- Im Mai 2023 griff die Hackergruppe «Play» das Berner Software-Unternehmen Xplain an und erbeutete heikle Daten von Bundes- und Kantonsverwaltungen. Die Daten wurden im Darknet veröffentlicht.
- Das Bundesamt für Cybersicherheit deckte in einem Bericht gravierende Sicherheitsmängel bei Xplain auf. Als Reaktion darauf setzte Xplain die gesamte IT-Infrastruktur neu auf.
- Der Kanton Aargau gab jetzt bekannt, dass er die Zusammenarbeit mit Xplain fortsetzt.
Das Ausmass des Hackerangriffs auf Xplain im Frühling 2023 war enorm. Sensible Daten von Mitarbeitenden, von verdeckten Ermittlerinnen und Verwaltungsangestellten landeten im Darknet. Besonders brisant: Xplain bietet Applikationen an, die im Sicherheitsbereich eingesetzt werden.
Ein Bericht des Bundesamts für Cybersicherheit (BACS) zeigte später auf, dass bei Xplain gravierende Sicherheitsmängel bestanden. So hat es laut Bericht nur sehr wenige Sicherheitsvorkehrungen gegeben, die es erlaubt hätten, einen solchen Hackerangriff zu entdecken.
Wir müssten sonst die Aufträge neu ausschreiben.
Das Berner IT-Unternehmen reagierte auf die Kritik und baute die gesamte IT-Infrastruktur um. Dabei stützte sich das Unternehmen auf die Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC). Seit November 2023 seien die technischen und organisatorischen Anforderungen an die Sicherheit erfüllt, heisst es in einem Bericht.
Nun hat der Kanton Aargau bekannt gegeben, dass die Zusammenarbeit mit Xplain trotz des Datenklaus fortgeführt wird. Dabei beruft sich der Kanton auf den Bericht des BACS. Die Firma sei zudem wichtig für den Kanton. «Würden wir den Anbieter wechseln, müssten wir die Aufträge neu ausschreiben», erklärt Andreas Bamert, Generalsekretär des Aargauer Innendepartements.
Das Aargauer Innendepartement arbeitet bereits seit zehn Jahren mit der Berner IT-Firma zusammen. Unter anderem geht es dabei um die Applikation JustThis, die vom Amt für Migration genutzt wird, oder Polaris, die bei der Kantonspolizei im Einsatz ist. Künftig sollen auch andere Abteilungen Applikationen von Xplain nutzen.
Kanton Waadt zieht Konsequenzen
Anders entschieden hat der Kanton Waadt: Anfang Februar gab der Regierungsrat bekannt, dass der Kanton die Zusammenarbeit mit Xplain per sofort beendet. Mit dem Auftrag entgeht der IT-Firma viel Geld: Das Kantonsparlament hatte über 10 Millionen Franken für das IT-Projekt gesprochen.
Der Bund selbst hat in seinem Bericht grünes Licht für die weitere Zusammenarbeit mit Xplain gegeben. Inwiefern die Bundesämter mit Xplain weiterarbeiten, ist nicht bekannt. Aufgrund der laufenden Untersuchungen wollen sie keine konkrete Antwort geben.
Aargau übt Selbstkritik
IT-Experte Hannes Lubich geht nicht davon aus, dass der Bund Xplain den Rücken kehren wird. «Es ist sehr viel Know-how auf beiden Seiten vorhanden und es besteht immer noch ein Vertrauensverhältnis.» Auf die Schnelle eine neue Firma oder eine neue Software als Ersatz zu finden, wäre ein schwieriges Unterfangen.
Der Kanton Aargau zieht aber auch seine Lehren aus dem Fall: «Es dürfen keine produktiven Daten mehr zu Testzwecken benutzt werden», erklärt Andreas Bamert. Produktive Daten sind reale Daten zu Personen. In diesem Fall waren es Strafbefehle, Zugangsdaten und Verwaltungsentscheide. Diese wurden der Firma Xplain weitergegeben, um die Applikation JustThis weiterzuentwickeln. Künftig will die Aargauer Verwaltung dafür keine echten Daten mehr verwenden.
