Der Bund hat den Hackern Tür und Tor geöffnet
Die Untersuchungsberichte zum IT-Skandal zeigen, wie leichtfertig mit hochsensiblen Daten umgegangen wurde – und wie hilflos der Bund im Umgang mit der Digitalisierung ist.
Homeland Security: Die IT-Firma Xplain mit Sitz in Interlaken ging mit Daten des Bundes fahrlässig um, wie ein Bericht nun zeigt.
Der Untersuchungsbericht zu den Datenleaks bei Xplain liest sich wie ein schlechtes Drehbuch zu einem Agentenfilm. Mitarbeiter der IT-Firma Xplain wurden mit einer eigenen Fedpol-Mailadresse ausgestattet. Damit konnten sie aus ihren Büros oberhalb des Imbisses Napoli Pizza und Kebab in Interlaken BE sensible Daten aus dem Netzwerk des Bundesamts für Polizei (Fedpol) herunterladen und weiterversenden.
Darunter eine 8 Megabyte grosse Excel-Datei mit Daten zu Strafverfahren des Fedpol. In Spalten eingetragen: vermutete Straftaten, Namen der beschuldigten Personen, der Ermittler und der Staatsanwälte. In einer Spalte waren sogar die Adressen von Orten eingetragen, wo eine Hausdurchsuchung durchgeführt wurde.
Die Datei war später Teil des Datenleaks von Xplain, das im Mai 2023 im Darknet hochgeladen wurde. Theoretisch konnte jede Person mit Zugang zum Internet darauf zugreifen.
Fedpol sollte «Sicherheit und Effizienz» erhöhen
Der am Mittwoch veröffentlichte Bericht kommt zum Schluss, dass Mitarbeiter von Xplain Zugang zum Orma-System hatten, der elektronischen Plattform zur Geschäfts- und Fallführung des Fedpol. Mehr noch: Xplain-Mitarbeiter konnten die Daten von dort herausnehmen und weiterleiten.
Wie schwer der Skandal um das Xplain-Datenleak das Vertrauen in die Bundesbehörden im Umgang mit sensiblen Daten erschüttern wird, kann man heute noch gar nicht absehen.
Dass bei den Bundesbehörden und insbesondere beim Fedpol in Sachen IT einiges im Argen liegt, weiss man spätestens seit 2018. Damals schlugen Cyberermittler des Fedpol erst intern und später öffentlich Alarm. Es ging um sensible Daten über Internetkriminalität, die ungeschützt auf Servern des Bundes lagen – und auf die jeder mit etwas technischem Wissen Zugriff hatte.
2021 veröffentlichte die Eidgenössische Finanzkontrolle ein Audit, das die Vorwürfe bestätigte. Darin empfahl sie, die Probleme beim Fedpol «rasch anzugehen», um «Sicherheit und Effizienz» zu erhöhen.
Xplain-Leak zeigt Probleme im Umgang mit Digitalisierung
Zwei Jahre später kam es zum Xplain-Leak. Der nun veröffentlichte Untersuchungsbericht zeigt, dass der Bund seine Pflichten im Umgang mit hochsensiblen Daten nicht erfüllt hat. Auch seine Überwachungspflicht hat er nicht wahrgenommen.
Und auch die Informationssicherheit wurde vernachlässigt. Beim Fedpol, aber auch beim Bundesamt für Justiz (BJ) waren die Beauftragten für Informationssicherheit unterdotiert. Zum Zeitpunkt der Untersuchung im letzten Herbst waren beim BJ bloss 10 Stellenprozent für diese wichtige Aufgabe vorgesehen.
Der Xplain-Skandal ist mehr als ein Problem einzelner Bundesämter. Er ist ein Symptom für die Probleme der Verwaltung bei der digitalen Transformation. Statt Kompetenzen aufzubauen, werden Aufgaben einfach an private Dienstleister ausgegliedert – mit allen Risiken, die damit verbunden sind. So wurde auch die Verantwortung für das elektronische Patientendossier in die Hände privater Unternehmen gegeben.
Letztes Beispiel für die behördliche Bankrotterklärung vor der digitalen Transformation ist der Umgang mit dem elektronischen Impfausweis. Über fünf Millionen Datensätze drohen in diesen Tagen vernichtet zu werden. Dies, nachdem der Bund wegen schwerwiegender Sicherheitsmängel die Reissleine hat ziehen müssen. In einem Projekt wird nun evaluiert, wie man diese Daten zumindest an ihre Besitzer zurückgeben könnte. Die Digitalisierung ist dort jedenfalls gescheitert.
Starten Sie jeden Tag informiert in den Tag mit unserem Newsletter Guten Morgen. Melden Sie sich hier an.