Über 8 Monate sind vergangen, seit der IT-Dienstleister Xplain
von einem Cyberangriff getroffen wurde. Dieser hat ein Ausmass angenommen wie kein vergleichbares Ereignis vorher. Grund dafür: Es sind haufenweise heikle Daten von verschiedenen Behörden gestohlen und im Darkweb veröffentlicht worden. Entsprechend viel wurde darüber geschrieben und gesprochen,
auch von inside-it.ch.
Geschwiegen hat bis jetzt nur eine Partei: Xplain selbst. Das soll sich heute ändern. Chefredaktor Reto Vogt hat Xplain-CEO Andreas Löwinger in Interlaken, am Firmensitz des IT-Dienstleisters, zum Interview getroffen.
Ich möchte mit einer persönlichen Frage beginnen: Wie geht es Ihnen heute und wie ging es Ihnen in den letzten Monaten?
Mir geht es gut. Es war eine anstrengende Zeit, aber ich hatte keine schlaflosen Nächte.
Warum haben Sie so lange geschwiegen? Und warum kommunizieren Sie ausgerechnet jetzt?
Wir haben uns aus Rücksicht auf die Untersuchungen zurückgehalten. Wir haben aber nur nach Aussen nicht kommuniziert, mit unseren Mitarbeitenden und Kunden ist das sehr wohl passiert. Nach dem Neubau der Systeme und dem erfolgten Audit möchten wir jetzt auch öffentlich kommunizieren.
Was haben Sie den Kunden zum Beispiel gesagt?
Wir waren den Kunden gegenüber sehr transparent und haben ihnen zum Beispiel gezeigt, welche Daten wir von ihnen besitzen – noch bevor diese im Darkweb publiziert worden sind und ohne zu wissen, was denn wirklich dort landen wird.
War das schwierig, nicht nach aussen zu kommunizieren? Es wurde sehr viel geschrieben.
Wir konnten allen Versuchungen widerstehen, darauf zu antworten, was geschrieben worden ist. Aber einerseits war das mit unseren Kunden so abgesprochen und andererseits passierte so viel, dass es schwierig war, den richtigen Zeitpunkt zu finden.
Was meinen Sie genau?
Es stand die Frage im Raum, ob die Cyberkriminellen auch noch unsere Software manipuliert hatten. Das haben wir mit Unterstützung unserer Kunden geprüft und können es mittlerweile ausschliessen. Schlussendlich dauerte es bis Ende November, bis die Abklärungen getroffen waren und wir nun auch in diesem Gespräch Bilanz ziehen und sagen können: Wir sind hier, uns gibt es noch und wir werden wieder bei öffentlichen Ausschreibungen mitmachen.
Das heisst, Sie sind als Firma jetzt wieder so aufgestellt, wie vor dem Angriff?
Formal, ja.
Aha.
Inhaltlich natürlich nicht. Es sind grundsätzliche Fragen zu klären, die die ganze Industrie betreffen. Zum Beispiel, welche Voraussetzungen erfüllt sein müssen, damit Lieferanten und Kunden zusammenarbeiten können, ohne dass sich so etwas wiederholen würde.
Bei dieser Diskussion ist man noch nicht besonders weit.
Nein, da stehen wir erst ganz am Anfang.
"Wie der Angriff auf Xplain geschah, ist nach wie vor unklar." So beschreiben Sie es in Ihrer heute verschickten Medienmitteilung. Wirklich?
Ja, vieles ist noch unklar. Wir wissen auch nicht sicher, ob wir ein Zufallsopfer waren oder ob vorher per gezieltem Social Engineering nach funktionierenden Zugangspunkten geforscht wurde…
Trotz allem, was passiert ist, haben Sie keinen Kunden verloren. Das ist erstaunlich.
Zwei Kunden, bei denen der Vertrag Ende Jahr auslief, haben nicht verlängert. Aber gekündigt hat niemand.
Woran lag das?
Ich bin überzeugt, dass es an unserer offenen Kommunikation gegenüber den Kunden lag. Mit vielen haben wir schon lange Geschäftsbeziehungen und wir haben mit den meisten nicht einfach Dienstleistungsverträge, die jährlich gekündigt werden können. So entstehen Kundenbindungen, bei denen keine schnellen Entscheide gefällt werden können.
Haben sich Ihre Kunden auch hinterfragt?
Ja, vor allem diejenigen, die vom Datendiebstahl betroffen waren. Auch sie fragten sich, was sie falsch gemacht haben, und sie hatten Druck, sich zu rechtfertigen.
Florian Schütz, der Direktor des Bundesamts für Cybersicherheit, sagte letztes Jahr öffentlich: "Die Daten sind nicht beim Bund abgeflossen." Das lässt sich wie eine Schuldzuweisung lesen.
