Die Cyberattacke auf die IT-Firma Xplain Anfang Juni wächst sich zum Skandal aus. Denn das Unternehmen aus Interlaken BE hortete zahllose Daten des Bundesamts für Polizei (Fedpol) und des Zolls – mutmasslich illegal, zudem wohl teilweise unverschlüsselt.
Beide Behörden reichten Strafanzeige gegen unbekannt ein; sowohl eine GPK-Subkommission als auch der Eidgenössische Datenschützer haben begonnen, die Vorgänge zu untersuchen. Die Bundesanwaltschaft hat ein Strafverfahren eröffnet, die Landesregierung richtete einen Krisenstab namens «Datenabfluss» ein – beteiligt sind alle Departemente.
Am Freitag wurde überdies bekannt, dass das Finanzdepartement unter Karin Keller-Sutter (59) inzwischen ein Administrativverfahren veranlasst hat. Von unabhängiger Seite soll eruiert werden, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind.
Detaillierte Sicherheitspositive der Bundespolizei
Angesichts all dieser Aufklärungsarbeiten stellt sich auch die Frage, um welche Daten es überhaupt geht, die nun jedermann im Darknet herunterladen kann: Offiziell ist beim Bund nebulös von einer «grossen Datenmenge» und «operativen Daten» die Rede. Doch die wirkliche Antwort ist weit beunruhigender, wie Recherchen von SonntagsBlick zeigen. Demnach gehören zu den unzähligen Dokumenten die detaillierten Sicherheitsdispositive der Bundespolizei für ausländische Staatsgäste sowie für diplomatische Vertretungen und ihre Belegschaft.
So sind nun etwa Massnahmen für das in Bern stationierte diplomatische Korps einer Supermacht frei im Netz zugänglich. Jeder Ganove kann sich ein Bild machen, was die Eidgenossenschaft etwa zum Schutz der ukrainischen Niederlassung in Bern beiträgt. Betroffen sind Staaten mit höchst sensiblen Sicherheitsanforderungen in Nahost, dazu gehören arabische Golfmonarchien.
Die Liste der abhandengekommenen Geheimnisse ist noch länger: Hinzu kommen die Security-Massnahmen für Magistratspersonen und ranghohe Verwaltungsangestellte des Bundes, ebenso Dispositive für die Sicherung von Gebäuden und anderen Objekten. Kriminelle – oder auch nur Neugierige – können im Darknet mühelos Namen, Adressen und Gefährdungsstufe von schützenswerten Einrichtungen einsehen.
Ebenfalls in der Hand der Hacker – und jederzeit herunterzuladen – sind sogenannte Red Notices von Interpol. Dazu gehören Haft- und Auslieferungsversuche, aber auch Fahndungsausschreibungen an die Adresse der Schweizer Behörden – allesamt Fälle, bei denen es um mutmassliche Schwerverbrecher geht.
Log-in-Daten gestohlen?
Damit aber nicht genug: Die Behörden gehen derzeit Hinweisen nach, dass Log-in-Daten einzelner EDV-Systeme in diversen Bundesämtern abhandengekommen sind.
Rund ein halbes Dutzend Bundesämter nutzt IT-Lösungen der Firma Xplain. Die betroffenen Stellen haben diese Zugänge gesperrt, sämtliche Updates wurden gestoppt.
Florian Schütz (41), der Direktor des neuen Bundesamts für Cybersicherheit, erklärt indessen gegenüber SonntagsBlick: «Bis jetzt gibt es keine Hinweise darauf, dass sich jemand mit den veröffentlichten Informationen Zugang zu einem System verschaffen wollte.»
Mögliche neue Auflagen
2021 listete der Bund 2372 Verträge mit IT-Dienstleistern auf, die alle ein Auftragsvolumen von mehr als 50'000 Franken beinhalten. Seit zwei Jahren müssen diese Firmen jeden Cyberangriff melden. Ob es künftig weiterer Sicherheitsmassnahmen bedarf, wird derzeit analysiert. Schütz: «Wir schauen jetzt sämtliche Verträge an: Sind die Klauseln zur Sorgfalt im Umgang mit Daten genügend scharf ausformuliert?»
Mögliche neue Auflagen wären etwa eine zwingende Verschlüsselung sämtlicher Daten oder ein sogenanntes Audit-Recht in den Verträgen. Der Bund hätte dann die Möglichkeit, in regelmässigen Abständen die Datenhandhabung der jeweiligen IT-Dienstleister vor Ort zu überprüfen.
Bei diesen Überlegungen spielen auch die Bundesfinanzen eine Rolle. «Je sicherer ein System, umso teurer die Wartung», sagt Schütz. Es sei ein Abwägen. Klar sei: «Absolute Sicherheit gibt es nicht.»
Auslagerung problematisch
Was Experten Sorge bereitet, ist die grundsätzliche Praxis der Auslagerung bei der Bundesverwaltung an Private: Wenn der Staat EDV-Dienstleistungen in brisanten Bereichen nach aussen vergibt, öffnet das für Spionage Tür und Tor. Ein Drittstaat könnte in der Schweiz verdeckt eine IT-Firma nach dem Muster von Xplain gründen und bei Ausschreibungen die Schwelle von 230'000 Franken unterbieten, damit die Vergabe unter der Hand stattfinden kann. Nach dem Zuschlag liessen sich ohne grössere Hürden vertrauliche und geheime Informationen sammeln.
Ungut ist die Sache auch für die Schweizer Aussenpolitik: Eben hat der Bundesrat den Export von 96 Leopard-Panzern aus Italien nach Deutschland abgelehnt, wofür die Eidgenossenschaft im Westen viel Unverständnis erntete. Aussenminister Ignazio Cassis (62) forciert stattdessen die Politik der Guten Dienste und will das Land als Vermittlerin und Standort für Konfliktlösung etablieren. Dafür allerdings ist Vertrauen das oberste Gebot. Wenn die nationalen Schutzmassnahmen etwa bei der Ukraine-Konferenz in Lugano TI 2022 im Nachhinein auffliegen, ist das nicht unbedingt vertrauensfördernd.
Unter Druck steht aber primär das Fedpol unter Leitung von Direktorin Nicoletta della Valle (62). Der Zürcher SVP-Nationalrat Alfred Heer (61) brachte als Präsident der für das Justizdepartement zuständigen GPK-Subkommission den Fall als Erster im Parlament aufs Tapet. Er fordert eine «lückenlose und rasche Aufklärung», so Heer gegenüber SonntagsBlick. «Wir haben es hier mit einem Versagen im Bund zu tun, das den innersten Kern der Sicherheit betrifft, sodass personelle Konsequenzen unumgänglich sind.» Der Druck auf die Bundespolizei dürfte damit in absehbarer Zeit nicht kleiner werden.
Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch
Haben Sie Hinweise zu brisanten Geschichten? Schreiben Sie uns: recherche@ringier.ch