Vogt am Freitag: Serviette

7. Juni 2024 um 14:27
  • kolumne
  • vogt am freitag
  • xplain
  • bund
  • cybersecurity
image

Die Aufarbeitung des Xplain-Falls ist eine Farce. Es scheint, als wollten die Verantwortlichen zur Tagesordnung übergehen.

"Mund abwischen, weitermachen", so geht eine Redensart, die zumeist von Sportlerinnen und Sportlern nach durchzogenen Leistungen zum Besten gegeben wird. Zwischen den Zeilen lese ich dies nun auch aus den Kommentaren zur Analyse des Xplain-Hacks heraus, weshalb der Titel dieser Kolumne Serviette lautet.
Anfang Woche liess zuerst der Eidgenössische Datenschutzbeauftragte verlauten, dass die untersuchten Bundesämter wie auch Xplain selbst seine Daten­schutz­empfehlungen "akzeptieren". Was denn sonst, bitte? Wäre ja noch schöner, wenn diese einfach darüber hinwegsehen würden. Zumal die Empfehlungen "ziemlich zahnlos" daherkommen, wie ich in dieser Kolumne vor vier Wochen schrieb. Tatsache ist: Die Vorgaben gehen kaum über Richtlinien und Standards heraus, die bereits vor dem Angriff gültig gewesen sind.

"Richtige Lehren gezogen" – wirklich?

Zwei Tage später hat Ständerat Pirmin Schwander (SZ/SVP) in seiner Rolle als Präsident der Subkommission der Geschäftsprüfungskommission des Ständerats (GPK-S) nachgelegt. "Wir haben uns davon überzeugen lassen, dass die richtigen Lehren aus dem Vorfall gezogen wurden", sagte er.
Eine der Lehren war es, dass Xplain-Angestellte nur noch unter Aufsicht des Bundes und in Räumlichkeiten des Bundes mit produktiven Daten arbeiten dürfen. Das ist sicher richtig, aber wieso nur Xplain-Angestellte? Es gibt noch hunderte weitere IT-Dienstleister, die gültige Verträge mit der Bundesverwaltung haben. 7600, um genau zu sein. Schwander höchstselbst nannte diese Anzahl IT-Verträge, die im Nachgang an den Xplain-Hack überprüft worden seien. Bei 660 davon, also fast jedem Zehnten, seien ungenügende Bestimmungen identifiziert worden.

Fast 10% aller IT-Verträge beim Bund haben ungenügende Bestimmungen

Pirmin Schwander sagt also, dass die Bundesverwaltung bei fast 10% von allen IT-Verträgen wegen ungenügenden Bestimmungen nachverhandeln muss. Ausserdem hätten fast alle Behörden entschieden, mit Xplain weiterzuarbeiten. Diese Tatsachen haben die (GPK-S) also überzeugt, dass sinngemäss alles in Butter ist? Angesichts der Hauptaufgabe der GPK, die Geschäftsführung des Bundesrates und der Bundesverwaltung zu prüfen, ist das mindestens mutig. Ich würde aber so weit gehen zu sagen: Die GPK hat ihren Job nicht richtig gemacht, wenn sie zu einem solchen Urteil kommt.
Im Statement Schwanders findet sich eine weitere bemerkenswerte Aussage: Er empfiehlt der Bundesverwaltung, "zu prüfen, auch jüngere, noch weniger etablierte Firmen für Auftragserteilungen zu berücksichtigen". So lobenswert ich den Vorschlag finde und so sicher ich auch bin, dass das dem Wettbewerb guttun würde, so wenig glaube ich, dass das effektiv passiert. Kaum eine Behörde wird sich trauen, einen sicherheitskritischen Auftrag an ein wenig bekanntes Unternehmen zu vergeben. Das Motto bei den grossen Zuschlägen wird "Safety First" lauten und davon profitieren werden vor allem grosse, bekannte und bisherige Lieferanten des Bundes.

Vertrauen ist gut, Kontrolle ist besser

Das sehe nicht nur ich so, sondern auch Security-Experte Christian Folini, der im neuen Schweizer Steuerungsausschuss Cybersicherheit sitzt. Folini schreibt auf Linkedin: "Bundes-Lieferanten sind im Vorteil, weil man nichts mehr riskieren will und weil man von den etablierten Firmen annimmt, dass sie die Sicherheits-Auflagen eher erfüllen werden. Dieses Vertrauen und die damit einhergehende Annahme ist entscheidend, da die Ressourcen zur effektiven Überwachung der Lieferanten nicht vorhanden sind."
Unter anderem aus genau diesen Gründen wurde Xplain immer wieder als Lieferant ausgewählt. Und genau dieses Vertrauen war schlussendlich verheerend. Xplain-CEO Andreas Löwinger sagte mir im Interview: "Langjährige Zusammenarbeit schafft ein Vertrauen, das gefährlich ist, damit Prozesse sauber eingehalten werden."
Mund abputzen und weitermachen reicht nach einem so gravierenden Vorfall wie Xplain nicht aus. Es muss sich Grundlegendes ändern, sonst bedauern wir bald den nächsten Vorfall.

Loading

Mehr erfahren

Mehr zum Thema

image

Aargau verlangt für Aufrüstung auf 5G nachträgliche Baugesuche

Die Forderung des Kantons geht auf ein Bundesgerichtsurteil zurück. Entsprechende Gesuche werden in den kommenden Wochen auch andernorts fällig.

publiziert am 2.7.2024
image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024
image

Vogt am Freitag: Julian, der Held

Julian Assange ist seit dieser Woche ein freier Mann. Das kam überraschend und ist hoffentlich Präjudiz für journalistische Arbeit weltweit. Denn: Es gibt einen vergleichbaren Fall in Russland.

publiziert am 28.6.2024
image

Seco holt sich Tester für Easygov.swiss

Der Auftrag zum Testing des KMU-Portals im Wert von bis zu 8,5 Millionen Franken geht an Stepwise.

publiziert am 28.6.2024