Kriminelle haben heikle Daten des Bundes veröffentlicht. Der Fall schockiert, weil er den nachlässigen Umgang der Bundesverwaltung mit Informationen zeigt. Doch die eigentliche Gefahr ist noch viel grösser.
In den Büros der Bundesverwaltung in Bern herrscht seit einigen Wochen ein grosser Aktivismus. Das Thema IT-Sicherheit steht plötzlich bis hinauf in den Bundesrat oben auf der Prioritätenliste. Grund dafür ist ein unerfreulicher Vorfall: Cyberkriminelle haben eine IT-Zulieferfirma der Bundesverwaltung angegriffen – und dabei auch heikle Daten des Bundes entwendet, die gar nicht auf den Servern der Firma hätten liegen dürfen.
Das allein ist bereits eine Peinlichkeit. Doch die Dimension des Falls ist weit grösser. Er zeigt, dass der Bund die Sicherheit bei seinen IT-Lieferanten massiv vernachlässigt. Das ist eine Gefahr für die nationale Sicherheit des Landes.
Der Fall begann im Mai, als die kriminelle Ransomware-Gruppe Play die Softwarefirma Xplain aus Interlaken ins Visier nahm. Die Angreifer konnten mehrere hundert Gigabyte an Daten entwenden und stellten diese – weil die Firma kein Lösegeld bezahlte – ins Darknet. Diese Dokumente enthalten auch heikle Informationen der Bundesverwaltung, etwa Sicherheitsdispositive oder geschützte Personendaten.
Seither rätselt die Öffentlichkeit darüber, wie die vertraulichen Daten überhaupt an Xplain gelangen konnten. Die Firma entwickelt Software für den Bund und hatte offenbar zu Testzwecken oder im Rahmen von Fehlermeldungen echte Daten erhalten, so die starke Vermutung. Die Verantwortlichen beim Bund schweigen.
Der Bund stellt hilflos Fragen an die IT-Firmen
Inzwischen sind die Ämter bei ihren Zulieferfirmen und IT-Dienstleistern vorstellig geworden. Ihre grosse Frage: Wie steht es um die Cybersicherheit?
Das Bundesamt für Informatik und Telekommunikation (BIT) hat Mitte Juli seine externen Partnerfirmen darauf hingewiesen, dass minimale Schutzmassnahmen wie Zwei-Faktor-Authentifizierung einzuhalten seien. Inzwischen hat, wie «Inside IT» weiter berichtet, das Bundesamt für Polizei (Fedpol), das vom Xplain-Angriff stark betroffen ist, nachgezogen: Mittels eines detaillierten Fragenkatalogs will das Fedpol bei den wichtigen Dienstleistern «eine Bestätigung zum IT-Grundschutz einholen».
Dieser Aktivismus wirkt hilflos – und ist entlarvend zugleich. Minimale Sicherheitsbestimmungen müssen eigentlich bei jedem Softwareprojekt oder jedem Informatikauftrag standardmässig dazugehören. Der Schutz der IT-Systeme ist elementar. Dass die Ämter dieses grundlegende Thema erst jetzt ansprechen, lässt nur einen Schluss zu: Sie haben es bisher jahrelang nicht getan.
Diese Erkenntnis ist erschreckend. Aber neu ist sie nicht. Dass die IT-Sicherheit in der Bundesverwaltung teilweise sträflich vernachlässigt wird, haben bereits frühere Recherchen der NZZ gezeigt. 2019 erfüllten in der Bundesverwaltung und im Parlament nur knapp drei Viertel aller IT-Objekte – zum Beispiel Anwendungen oder Netzwerke – alle Schutzvorschriften vollständig. Beim Innendepartement waren es gerade einmal 37 Prozent.
Die Ausgangslage bei externen Zulieferfirmen ist noch komplizierter. Die IT-Sicherheit steht nicht unter der unmittelbaren Kontrolle der Auftraggeber aus der Verwaltung. Wer beim Bund nachfragt, erhält viele beruhigend klingende Antworten: Das Sicherheitsrisiko werde bei jedem Projekt beurteilt. Es gebe vertragliche Vereinbarungen.
Aber gleichzeitig ist auch klar: Das Nationale Zentrum für Cybersicherheit (NCSC) hat kaum Befugnisse, um Vorschriften zu erlassen oder diese zu kontrollieren. Noch vor knapp einem Jahr kritisierte die Eidgenössische Finanzkontrolle, dass die Ämter Sicherheitsvorfälle zu spät melden würden und dass das NCSC keine Übersicht über die externen Dienstleister habe.
