Es ist fast schon müssig, über den Cyberangriff auf den Interlakner IT-Dienstleister Xplain zu schreiben. Aber dennoch ist es notwendig. Denn er zeigt ein offenbar grosses Problem beim Bund schonungslos auf: Es fehlt in der Verwaltung an Verständnis und Awareness für IT-Security!

Wie sonst ist es möglich, dass der Bund das sogenannte Third-Party-Risiko, also das Risiko von Datenverlust bei einem Dienstleister, so schlecht managed? Wie ist es möglich, dass der Bund wochenlang analysieren muss, welche Daten im Darkweb gelandet sind, obwohl er es war, der die Daten an Xplain geliefert hat? Wie kann es sein, dass "IT-Security" in vielen Ausschreibungen und dementsprechend wohl auch in Verträgen zwischen Lieferant und Bund kein Thema ist?

Für mich liegt die Antwort auf der Hand: Der Bund lagert IT-Security sehr bewusst an Lieferanten und Dienstleister aus, weil ihm selbst dafür das Know-how und die Awareness fehlen. Das zeigt unter anderem auch die jüngste Aussage von Florian Schütz, dem Delegierten des Bundesrats für Cybersicherheit: Er sagte, dass die Daten nicht beim Bund abgeflossen seien, sondern bei Xplain.

Faktisch ist die Aussage natürlich korrekt. Dennoch ist das für mich ein Abschieben von Verantwortung, wenngleich seine Behörde, das Nationale Zentrum für Cybersicherheit, umgehend dementiert hat, dass Verantwortung abgeschoben werde. Diese werde sehr wohl wahrgenommen, aber viele Analysen würden halt im Hintergrund laufen.

Aber es ist doch so: Der Bund vergibt Aufträge, wählt die Lieferanten aus und ist am Ende auch für deren Kontrolle zuständig. Es ist wie beim Fall von "Meineimpfungen.ch", bei dem das Bundesamt für Gesundheit versucht hat, die Verantwortung an die zuständige Stiftung abzuschieben. Das ist dreist und verantwortungslos, weil es um sensitive Daten von Bürgerinnen und Bürgern dieses Landes geht, die der Bund zwingend schützen muss.

So ist es für mich kein Wunder, dass Digitalisierungsprojekte wie das elektronische Patientendossier (EPD) floppen. Der Bund verspielt bei der Bevölkerung das Vertrauen, weil immer wieder neue Databreaches ans Tageslicht kommen. Und dies seit Jahren und immer wieder aufs Neue. Die Vorfälle zeigen, dass die Verwaltung nicht in der Lage ist, vernünftig mit vertrauenswürdigen Daten umzugehen.

Weil es enorm schwierig ist, das verlorene Vertrauen wiederherzustellen, muss der Xplain-Hack schonungslos aufgearbeitet werden. Und zwar so, dass es wehtut und Verantwortliche benannt werden (und entsprechende Konsequenzen ziehen müssen). Es darf nicht dabei herauskommen, dass nur Xplain Fehler gemacht hat, der Bund hingegen alles richtig. Wäre das so, wäre die Reissleine schon viel früher gezogen worden.

Ich habe wenig Hoffnung, dass der nun einberufene Krisenstab "Datenabfluss" auf brauchbare Ergebnisse kommt. Spannend zu beobachten wird sein, wen der Bundesrat zur "unabhängigen Stelle" ernennt, die den Hackerangriff untersucht. Es sei noch nicht klar, ob es ein Unternehmen oder eine Behörde wird, sagte man uns kürzlich. Speziell bei letzterem droht die Gefahr, dass sich die Verantwortlichen selbst auf die Finger schauen müssen.

Und was dabei herauskommen würde, ist leider so klar, wie dass es früher oder später zum nächsten Datenabfluss kommt.