Ich kann und möchte mich dazu nicht äussern, da es sich um ein laufendes Verfahren handelt. Dessen Hauptthema ist die Art und Weise, wie die Kundendaten zu uns gelangt sind – ob sie uns übergeben wurden oder wir sie widerrechtlich beschafft haben.
Diese Frage zu beantworten, scheint mir recht trivial. Der Bund hat es versäumt, Testdaten zu erstellen und hat ihnen produktive Daten geliefert.
Es ist weder uns noch unseren Kunden geholfen, wenn wir jetzt Schuldzuweisungen machen. Die Verantwortungsfrage müssen sich beide Seiten stellen und beantworten.
Dennoch ist genau diese Frage der Kern des Cyberangriffs.
Das stimmt. Und ich möchte betonen, dass wir von den meisten unserer Kunden anonymisierte Dokumente und Daten erhalten und es nicht der Normalfall ist, dass Daten unverschlüsselt per E-Mail geschickt werden.
Aber das kommt vor? Also produktive Daten per Mail?
Ja. Also, einige Behörden sprechen von operativen Daten, ich sage heikle Informationen… Aber man könnte auch sagen: klassifizierte Daten.
Unter dem Strich ist ja alles dasselbe.
Ja, und wenn diese per Mail verschickt werden, ist es ja eigentlich schon fast zu spät.
Gibt es denn keine Prozesse, die regeln, was in solchen Fällen zu tun ist?
Doch, wir haben Prozesse, die ISO-zertifiziert sind. Es gibt Anweisungen, was zu tun ist, wenn eine Datenlieferung kommt. Aber offensichtlich sind Fehler passiert, entweder bei uns, beim Kunden oder auf beiden Seiten. Darauf gibt es aktuell noch keine endgültigen Antworten. Es gibt plausible Thesen, wie Sie sie anstellen. Aber diese werde ich Ihnen nicht bestätigen.
Aber Sie mussten doch erkennen, ob Ihnen anonymisierte Daten oder echte Daten geschickt wurden?
Wir haben immer unterschieden zwischen Informationen, die deklariert anonymisiert sind und solchen, bei denen der Zustand unklar ist – mit jeweils anderen Handhabungen.
Offensichtlich hat der Prozess aber nicht gut genug funktioniert.
Das stimmt, dort sind Fehler passiert. Aber das ist genau der Untersuchungsgegenstand, deshalb muss noch offen bleiben, wo genau Fehler passiert sind.
Welche Fehler würden Sie sich darüber hinaus anlasten?
Wir besassen Daten, die wir nicht so behandelten, wie es vorgesehen war. Weil sie nicht offensichtlich als produktive Daten erkennbar waren, oder nicht richtig klassiert wurden. Auch hier: das wird von den ermittelnden Behörden geklärt.
Das ist doch der entscheidende Punkt: Ohne produktive Daten wäre das Ausmass des Cyberangriffs weitaus kleiner geworden. Nach wenigen Tagen hätte niemand mehr darüber gesprochen.
Einverstanden. Das fordert uns und unsere Kunden heraus.
Was sind Gründe dafür, dass Kunden produktive Daten liefern? Ein zu enges Vertrauensverhältnis? In einem Projekt pressiert es plötzlich und es muss schnell gehen? Oder sind es Naivität und Unvorsichtigkeit?
Ein zu grosses Vertrauensverhältnis ist bestimmt ein Grund. Langjährige Zusammenarbeit schafft ein Vertrauen, das gefährlich ist, damit Prozesse sauber eingehalten werden. Und dann gibt es Dokumente, die Informationen enthalten, denen sich die Beteiligten gar nicht bewusst sind.
Es soll auch vorkommen, dass Behörden den Sicherheitsaspekten in den Ausschreibungen zu wenig Gewicht geben und Dienstleister gar keine Möglichkeit haben, diese bei ihren Angeboten einzupreisen.
Ich hatte gehofft, dass mir mal jemand diese Frage stellt.
Es stimmt also?
Selbstverständlich.
Es gibt aber noch einen zweiten Aspekt. Denn Daten anzunehmen ist nur die eine Seite der Medaille. Sie nach einer bestimmten Frist nicht zu löschen, die andere.
Es geht um die Frage, ob wir eine Löschanweisung hatten oder nicht. Unter allen Daten, die im Darkweb landeten, gab es nach unseren Abklärungen keine, bei denen eine Löschanweisung missachtet worden wäre.
Das ist eine Ausrede. Daten sollten nach einer gewissen Frist auch gelöscht werden, auch wenn eine Löschanweisung fehlt.
