat das Vertrauen sicherlich nicht gestärkt, das muss man so festhalten.

Was braucht es nun, um die Unterstützung für Projekte mit sensiblen Daten wie das elektronische Patientendossier, die E-ID oder E-Voting zu sichern?

Wir kommunizieren sehr offen über diesen Vorfall und signalisieren damit, dass wir dies auch in Zukunft bei anderen Vorfällen tun werden. Indem wir auch dann transparent sind, wenn es für den Bund unangenehm ist, schaffen wir Vertrauen. Beim E-Voting beispielsweise haben wir nach Hinweisen auf Sicherheitsrisiken ein früheres Projekt gestoppt und neu aufgegleist. Diese Sicherheitskultur wollen wir leben: bei Hinweisen auf Risiken auch mal einen Schritt zurückgehen und ein Projekt nicht einfach um jeden Preis durchboxen.

Wo hapert es noch bei der Sicherheitskultur?

Wir haben viele Fortschritte erzielt, aber es besteht sicher noch Luft nach oben. Es braucht ein noch stärkeres Augenmerk darauf, IT-Projekte als saubere Ingenieursprojekte zu führen und entsprechend von Anfang an die Sicherheit mit einzuplanen und Restrisiken transparent auszuweisen. Ich denke hier beispielsweise an das Covid-Zertifikat. Im Rahmen eines Public Security Tests konnte jeder und jeden dessen Quellcode überprüfen und Fehler melden. Das sollten wir häufiger tun. Es schafft Vertrauen und erhöht die Sicherheit.

Sie sind seit vier Jahren im Amt. Was hat sich in dieser Zeit verändert?

Der Wille zur Zusammenarbeit und zur Transparenz im Cybersicherheitsbereich hat sich in der Bundesverwaltung stark verbessert, speziell auf der operativen Ebene, aber auch bei der Verwaltungs- und Kommunikationskultur. Intensiviert haben sich auch die Zusammenarbeit und der Austausch mit den Kantonen und Gemeinden, auch wenn weiter Aufholbedarf herrscht. Und, was mir besonders wichtig ist: Die Cyberstrategie war lange stark auf Risiken fokussiert, mit einem operativ geprägten Blick. Die neue Strategie hat einen weiteren Blickwinkel und denkt auch in Chancen: Ein höherer Grundschutz, etwa bei den kritischen Infrastrukturen, bedeutet nicht nur Kosten. Diese Resilienz kann auch ein internationaler Wettbewerbsvorteil sein, denn von dieser Sicherheit profitieren auch private Unternehmen.

Wie ist der Bund aufgestellt?

Der Umgang mit Vorfällen wie jener bei Xplain bleibt eine grosse Herausforderung – auch für die Zukunft. Das Cyberrisiko wird eher zu- als abnehmen. Der Bund ist aus meiner Sicht gut aufgestellt. Wenn jedoch mehr als ein Ereignis gleichzeitig eintrifft, wie aktuell der Fall Xplain und der DDoS-Angriff, stossen wir an unsere Kapazitätsgrenzen.

Die Urheber von Hackerangriffen können in den seltensten Fällen strafrechtlich belangt werden. Müssen wir uns einfach damit abfinden?

Das ist ein vielschichtiges Problem und betrifft nicht nur die Schweiz. Die Schweiz ist bestrebt, dies auf internationaler Ebene anzupacken, beispielsweise als Mitgliedstaat der Counter Ransomware Initiative, die von der US-Regierung gegründet worden ist. Die Schweiz befasst sich aber auch mit der Frage, wie die Handlungsfähigkeit der Hackergruppen eingeschränkt und ihnen die wirtschaftliche Grundlage entzogen werden kann. Hier geht es beispielsweise um die Regulierung und die Stärkung der Geldwäschereiregeln bei Kryptowährungen und Digital Assets.

Wie gut sind die Strafverfolgungsbehörden der Kantone aufgestellt?

Tatsächlich sind Ermittlungserfolge überschaubar. Ermittlungen bei Hackerangriffen sind aufwendig und komplex, da die Cyberkriminellen international tätig sind. Die Bearbeitung von Rechtshilfegesuchen dauert lange. Hinzu kommt: Oftmals sind Hackergruppen und ihre Exponenten in Staaten angesiedelt, die wenig Interesse an einer Strafverfolgung haben. Je nach Kanton gibt es spezialisierte Staatsanwaltschaften. In anderen Kantonen ist man weniger gut dotiert. Die Herausforderungen im Kampf gegen die Cyberkriminalität sind erkannt. Um die Zusammenarbeit zu stärken, hat 2021 das Netzwerk digitale Ermittlungsunterstützung Internetkriminalität (NEDIK) seine Arbeit aufgenommen. In diesem Rahmen unterstützen sich die Kantone gegenseitig bei der Ermittlung von Cybervorfällen.