Zwischen den Ransomware-Angriffen auf die IT-Dienstleister Xplain und Concevis liegen ungefähr 5 Monate. Zwischen Mai (Xplain) und November (Concevis) ist einiges passiert:

Nachfolgend liste ich die wichtigsten Massnahmen in chronologischer Reihenfolge auf, die der Bund nach dem Xplain-Hack getroffen hat:

Doch das ist leider nicht alles: In schöner Regelmässigkeit sind immer wieder neue Daten aufgetaucht, die beim Angriff auf Xplain gestohlen worden sind.

Und nun? Mir stellt sich primär eine Frage:

Erlebt der Bund jetzt seinen persönlichen Groundhog Day? Das ist der Tag, an dem im gleichnamigen Film ein zynischer Wettermoderator immer wieder dasselbe durchmacht. Wiederholen sich also nach dem Cyberangriff auf Concevis einfach die oben genannten (offensichtlich wirkungslosen) Massnahmen nach dem Xplain-Hack bis es den nächsten erwischt?

Es gibt – Stand jetzt – wenig Hoffnung, dass es anders kommt.

1. Die Warnungen und Hinweise des Bundes bei seinen Dienstleistern verhallen offenbar ungehört. Eine Anfrage von mir bei Anbietern, welche Lehren sie aus dem Angriff auf Xplain für sich selbst gezogen haben, lässt Ähnliches vermuten: 5 von 9 gefragten Unternehmen haben auch 3 Tage nach der gesetzten Frist nichts von sich hören lassen. Das hinterlässt den Eindruck, dass man sich auf Anbieterseite nicht wirklich mit kritischen Fragen auseinandersetzen will. (Die Story dazu folgt nächste Woche.)

2. Der Bund muss erstens seine Verantwortung endlich ernst nehmen und die gewählten Dienstleister ernsthaft auditieren. Und er muss bei seinen Ausschreibungen IT-Security von Anfang an höchste Priorität beimessen. Nur so können mitbietende Dienstleister diese Komponenten von Anfang an einpreisen. Tun sie das nicht, sind am Schluss alle Beteiligten von den Kosten überrascht und lassen es in guter Hoffnung (man könnte auch Naivität sagen) bleiben.

3. Politische Ränkespiele im Verteidigungsdepartement sorgen derzeit dafür, dass Tür und Tor für Cyberkriminelle sperrangelweit geöffnet werden, statt sich für die Verteidigung dagegen zu rüsten. Gespräche mit verschiedenen Expertinnen und Experten bestätigen mir, dass ich mit meiner Kolumne von letzter Woche – "Der Bundesrat desavouiert das NCSC" – leider richtig lag. Mit ihrem Entscheid, die Kompetenzen in Sachen Cybersecurity auf mehrere Schultern zu verteilen, zerstört Viola Amherd wissentlich oder unwissentlich die wertvolle Aufbauarbeit, die das Nationale Zentrum für Cybersicherheit in den letzten Jahren geleistet hatte.

Diese Punkte lassen bedauerlicherweise nur einen pessimistischen Schluss zu. Ich halte es für ausgeschlossen, dass nach Concevis kein weiterer Angriff auf einen IT-Dienstleister des Bunds mehr publik wird. Im Gegenteil ist zu befürchten, dass es Gehacktes vom Bund derzeit im Sonderangebot gibt.