Ja, das stimmt. Und das gehört zu den Verantwortlichkeitsfragen, die geklärt werden müssen.
Sie schieben Ihre Verantwortung ab.
Nein, ich will die Verantwortung nicht von mir weisen und sage auch nicht, dass nur der Datenherr verantwortlich ist.
Wie übernehmen Sie als CEO die Verantwortung?
Indem wir uns entschieden haben, uns zertifizieren zu lassen, indem wir eine Stelle geschaffen haben, in der die ganzen Prozesse angesiedelt sind und überwacht werden. Indem wir unsere Systeme regelmässig prüfen lassen und indem wir uns und ich mich selbst stärker hinterfragen.
Sie haben sich nun auditieren lassen. Zum ersten Mal?
Ja, vorher haben wir Prozesse ISO-zertifizieren lassen. Aber wir liessen uns nicht extern auditieren für andere Aspekte, so wie wir das jetzt nach dem Aufbau der Infrastruktur gemacht haben.
Was steht im Audit-Bericht?
Wie das Bundesamt für Cybersicherheit auf unsere Anfrage schreibt, hat die Firma Compass Security den Audit bei Xplain durchgeführt. Mitte November 2023 hat das damalige Nationale Zentrum für Cybersicherheit (NCSC) eine Einschätzung zum Audit-Bericht publiziert (
PDF).
"Sowohl die vom NCSC und den betroffenen Organisationseinheiten wie auch die zusätzlichen von Compass-Security geforderten Massnahmen wurden, wo dies möglich war, alle umgesetzt und durch das externe Audit bestätigt", heisst es darin etwa. Für 3 damals noch nicht umgesetzte Massnahmen, Aufbau SOC, Zugriffskontrolle Sourcecode und Segmentierung Netzwerk, wurden Umsetzungspläne vorgelegt. Diese sind laut Xplain seit Ende 2023 ebenfalls umgesetzt, aber "die Nachauditierung dieser Punkte steht noch aus".
Das NCSC komme zum Schluss, "dass die technischen und organisatorischen Anforderungen an die Cybersicherheit, welche als eine der Bedingungen für eine mögliche weitere Zusammenarbeit zwischen Bundesstellen und der Firma Xplain definiert wurden, erfüllt sind." Aber eine mögliche weitere Zusammenarbeit der Bundesstellen mit Xplain hänge noch von weiteren Faktoren ab, "die Einschätzung des NCSC beschränkt sich auf die technische und organisatorischen Aspekte der Cybersicherheit".
Warum erst jetzt?
Wir haben natürlich einen Risikokatalog geführt, die Risiken bewertet und geprüft, aber auditiert haben wir das nicht. Der Grund dafür lag verkürzt gesagt darin, dass nie vorgesehen war, dass wir produktive Daten bei uns haben.
Wie wir wissen, ist das nicht aufgegangen. Wissen Sie, was dieser Vorfall die Firma gekostet hat?
Bis Ende Jahr hat er uns so viel gekostet, wie wir als Ebit geplant hatten, plus die Summe, die die Aktionäre investiertet, haben, um die Liquidität sicherzustellen.
Von welcher Zahl reden wir?
Bevor die abgenommene Jahresrechnung vorliegt, möchte ich keine konkrete Zahl nennen, aber stellen Sie sich etwas zwischen 2 und 3 Millionen Franken vor.
Wie hoch wäre das Lösegeld gewesen, höher oder tiefer?
Das weiss ich nicht, weil wir nie in Verhandlungen getreten sind. Ich finde es nach wie vor richtig, nicht gezahlt zu haben. Weil damit ein verbrecherisches Geschäftsmodell finanziert wird.
Gibt es eine Cyberversicherung, die Ihnen hilft, den Schaden zu finanzieren?
Ja, die gibt es, und es hat geholfen, den Schaden zu minimieren. Aber den ganzen Schaden deckt sie nicht. Aber noch etwas dazu…
Ja?
Die Versicherung hat unsere Infrastruktur geprüft, bevor wir die Police abschliessen konnten. Und wenn wir komplett verantwortungslos vorgegangen wären, hätten wir den Versicherungsschutz auch verloren. Das ist nicht passiert.
Haben Sie nebst der Auditierung weitere konkrete Massnahmen getroffen, beispielsweise neue Zertifizierungen gemacht?
In punkto Zertifizierung kann man die Frage stellen, ob wir ISO-27001 machen sollen. Da gibt es viele unterschiedliche Meinungen, ob es das braucht oder nicht.
Warum?
Die Norm richtet sich nach meinem Verständnis an Firmen, bei denen vorgesehen ist, dass sie produktive Daten haben. Deshalb ist es für uns eine zwiespältige Frage.
