Es gab eine Zeit, da warfen gewiefte Chefs bei einem Bewerbungsgespräch zunächst einen Blick auf die Schuhe des Bewerbers. Sie taten dies, weil sie glaubten daran ablesen zu können, ob sie es mit einer gewissenhaften Person zu tun haben. Diese Zeiten sind zumindest in der Informatik vorbei und doch gibt es Situationen, in denen der äusserliche Eindruck fast das Einzige ist, was uns bei der Bewertung der Seriosität eines Gegenübers helfen kann.

Banken sind sich dessen bewusst und achten bei der Wahl ihrer Standorte auf gute Nachbarschaft. Am liebsten quartieren sie sich in einem gediegenen Gebäude an bester Lage ein. Ein wenig repräsentativer Eingang neben einem Kebab-Stand wird als Hauptsitz normalerweise vermieden.

Auch die Firma Xplain in Interlaken hat ihren Hauptsitz in einem solchen gediegenem Gebäude. Sie setzt es auf der Webseite fotografisch in Szene; wenn auch aus einer etwas schrägen Perspektive.

Architektonisch scheint also alles in Ordnung bei Xplain. Aber wie sieht es mit dem digitalen Äusseren aus? Sehen wir etwas, was uns Rückschlüsse auf die Cybersicherheit der Firma machen liesse? Ist die Firma in der Lage, ihre Server sicher zu konfigurieren? Setzt sie überprüfbare Best Practices korrekt um und spielt sie Updates auf öffentlich zugänglichen Servern zügig ein? Und wenn wir etwas in dieser Richtung bemerken, stützen diese Erkenntnisse unsere Bewertung der Firma oder zwingen sie uns, die positive Erscheinung, welche die Firma uns mit ihrem sonstigen Auftritt vermittelt, zu korrigieren?

Wenn die Öffentlichkeit die Cybersicherheit einer Firma bewerten will, dann bleibt ihr tatsächlich kaum etwas anderes übrig, als auf den äusseren Eindruck zurückzugreifen. Es ist in der Schweiz unüblich, dass Firmen der Allgemeinheit gegenüber Rechenschaft über ihren Security Track Record ablegen. Falls Penetration Tests durchgeführt werden, behält man die Ergebnisse geheim und falls Zertifizierungen vorhanden sind, dann bleibt doch die Unsicherheit zurück, ob die Vorgaben der Zertifizierung auch wirklich gelebt werden. Auch Xplain CEO Andreas Löwinger erklärte vor ein paar Jahren, dass man sehr zurückhaltend kommuniziere.

Genaueres könnte man als uneingeladener Sicherheitsforscher mit einer Tiefenbohrung herausfinden, aber ohne vorherige Absprache verbietet das Strafrecht jede Überwindung von Schutzmassnahmen auf einem Server. Und so bleibt der Öffentlichkeit eben nur der äussere Eindruck, um festzustellen, wie es um die Sicherheitskultur einer Firma bestellt ist. Laien stehen für diese Bewertung eine Vielzahl von einfachen online Bewertungstools zur Verfügung. Genannt seien hier SecurityHeaders.com, SSLLabs.com, Observatory.mozilla.org oder Internet.nl. Sie alle sind intuitiv verständlich.

Mit Ausnahme von SSLLabs rapportierten alle diese Hilfsmittel für Xplain bis letzte Woche einen sehr schlechten Eindruck. Die Sicherheit der Webseite liess einiges zu wünschen übrig und wurde von SecurityHeaders.com mit einem "F" am unteren Ende der Skala bewertet. Mit einfachen Mitteln liess sich dann zeigen, dass sich die ungenügende Konfiguration der Webseite nahtlos auf anderen Servern der Firma weiterzog.

Ein für das Fedpol bereitgestellter Jira-Server konnte zum Beispiel über eine Man-in-the-Middle Attacke angegriffen werden. Das hätte es erlaubt, die Passwörter von Mitarbeitenden des Bundes allzu einfach abzugreifen. Zudem war der Server seit der Installation vor über drei Jahren nie mehr gepatcht worden. Ohne jedes Schamgefühl zeigte Xplain die Version von Atlassian Jira 8.7.0 auf der Loginseite des Servers.

Die besagte Version war im Februar 2020 erschienen und wurde von Jira innert einer Woche von der Version 8.7.1 abgelöst. Dieses Security-Update schaffte es aber nie auf den Server von Xplain und als letzte Woche eine Diskussion darüber auf Twitter entbrannte, verschwand der Server kurz darauf vom Netz.

Das äussere, sicherheitstechnische Erscheinungsbild von Xplain ist also ausgesprochen unseriös und verschlechterte sich weiter, als CEO Andreas Löwinger gegenüber 'Watson' darlegte, dass man in puncto Sicherheit keine zu hohen Ansprüche an Xplain legen dürfe, zumal die Firma lediglich als Software-Lieferant fungiere. Auch eine entsprechende Zertifizierung sei unnötig, da man ja keine Daten von Kunden verwalte. Dazu findet sich im Darknet allerdings der Gegenbeweis.

