Die Fremdenpolizei der Stadt Bern ist seit vier Monaten in ihrer Arbeit eingeschränkt.
Schuld ist der Hackerangriff auf die Berner Softwarefirma Xplain. Seither ist die App «enexS Mobile» – das Herzstück der Alltagsarbeit der Fremdenpolizei – nicht mehr einsetzbar. Das zeigen Recherchen von SRF Investigativ und der «Rundschau».
«Die App hat keine Verbindung mehr zum Kernsystem», sagt Alexander Ott, Vorsteher der Fremdenpolizei. Normalerweise können die Mitarbeitenden der Fremdenpolizei bei ihren Kontrollen, beispielsweise auf Baustellen und im Rotlichtmilieu, Fingerabdrücke vor Ort nehmen. «Die App gleicht sowohl Personendaten als auch Fingerabdrücke in verschiedenen Datenbanken ab, etwa im Schengener Informationssystem», sagt Ott. So sehen die Mitarbeitenden vor Ort, ob eine Person zur Fahndung ausgeschrieben ist oder ob sie sich widerrechtlich in der Schweiz aufhält.
Der Mehraufwand sei nun gross, da die App nicht einsatzfähig ist: «Wir müssen die Personen auf die Dienststelle mitnehmen und hier ihre Personendaten und Fingerabdrücke abgleichen», so Ott. Nicht immer sei das gerechtfertigt, etwa wenn es sich um eine einfache Ausweiskontrolle handle. «Es ist schwierig, das den Leuten zu erklären.»
Vom Anbieter abhängig
Zu einem anderen Anbieter könne die Fremdenpolizei erschwert wechseln, weil Partner dieselbe Software nutzen. «Wir haben uns für dieses System entschieden, weil es mit den Partnersystemen kompatibel ist», sagt Ott. Dazu zählt auch das Bundesamt für Zoll und Grenzsicherheit. Laut eigenen Angaben hat man dort keine Probleme mit der App.
Das Beispiel der Stadtberner Fremdenpolizei zeigt auf, wie abhängig Behörden von einzelnen Softwarefirmen sind.
Klumpenrisiko für den Bund
Mehr als zwei Dutzend Behörden bei Bund und Kantonen vertrauen auf die Produkte von Xplain. Das kleine Unternehmen aus dem Berner Oberland ist über die Jahre zum unverzichtbaren Zulieferer für den Bund geworden – wie auch das Online-Magazin «Republik» kürzlich berichtet hat.
In den vergangenen 14 Jahren haben verschiedene Bundesbehörden Softwarelösungen und Dienstleistungen im Wert von über 32 Millionen Franken bei Xplain beschafft.
Über die Hälfte der Aufträge gingen ohne Ausschreibung an Xplain, in sogenannten «freihändigen Verfahren». Dies ist möglich, wenn nur ein Anbieter für den Auftrag infrage kommt.
In der Regel behält eine Firma die Rechte an ihren Produkten, nur sie kann diese anpassen und warten. Das geht auch aus den gestohlenen Dokumenten im Darknet hervor, die SRF Investigativ und die «Rundschau» analysieren. Das bedeutet: Für Kunden wird ein Anbieterwechsel schwierig und kann auch ins Geld gehen. Damit ist Xplain ein Klumpenrisiko für den Bund. Das legt der Hackerangriff offen.
Der Bund werde die Zusammenarbeit mit Xplain kaum aufgeben, sagt Hannes Lubich, Experte für Cybersicherheit. «Die Software muss weiterlaufen, sie muss auch von der Firma, die die Software erstellt hat, weiter supportet und unterstützt werden, wenn Benutzer Probleme haben. Da ist man gebunden an die Umstände des täglichen Betriebs.»
Die Recherche zeigt weiter: Der Bund machte sich nicht nur abhängig von einer Anbieterin. Sondern auch von einer, die offenbar nicht sorgfältig genug mit der digitalen Sicherheit umging.
Das zeigt sich in den Daten, die die Hacker im Darknet veröffentlicht haben. Xplain schützte sensible Informationen offenbar mit einfachen Passwörtern. Teilweise wurden diese in Dokumenten direkt daneben notiert. Einblicke in diese Dokumente zeigen: Sie enthalten unter anderem auch Informationen über einen Polizisten aus den Vereinigten Arabischen Emiraten. Gemäss weiteren Recherchen ist er auf dem Radar des Nachrichtendienstes.
Aber auch einzelne Behörden selber arbeiteten offenbar sorglos mit Xplain zusammen. Sie teilten heikle Informationen, um technische Probleme zu illustrieren. Damit Xplain die Software verbessern kann.
Beispielsweise verschickte ein Mitarbeiter des Bundesamtes für Polizei fedpol unverschlüsselt einen Screenshot per Email an Xplain.
Das ist überhaupt nicht in Ordnung. Das sind sensitive Daten, die den Behördenkontext nicht verlassen sollten.
Zu sehen ist die Einvernahme eines Flüchtlings, der dem syrischen Geheimdienst angehören soll.
Dazu sagt Cybersicherheitsexperte Hannes Lubich: «Das ist überhaupt nicht in Ordnung. Das sind sensitive Daten, die den Behördenkontext nicht verlassen sollten. Es sei denn, es wäre eine hochsichere Umgebung, die sie entgegennimmt. Und das waren sie offenbar ja nicht.»
Weder fedpol, Nachrichtendienst noch Xplain wollen Stellung zur Recherche und zum Vorwurf des unsorgfältigen Umgangs mit heiklen Daten nehmen. Sie verweisen auf die verschiedenen Untersuchungen, die derzeit zum Hackerangriff laufen.
Stellvertretend nimmt der Cybersicherheitsdelegierte des Bundes, Florian Schütz, Stellung: «Die Administrativuntersuchung wird zeigen, wo Fehler passiert sind.» Nach deren Abschluss werde man sehen, welche Prozesse verbessert werden müssten.
Und zur weiteren Zusammenarbeit der Bundesbehörden mit Xplain sagt er: «Auch die Frage, ob man mit der Firma weiter zusammenarbeiten kann, hängt von vielen verschiedenen Parametern ab. Die klärt man derzeit ab, entsprechend kann man die Ergebnisse nicht vorwegnehmen.»
Zum konkreten Fall bei der Fremdenpolizei schreibt Xplain: «Unseres Wissens fehlt eine Zertifikatserneuerung, welche durch den Betreiber der Lösung eingespielt werden muss. Wir sehen keinen Zusammenhang mit dem Hack.»
Eines ist jedoch bereits jetzt klar: Die Behörden sind abhängig von ihren Zulieferern. Wie sehr, hat der Hackerangriff gezeigt.
