Zum Inhalt springen
Video
Hackerangriff zeigt, wie abhängig der Bund von Xplain ist
Aus Rundschau vom 04.10.2023.
abspielen. Laufzeit 13 Minuten 41 Sekunden.

Folgen grösser als bekannt Wegen Hackerangriff auf Xplain – Polizeisoftware teils offline

Bei der Stadtberner Fremdenpolizei funktioniert eine App nicht mehr. Die Abhängigkeit der Behörden von Xplain zeigt sich auch andernorts.

Die Fremdenpolizei der Stadt Bern ist seit vier Monaten in ihrer Arbeit eingeschränkt.

Schuld ist der Hackerangriff auf die Berner Softwarefirma Xplain. Seither ist die App «enexS Mobile» – das Herzstück der Alltagsarbeit der Fremdenpolizei – nicht mehr einsetzbar. Das zeigen Recherchen von SRF Investigativ und der «Rundschau».

Auf dem Foto hält eine Männerhand ein Handy, darauf ist ein rotes Icon für eine App zu sehen.
Legende: Die App ist das Herzstück der Alltagsarbeit der Fremdenpolizei der Stadt Bern. Doch seit vier Monaten kann sie nicht mehr eingesetzt werden. SRF

«Die App hat keine Verbindung mehr zum Kernsystem», sagt Alexander Ott, Vorsteher der Fremdenpolizei. Normalerweise können die Mitarbeitenden der Fremdenpolizei bei ihren Kontrollen, beispielsweise auf Baustellen und im Rotlichtmilieu, Fingerabdrücke vor Ort nehmen. «Die App gleicht sowohl Personendaten als auch Fingerabdrücke in verschiedenen Datenbanken ab, etwa im Schengener Informationssystem», sagt Ott. So sehen die Mitarbeitenden vor Ort, ob eine Person zur Fahndung ausgeschrieben ist oder ob sie sich widerrechtlich in der Schweiz aufhält.

Der Mehraufwand sei nun gross, da die App nicht einsatzfähig ist: «Wir müssen die Personen auf die Dienststelle mitnehmen und hier ihre Personendaten und Fingerabdrücke abgleichen», so Ott. Nicht immer sei das gerechtfertigt, etwa wenn es sich um eine einfache Ausweiskontrolle handle. «Es ist schwierig, das den Leuten zu erklären.»

Vom Anbieter abhängig

Zu einem anderen Anbieter könne die Fremdenpolizei erschwert wechseln, weil Partner dieselbe Software nutzen. «Wir haben uns für dieses System entschieden, weil es mit den Partnersystemen kompatibel ist», sagt Ott. Dazu zählt auch das Bundesamt für Zoll und Grenzsicherheit. Laut eigenen Angaben hat man dort keine Probleme mit der App.

Das Beispiel der Stadtberner Fremdenpolizei zeigt auf, wie abhängig Behörden von einzelnen Softwarefirmen sind.

Klumpenrisiko für den Bund

Mehr als zwei Dutzend Behörden bei Bund und Kantonen vertrauen auf die Produkte von Xplain. Das kleine Unternehmen aus dem Berner Oberland ist über die Jahre zum unverzichtbaren Zulieferer für den Bund geworden – wie auch das Online-Magazin «Republik» kürzlich berichtet hat.

In den vergangenen 14 Jahren haben verschiedene Bundesbehörden Softwarelösungen und Dienstleistungen im Wert von über 32 Millionen Franken bei Xplain beschafft.

Über die Hälfte der Aufträge gingen ohne Ausschreibung an Xplain, in sogenannten «freihändigen Verfahren». Dies ist möglich, wenn nur ein Anbieter für den Auftrag infrage kommt.

Eine Grafik zeigt die Beschaffungen des Bundes bei Xplain von 2009 bis 2023 auf.
Legende: Das Bundesamt für Polizei und die Eidgenössische Zollverwaltung gehören zu den grössten Bestellern des Bundes bei Xplain. SRF

In der Regel behält eine Firma die Rechte an ihren Produkten, nur sie kann diese anpassen und warten. Das geht auch aus den gestohlenen Dokumenten im Darknet hervor, die SRF Investigativ und die «Rundschau» analysieren. Das bedeutet: Für Kunden wird ein Anbieterwechsel schwierig und kann auch ins Geld gehen. Damit ist Xplain ein Klumpenrisiko für den Bund. Das legt der Hackerangriff offen.

Der Bund werde die Zusammenarbeit mit Xplain kaum aufgeben, sagt Hannes Lubich, Experte für Cybersicherheit. «Die Software muss weiterlaufen, sie muss auch von der Firma, die die Software erstellt hat, weiter supportet und unterstützt werden, wenn Benutzer Probleme haben. Da ist man gebunden an die Umstände des täglichen Betriebs.»