Die wahre Naivität hinter der Aussage des Chefs zeigt sich aber erst bei Überlegungen zur Sicherheit der von Xplain entwickelten Software. Das Unternehmen stellt an sieben Standorten in der Schweiz und im europäischen Ausland sogenannte "Home Land Security"-Software für Bund und Kantone her. Sie verkauft diese "Closed Source" an ihre öffentlichen Kunden. Faktisch handelt es sich dabei aber um eine Blackbox, denn ein vertiefter Security-Review von Close Source Software ist kaum möglich. Vielmehr wird die fertig paketierte Software nach der Lieferung auf den Servern des Bundes und der Kantone installiert und zur Verwaltung von sensiblen Daten eingesetzt.

Oder anders gesagt: Ein staatlicher Akteur, der es auf die Eidgenossenschaft abgesehen hat, braucht gar nicht die Firewalls des Bundes zu überwinden oder zu hoffen, dass jemand in Bern auf einen ungesicherten Link klickt. Einfacher ist es, die erklärtermassen laxen Sicherheitshürden bei Xplain zu überwinden und sich in die Xplain-Software einzuschleichen. Er wird sich alsbald als Teil dieser Software hinter den Firewalls des Bundes in einem geschützten Netz wiederfinden.

Das strukturelle Problem des Bundes in diesem Bereich nennt sich Supply Chain Security. In Interlaken ist das offenbar auch 2023 kein Begriff, oder Herr Löwinger würde sein Herz nicht so offen auf der Zunge tragen. Respektive, er würde davor zurückschrecken, die für einen Angriff infrage kommenden Geheimdienste durch so unüberlegte Aussagen in der Presse auf seine Server einzuladen.

Xplain und Löwinger können nur deshalb seit Jahren so auftreten, weil beim Bund niemand mit einer sicherheitstechnischen Brille hinschaute oder auch nur genau zuhörte, wie fahrlässig der Lieferant sich äussert.

Der Delegierte des Bundes für Cybersecurity Florian Schütz betonte kürzlich in einem Interview, dass die Daten bei Xplain und nicht beim Bund abgeflossen seien. Oder anders gesagt: Die Schuld liegt nicht in Bern, sondern in Interlaken.

Wie kann es aber sein, dass es bei den vom Datenabfluss betroffenen Behörden wie der eidgenössischen Zollverwaltung, den zahlreichen Kantonsverwaltungen und auch beim Fedpol niemandem auffiel, dass der Lieferant sicherheitstechnisch einen sehr schlechten Eindruck machte? Offenbar gaben Fedpol-Mitarbeitende über Jahre hinweg ihre Passwörter auf einem ungepatchten Xplain-Server ein, ohne sich um die veraltete Versionnummer auf der Eingabemaske zu kümmern. Das ist ein fahrlässiges Verhalten und lässt sich nur durch eine mangelnde Sicherheitskultur auf Seite des Bundes erklären. Genau dies hat Lukas Mäder vor Wochenfrist in seinem Kommentar in der 'NZZ' moniert und wir können es hier an einem konkreten Gegenstand festmachen.

Wie sähe eine angemessene Sicherheitskultur aus? Es würde bedeuten, dass die Mitarbeitenden des Bundes sich weigern, ihre Passwörter auf einer schlecht gesicherten Eingabemaske einzutippen und dass die Verantwortlichen umgehend eine Behebung der belegbaren Schwachstellen von Xplain verlangen.

Die verschiedenen, unter anderem von SecurityHeaders.com monierten Probleme sind für Laien nicht zu durchschauen. Das müssen sie aber auch gar nicht. Es reicht die Meldung: "Liebes NCSC, wir haben hier eine Seite, die mit 'F' bewertet wird. Wir verstehen zwar nicht genau, was das bedeutet, aber könntet ihr mal einen Blick darauf werfen?" Es wäre dann die Rolle des NCSC, so einem Anfangsverdacht nachzugehen.

Diese Meldungen sind aber nach allem, was wir wissen, unterblieben, oder sie sind versandet, was natürlich dem Bund und seiner Sicherheitskultur ein noch schlechteres Zeugnis ausstellen würde.

Wenn nun aber die Kunden jede Sensibilität für Sicherheit vermissen lassen, ein angemessener Schutz der eigenen Firma kein Zuschlagskriterium bei Ausschreibungen darstellt und auch vertraglich keine Standards verlangt werden, dann verhält sich Xplain so rational wie jedes andere gewinnorientierte Unternehmen: Sie alle liefern genau das Minimum an Sicherheit, das man bei Bund und Kantonen von ihnen verlangt.

Wo die Sicherheitskultur auf Kundenseite fehlt, da spielt die von aussen gut sichtbare Cybersicherheit der Firma keine Rolle und Xplain kann sich bei der Pflege ihres Äusseren darauf beschränken, in einem gediegenen Gebäude zu residieren.

In frontaler Perspektive sieht die Fassade des Firmensitzes von Xplain übrigens etwas anders aus als auf der Webseite inszeniert. Während man dort den Bildausschnitt möglichst vorteilhaft wählte, sieht man auf einem Foto von vorne das Türschild von Xplain am Anbau auf der linken Seite gleich neben einem Kebab-Stand.