"Mund abwischen, weitermachen", so geht eine Redensart, die zumeist von Sportlerinnen und Sportlern nach durchzogenen Leistungen zum Besten gegeben wird. Zwischen den Zeilen lese ich dies nun auch aus den Kommentaren zur Analyse des Xplain-Hacks heraus, weshalb der Titel dieser Kolumne Serviette lautet.
Anfang Woche liess zuerst der Eidgenössische Datenschutzbeauftragte verlauten, dass die untersuchten Bundesämter wie auch Xplain selbst seine Datenschutzempfehlungen "
akzeptieren". Was denn sonst, bitte? Wäre ja noch schöner, wenn diese einfach darüber hinwegsehen würden. Zumal die Empfehlungen "
ziemlich zahnlos" daherkommen, wie ich in dieser Kolumne vor vier Wochen schrieb. Tatsache ist: Die Vorgaben gehen kaum über Richtlinien und Standards heraus, die bereits vor dem Angriff gültig gewesen sind.
"Richtige Lehren gezogen" – wirklich?
Zwei Tage später hat Ständerat Pirmin Schwander (SZ/SVP) in seiner Rolle als Präsident der Subkommission der Geschäftsprüfungskommission des Ständerats (GPK-S)
nachgelegt. "Wir haben uns davon überzeugen lassen, dass die richtigen Lehren aus dem Vorfall gezogen wurden", sagte er.
Eine der Lehren war es, dass Xplain-Angestellte nur noch unter Aufsicht des Bundes und in Räumlichkeiten des Bundes mit produktiven Daten arbeiten dürfen. Das ist sicher richtig, aber wieso nur Xplain-Angestellte? Es gibt noch hunderte weitere IT-Dienstleister, die gültige Verträge mit der Bundesverwaltung haben. 7600, um genau zu sein. Schwander höchstselbst nannte diese Anzahl IT-Verträge, die im Nachgang an den Xplain-Hack überprüft worden seien. Bei 660 davon, also fast jedem Zehnten, seien ungenügende Bestimmungen identifiziert worden.
Fast 10% aller IT-Verträge beim Bund haben ungenügende Bestimmungen
Pirmin Schwander sagt also, dass die Bundesverwaltung bei fast 10% von allen IT-Verträgen wegen ungenügenden Bestimmungen nachverhandeln muss. Ausserdem hätten fast alle Behörden entschieden, mit Xplain weiterzuarbeiten. Diese Tatsachen haben die (GPK-S) also überzeugt, dass sinngemäss alles in Butter ist? Angesichts der Hauptaufgabe der GPK, die Geschäftsführung des Bundesrates und der Bundesverwaltung zu prüfen, ist das mindestens mutig. Ich würde aber so weit gehen zu sagen: Die GPK hat ihren Job nicht richtig gemacht, wenn sie zu einem solchen Urteil kommt.
Im Statement Schwanders findet sich eine weitere bemerkenswerte Aussage: Er empfiehlt der Bundesverwaltung, "zu prüfen, auch jüngere, noch weniger etablierte Firmen für Auftragserteilungen zu berücksichtigen". So lobenswert ich den Vorschlag finde und so sicher ich auch bin, dass das dem Wettbewerb guttun würde, so wenig glaube ich, dass das effektiv passiert. Kaum eine Behörde wird sich trauen, einen sicherheitskritischen Auftrag an ein wenig bekanntes Unternehmen zu vergeben. Das Motto bei den grossen Zuschlägen wird "Safety First" lauten und davon profitieren werden vor allem grosse, bekannte und bisherige Lieferanten des Bundes.
Vertrauen ist gut, Kontrolle ist besser
Das sehe nicht nur ich so, sondern auch Security-Experte Christian Folini, der
im neuen Schweizer Steuerungsausschuss Cybersicherheit sitzt. Folini schreibt auf
Linkedin: "Bundes-Lieferanten sind im Vorteil, weil man nichts mehr riskieren will und weil man von den etablierten Firmen annimmt, dass sie die Sicherheits-Auflagen eher erfüllen werden. Dieses Vertrauen und die damit einhergehende Annahme ist entscheidend, da die Ressourcen zur effektiven Überwachung der Lieferanten nicht vorhanden sind."
Unter anderem aus genau diesen Gründen wurde Xplain immer wieder als Lieferant ausgewählt. Und genau dieses Vertrauen war schlussendlich verheerend. Xplain-CEO Andreas Löwinger sagte
mir im Interview: "Langjährige Zusammenarbeit schafft ein Vertrauen, das gefährlich ist, damit Prozesse sauber eingehalten werden."
Mund abputzen und weitermachen reicht nach einem so gravierenden Vorfall wie Xplain nicht aus. Es muss sich Grundlegendes ändern, sonst bedauern wir bald den nächsten Vorfall.