Eigentlich wollte ich ja Pause machen. Aber letzte Woche funkte mir die Verfügung der Wettbewerbs­kommission gegen Swisscom dazwischen, nun sind es die Berichte in Sachen Xplain. Ich beklage mich nicht, stossend an der ganzen Sache ist einzig, dass die Aufarbeitung des Hacks von Xplain am 1. Mai, in manchen Kantonen ein Feiertag, publiziert worden ist. Das passierte mit Absicht und ist unredlich, geht es doch einzig und allein darum, die journalistische Aufarbeitung des Falls zu erschweren. Doch dies nur am Rande.

Ein knappes Jahr nach dem Vorfall haben verschiedene Parteien die Vorfälle aufgearbeitet. Leider muss ich feststellen, dass sie zu keinen überraschenden Ergebnissen kommen. Natürlich werden Xplain und die Behörden kritisiert, aber die gewählten Worte sind gemessen am Ausmass des Cyberangriffs harmlos. Selbiges gilt für die vorgeschlagen Massnahmen, damit sich ein solcher Fall nicht mehr wiederholt.

Ein wurden ein paar Fehler gemacht. Zu wenig klare Anforderungen definiert. Keine angemessenen Massnahmen zur Datensicherheit vereinbart. Und trotz Löschpflicht hat Xplain Personendaten vertragswidrig aufbewahrt. Dies sind die wichtigsten Punkte. Die Kritik ist ein Witz, angesichts der Tatsache, dass es sich um einen der schlimmsten Cybervorfälle der jüngeren Schweizer Geschichte handelt. Auch was gefordert wird, zum Beispiel die Stärkung der Informationssicherheits- und Datenschutzkultur, sollte längst Standard sein (und ist teilweise sogar schon gesetzlich vorgeschrieben).

Als Fazit bleibt, sodass sich weder Xplain noch der Bund an bereits heute gültige Regeln und Standards gehalten haben. Und die Massnahmen, die nun etabliert werden sollen, zeigen nicht mal ansatzweise auf, wie ein zweiter Fall Xplain verhindert werden soll. Es fehlt an allen Ecken und Enden an der Benennung von Ross und Reiter. Niemand wurde persönlich zur Rechenschaft gezogen, alle bleiben in Amt und Würden. Ohne dass jemand Konsequenzen ziehen muss, in welcher Form auch immer, wird sich nichts ändern.

Was es braucht, sind insbesondere zwei Dinge: Einen Kulturwandel und mehr Ressourcen. Ersteres ist nicht in Sicht, weil niemand persönlich haftbar gemacht worden ist. Warum sollte sich etwas ändern, wenn es ohnehin keine Konsequenzen für irgendjemanden gibt? Zweiteres wird zwar von der Kanzlei Oberson Abels gefordert. Behörden und Organisationen sollen ausreichend Ressourcen zur Erfüllung ihrer Aufgaben im Bereich Informationssicherheit und Datenschutz zur Verfügung gestellt werden.

Aber auch da: Läppische 800’000 Franken mehr Budget gewährt der Bund dem Bereich für das laufende Jahr. Total stehen somit 15,8 Millionen Franken zur Verfügung. Eine Summe, die hinten und vorne nicht ausreicht. Das ist zum Beispiel deutlich weniger als die Hälfte vom Security-Budget der SBB.

Vor rund einem Jahr habe ich geschrieben, dass der Bund das Vertrauen bei der Bevölkerung verspielt, wenn die Aufarbeitung dieses Falls nicht wehtut und Verantwortliche keine entsprechenden Konsequenzen fürchten müssen. Meine damalige Befürchtung, dass diese Berichte keine wirklich brauchbaren Ergebnisse liefern, haben sich bestätigt. Vielmehr noch halte ich die Kritik für zahnlos und die geforderten Massnahmen für wirkungslos.

Mit den veröffentlichten Berichten kann der Bund das Vertrauen der Bevölkerung in sein Wirken nicht stärken. Im Gegenteil unterstreichen die Papiere die Macht- und Hilflosigkeit der Bundesverwaltung in Sachen Cybersicherheit. Der Bund bleibt diesbezüglich so schlecht aufgestellt wie zuvor, ohne Aussicht auf Verbesserung.

Ich muss es so deutlich formulieren: In dieser Form sind die vorliegenden Berichte nutzlos und das viele Papier nicht wert, das sie produziert haben. Ich wage die nicht allzu steile These: Sie werden keinerlei Wirkung zeigen, sondern höchstens für ein paar Richtlinien und Standards mehr sorgen, die dann vom Bund und seinen Dienstleistern wieder missachtet werden können.

Ohne deutliche Budgetsteigerung und einem klaren Kulturwandel hin zur Stärkung von Verantwortlichkeiten (mit entsprechenden Konsequenzen bei Fehlern) ändert sich nichts. Nach dem Cyberangriff ist vor dem Cyberangriff.