Ein weisses Firmenschild in schwarzer und blauer Schrift, angebracht an einer grauen Hausfassade.
Legende: Die Firma Xplain beschäftigt 80 Mitarbeitende an verschiedenen Standorten und hat ihren Sitz in Interlaken im Berner Oberland. Keystone/Peter Schneider

Die Recherche zeigt weiter: Der Bund machte sich nicht nur abhängig von einer Anbieterin. Sondern auch von einer, die offenbar nicht sorgfältig genug mit der digitalen Sicherheit umging.

Das zeigt sich in den Daten, die die Hacker im Darknet veröffentlicht haben. Xplain schützte sensible Informationen offenbar mit einfachen Passwörtern. Teilweise wurden diese in Dokumenten direkt daneben notiert. Einblicke in diese Dokumente zeigen: Sie enthalten unter anderem auch Informationen über einen Polizisten aus den Vereinigten Arabischen Emiraten. Gemäss weiteren Recherchen ist er auf dem Radar des Nachrichtendienstes.

Ein Screenshot eines Passes. Das Foto wurde unkenntlich gemacht.
Legende: Heikle Daten eines Polizisten aus den Vereinigten Arabischen Emiraten finden sich in den Daten, die die Hacker bei Xplain gestohlen haben. Gemäss weiteren Recherchen ist der Mann auf dem Radar des Nachrichtendienstes des Bundes. SRF

Aber auch einzelne Behörden selber arbeiteten offenbar sorglos mit Xplain zusammen. Sie teilten heikle Informationen, um technische Probleme zu illustrieren. Damit Xplain die Software verbessern kann.

Beispielsweise verschickte ein Mitarbeiter des Bundesamtes für Polizei fedpol unverschlüsselt einen Screenshot per Email an Xplain.

Das ist überhaupt nicht in Ordnung. Das sind sensitive Daten, die den Behördenkontext nicht verlassen sollten.
Autor: Hannes Lubich Cybersicherheitsexperte

Zu sehen ist die Einvernahme eines Flüchtlings, der dem syrischen Geheimdienst angehören soll.

Dazu sagt Cybersicherheitsexperte Hannes Lubich: «Das ist überhaupt nicht in Ordnung. Das sind sensitive Daten, die den Behördenkontext nicht verlassen sollten. Es sei denn, es wäre eine hochsichere Umgebung, die sie entgegennimmt. Und das waren sie offenbar ja nicht.»

Ein Screenshot des Hackerangebots im Darknet.
Legende: Die Hackergruppe stellte die gestohlenen Daten ins Darknet, nachdem die Softwarefirma Xplain das geforderte Lösegeld nicht bezahlte. SRF

Weder fedpol, Nachrichtendienst noch Xplain wollen Stellung zur Recherche und zum Vorwurf des unsorgfältigen Umgangs mit heiklen Daten nehmen. Sie verweisen auf die verschiedenen Untersuchungen, die derzeit zum Hackerangriff laufen.

Stellvertretend nimmt der Cybersicherheitsdelegierte des Bundes, Florian Schütz, Stellung: «Die Administrativuntersuchung wird zeigen, wo Fehler passiert sind.» Nach deren Abschluss werde man sehen, welche Prozesse verbessert werden müssten.

Das war der Hackerangriff auf Xplain

Box aufklappen Box zuklappen

Die Hackergruppe «Play» griff im Mai 2023 das Berner Softwareunternehmen Xplain an und erbeutete dabei heikle Daten aus verschiedenen Departementen der Bundesverwaltung und kantonalen Behörden. Gemäss Angaben der Hacker soll es sich um eine Datenmenge von mehreren hundert Gigabyte handeln. Als die Firma das geforderte Lösegeld nicht zahlte, stellten die Hacker die Daten zum Download ins Darknet.

Und zur weiteren Zusammenarbeit der Bundesbehörden mit Xplain sagt er: «Auch die Frage, ob man mit der Firma weiter zusammenarbeiten kann, hängt von vielen verschiedenen Parametern ab. Die klärt man derzeit ab, entsprechend kann man die Ergebnisse nicht vorwegnehmen.»

Zum konkreten Fall bei der Fremdenpolizei schreibt Xplain: «Unseres Wissens fehlt eine Zertifikatserneuerung, welche durch den Betreiber der Lösung eingespielt werden muss. Wir sehen keinen Zusammenhang mit dem Hack.»

Eines ist jedoch bereits jetzt klar: Die Behörden sind abhängig von ihren Zulieferern. Wie sehr, hat der Hackerangriff gezeigt.

SRF 4 News, 4.10.2023, 16:00 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel