Anfang Februar erklärte Xplain, dass der IT-Dienstleister aufgrund des Cyberangriffs keine Kunden verloren habe. "Zwei Kunden, bei denen der Vertrag Ende Jahr auslief, haben nicht verlängert. Aber gekündigt hat niemand", sagte CEO
Andreas Löwinger im Interview mit inside-it.ch. Vergangene Woche bestätigte auch das Bundesamt für Zoll und Grenzsicherheit (BAZG), dass die Zusammenarbeit mit dem IT-Dienstleister weitergeführt werde. Es geht um ein Projekt für die Entwicklung des neuen mobilen Grenzkontrollsystems, für das Xplain 2021 den Zuschlag erhalten hatte. Gegenüber den Zeitungen von CH Media erklärte das BAZG, sich bei der Entscheidung vor allem auf die Einschätzung des früheren NCSC und heutigen Bundesamtes für Cybersicherheit (Bacs) zu stützen.
Ähnliches lässt jetzt auch der Kanton Aargau verlauten. Nach dem Cyberangriff auf Xplain hatte der Kanton die Zusammenarbeit mit dem IT-Dienstleister vorübergehend ausgesetzt. Nachdem die Firma ihre Security verbessert habe, würden nun bestehende Projekte weitergeführt, heisst es vom Departement Volkswirtschaft und Inneres (DVI).
Xplain hat Massnahmen umgesetzt
Bereits im Herbst 2023 habe das NCSC festgestellt, dass Xplain die notwendigen technischen und organisatorischen Anforderungen an die Cybersicherheit umgesetzt habe, schreibt das DVI. In der Folge seien auch die vertraglichen Richtlinien zur Informationssicherheit angepasst und Prozesse optimiert worden.
Nach der Überprüfung durch eine unabhängige Firma seien die von der Kantonspolizei und dem Amt für Migration und Integration (MIKA) genutzten Systeme seit Dezember wieder in Betrieb. Die Geschäftsverwaltung Justthis für die Vollzugsdienste und die Staatsanwaltschaft sei im fortgeschrittenen Projektstadium.
Datenschützerin kritisierte Herausgabe von produktiven Daten
Der Kanton Aargau arbeitet seit rund zehn Jahren mit der Firma in Interlaken zusammen. Im Januar war bekannt geworden, dass die Aargauer Kantonsverwaltung im Vorfeld des Datendiebstahls gegen die Datenschutzbestimmungen verstossen hatte. Die kantonale
Beauftragte für Öffentlichkeit und Datenschutz kritisierte, die Herausgabe von produktiven, schützenswerten Daten für Testzwecke sei "unzulässig" gewesen.
Waadt reichte eine Kündigung ein
Anders als im Kanton Aargau sieht es im Kanton Waadt aus. Dort hat der Staatsrat Anfang Februar beschlossen, den Vertrag mit Xplain mit sofortiger Wirkung zu kündigen. Für Xplain-CEO Andreas Löwinger kam dies "komplett überraschend",
wie er uns sagte. Es habe keinerlei Anzeichen dafür gegeben.
In einem Projekt namens "Odyssée" plant der Kanton Waadt, die alten IT-Anwendungen der Polizeien zu ersetzen. Der Kanton hatte sich für Xplain respektive deren Produkt Polaris entschieden.
Durch den Cyberangriff auf Xplain sei die Durchführung von Odyssée "erheblich gestört" worden, was zu Verzögerungen geführt habe, erklärte die Waadtländer Regierung. Ausserdem kritisierte sie in einer Mitteilung die Produktqualität und äusserte Zweifel an der Fähigkeit des IT-Dienstleisters, "die ursprünglich vereinbarten Leistungen zu erbringen". Man wolle mit dem aktuellen System weiterarbeiten, bis ein neuer Lieferant feststeht.