Weil Sie keine produktiven Daten von Kunden mehr haben wollen?
Richtig.
Wie können Sie ausschliessen, dass das nicht passiert?
Ausschliessen können wir nichts. Aber sowohl wir als auch unsere Kunden sind heute viel aufmerksamer und prüfen engmaschiger.
Laut der Medienmitteilung schliessen Sie mit einer ausgeglichenen Rechnung. Bedeutet das eine schwarze Null?
Genau das. Streng genommen kann die Frage erst beantwortet werden, wenn die Revisionsstelle gesagt hat, ob wir noch Rückstellungen machen müssen oder nicht. Aber die Rechnung, die wir dem Verwaltungsrat vorgelegt hatten, ist ausgeglichen.
Wie sieht die Prognose für 2024 aus?
Wir haben zwei Arten von Geschäften: einerseits langfristige Verträge, andererseits Neukundengeschäft. Das Bestandskundengeschäft ist planbar und soll dieses Jahr leicht wachsen. Beim Neukundengeschäft planen wir vorsichtiger als bisher.
Warum?
Weil wir davon ausgehen, dass es für Kunden schwieriger wird, uns einen Zuschlag zu erteilen.
Sie haben seit dem Angriff an keiner Ausschreibung mehr mitgemacht?
Nein. Einmal verzichteten wir sogar, obwohl wir beim RFI (Vorstufe einer Ausschreibung d. Red.) mitmachten und uns gute Chancen ausrechneten.
Haben Sie sich ein Rebranding der Firma überlegt, damit das Neukundengeschäft einfacher wird?
Das hätte in unserem überschaubaren Markt nur wie alter Wein in neuen Schläuchen gewirkt.
Ja oder nein?
Ja, wir haben uns das überlegt, aber verworfen.
Aber jetzt wollen Sie wieder bei Ausschreibungen mitmachen?
Ja, wahlweise alleine oder mit einem Partner zusammen, der als Generalunternehmer fungiert.
Einfach wird das aber nicht, insbesondere bei jenen Ämtern, die vom Angriff betroffen waren.
Das stimmt. Für diese dürfte es am schwierigsten sein, zu argumentieren, weshalb sie uns berücksichtigen.
Gibt es einen Plan B, falls es mit dem Neukundengeschäft nicht klappt, wie gewünscht?
Den muss man immer haben. Als Unternehmen ist es normal, sich zu fragen, ob es einzelne Bereiche gibt, die man strategisch überprüfen muss. Aktuell haben wir die Kosten im Business Development etwas reduziert.
Das heisst, es kam zu Entlassungen?
Richtig, dort mussten wir uns von zwei Personen trennen. Aufgrund der Veränderung mussten wir leider reagieren, weil wir ihnen keine andere Stelle anbieten konnten.
In der Medienmitteilung heisst es, dass niemand gegangen ist.
Das stimmt auch, von sich aus hat niemand gekündigt. Aktuell beschäftigen wir rund 70 Mitarbeitende.
Blicken wir voraus. Eine Genfer Kanzlei soll nun klären, wie es zu diesem Datenabfluss kam. Sie haben in diesem Zusammenhang die Herausgabe von Daten verweigert. Warum?
Wir haben uns dagegen gewehrt, dass Daten, die von einer Strafverfolgungsbehörde erhoben wurden, in private Hände gelangen. Würde Korrespondenz zwischen Kunden und uns übergeben – wie können wir sicher sein, dass nicht weitere E-Mails weitergehen, die den Fall gar nicht betreffen? Weil wir darüber keine Kontrolle haben, haben wir uns dagegen gewehrt.
Sie müssen sich einfach den Vorwurf gefallen lassen, dass Sie die Untersuchung behindern, verzögern oder erschweren.
Das Bundesstrafgericht hat uns recht gegeben, in allen Punkten. Verfahrensrechtlich geht das einfach nicht, deshalb haben wir unser Beteiligtenrecht wahrgenommen. Darüber hinaus glaube ich nicht, dass dieser Untersuchung dadurch irgendeine Information entzogen wurde, die sich nicht bei den Behörden selbst ohne weiteres finden liesse.
Möchten Sie uns unterstützen?
Inside IT steht für unabhängigen und qualitativ hochwertigen Journalismus. Unsere Inhalte sind kostenlos verfügbar und bleiben dies auch weiterhin. Umso mehr würden wir uns freuen, wenn Sie unsere Arbeit und unsere Recherchen mit einem Betrag Ihrer Wahl unterstützen. Vielen Dank!
Update 7 Uhr: Box mit Foto hinzugefügt, da andere Medien sein Bild ebenfalls veröffentlichten. Ursprünglich war geplant, kein Foto zu publizieren.