Anfang Juni wurde der Hackerangriff auf die Firma XPlain durch Medienberichte öffentlich. Seither entwickelt sich der Datendiebstahl immer mehr zur wohl gravierendsten Hackerattacke auf die Bundesverwaltung, die es je gegeben hat. XPlain ist ein zentraler Informatikdienstleister für verschiedenste Schweizer Behörden im Bereich Sicherheit und Justiz.
Wie jetzt bekannt geworden ist, hat sich der Bundesrat seit dem 9. Juni bereits mehrmals mit dem Thema beschäftigt. Und er ist äusserst besorgt, wie Finanzministerin Karin Keller-Sutter erklärt: «Wenn man mit einer Firma zusammenarbeitet, die gehackt wird und dann Daten abfliessen – da muss man schon beunruhigt sein.»
Krisenstab soll Datenabfluss untersuchen
Die Beunruhigung des Bundesrates ist so gross, dass er einen Krisenstab eingesetzt hat, in dem sämtliche Departemente und die Kantone vertreten sind. Er läuft unter dem Titel «Datenabfluss», was eigentlich alles sagt.
Die Menge der Daten, welche die Hackergruppe «Play» bei der Firma XPlain erbeutet und am 14. Juni im Darknet publiziert hat, ist gigantisch. Der Bundesrat spricht von «mehreren Millionen Dateien». Die Auswertung und «vertiefte Analyse» werde «einige Wochen oder gar Monate in Anspruch nehmen».
Besonders alarmiert ist der Bundesrat, weil bei der Firma XPlain, die eigentlich Software für Sicherheitsbehörden entwickelt, auch «operative» Daten der Bundesverwaltung und damit äusserst sensible Inhalte gestohlen worden sind. Es sind Daten, die eigentlich gar nicht bei der Firma XPlain hätten sein dürfen. Das Bundesamt für Polizei fedpol und das Bundesamt für Zoll und Grenzsicherheit haben deshalb Strafanzeige eingereicht.
Wir wollen wissen, wie es möglich war, dass ein Anbieter überhaupt über solche Daten verfügen konnte.
Die Bundesanwaltschaft hat mittlerweile ein Strafverfahren eröffnet. Der Eidgenössische Datenschutzbeauftragte wiederum hat gegen die beiden Bundesämter eine Untersuchung eingeleitet, weil Anzeichen auf «potenziell schwere Verstösse gegen die Datenschutzvorschriften» bestünden.
Und der Bundesrat setzt nun noch eins obendrauf: Man wolle eine Administrativuntersuchung einleiten. «Wir wollen wissen, wie es möglich war, dass ein Anbieter überhaupt über solche Daten verfügen konnte», sagt Keller-Sutter. Die Administrativuntersuchung soll zeigen, «ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt» worden seien.
Alle Verträge mit externen Firmen werden untersucht
Auch nicht grade vertrauenerweckend ist die Ankündigung des Bundesrates, mit Massnahmen sicherstellen zu wollen, dass die von der Firma XPlain für die Polizei sowie die Sicherheits- und Migrationsbehörden erbrachten «essenziellen» Leistungen in jedem Fall gewährleistet werden können. «Es muss sichergestellt sein, dass es nicht mehr möglich ist, dass solche Daten abfliessen können», sagt die Justizministerin. Das sei im Grunde Sinn und Zweck des Krisenstabs.
Darüber hinaus hat der Bundesrat angeordnet, dass sämtliche Verträge des Bundes mit externen Informatikunternehmen überprüft und falls nötig angepasst werden. Die Landesregierung verfolgt damit zwei Ziele: Zum einen soll die Cybersicherheit dieser Firmen verbessert werden. Und zum anderen soll der Bund im Fall eines erfolgreichen Hackerangriffs künftig rascher reagieren können.
Der Bundesrat verspricht, dass er die Öffentlichkeit über die weiteren Schritte «transparent informieren» werde.