Es erstaunt deshalb nicht, wenn das NCSC auf Anfrage schreibt, die Umsetzung der nötigen Sicherheitsmassnahmen in den Projekten beruhe unter anderem auf «dem gegenseitigen Vertrauen». Vertrauen reicht jedoch nicht, wenn es um die IT-Sicherheit geht.
Das hat sich bei der Firma Xplain gezeigt. Das Fedpol arbeitet schon jahrelang mit dem Unternehmen zusammen. Trotzdem haben die Sicherheitsvorkehrungen der Firma, so die vernichtende Einschätzung der Experten des NCSC nach dem Angriff, nicht einmal minimalen Standards entsprochen.
Im Fall Xplain geht es um die Sicherheit der Schweiz
Wie wichtig die Sicherheitsvorkehrungen der IT-Zulieferer sind, haben in der Verwaltung offensichtlich noch nicht alle verstanden. Im Fall Xplain dreht sich die öffentliche Diskussion bislang vor allem um die Fragen, wie die heiklen Daten des Bundes zur Softwarefirma gelangen konnten und wer dafür verantwortlich ist.
Doch es geht um mehr als um einzelne Datensätze. Es geht im Fall Xplain um die Sicherheit des IT-Netzwerks des Bundes – und damit auch um die nationale Sicherheit der Schweiz.
Warum die Gefahr gross ist, lässt sich anhand eines naheliegenden Szenarios zeigen, das in Fachkreisen aufgebracht wurde: Spielen wir dafür den Fall Xplain mit anderen Akteuren durch.
Anstatt einer kriminellen Ransomware-Gruppe, welche von ihren Opfern Geld erpressen möchte, könnte eine staatliche Einheit für Cyberspionage die Firma Xplain ins Visier genommen haben. Unbemerkt hätten sich die Angreifer in die IT-Systeme des Unternehmens einschleichen können.
Die ausländischen Spione hätten sich nicht für alte Einträge einer Hooligan-Datenbank oder für das Sicherheitsdispositiv eines bundesrätlichen Empfangs vor mehreren Jahren interessiert. Sie hätten Grösseres im Sinn gehabt: die Firma Xplain als Sprungbrett zu nutzen, um sich Zugang zu den IT-Systemen des Bundes zu verschaffen.
Zum Beispiel hätten die Angreifer Log-in-Informationen verwenden können, welche auf den Servern von Xplain lagen, um auf das Netzwerk des Bundes zu gelangen. Oder sie hätten eine Hintertüre in eine Software einbauen können, welche Xplain für die Bundesverwaltung programmiert. Mit dem nächsten Update wären die Angreifer unbemerkt in das IT-Netzwerk des Bundes gelangt.
Dieses Szenario klingt unrealistisch? Das ist es leider nicht. Solche sogenannte Supply-Chain-Attacken, also Angriffe auf die Lieferkette, kommen immer wieder vor – und tendenziell immer häufiger.
Der bekannteste Fall ist der Angriff auf Solarwinds. Diese amerikanische Firma stellt eine Software zur Verwaltung von IT-Netzwerken her, welche bei vielen grossen Organisationen zum Einsatz kommt, zum Beispiel bei amerikanischen Behörden oder bei der Schweizer Bundesverwaltung.
Die Spionagegruppe APT29, die zum russischen Auslandsgeheimdienst SWR gehört, drang 2019 in die Systeme von Solarwinds ein und versteckte im Code der Software eine Hintertüre. Mit dem regulären Update der Applikation wurde dieser bösartige Zugang an rund 18 000 Kunden verteilt.
Die Spione konnten so gut geschützte Daten erbeuten, etwa des Verteidigungs- oder des Aussenministeriums der USA sowie von Tech-Firmen wie Microsoft oder Cisco und dem Chiphersteller Nvidia. Die Schweizer Bundesverwaltung war nicht betroffen, weil sie das entsprechende Update nicht installiert hatte.
Das NCSC kennt diesen und andere Fälle. Entsprechend haben Experten nach dem Angriff auf Xplain den Quellcode auf Manipulation hin überprüft und den Netzwerkverkehr der Bundesverwaltung vertieft analysiert – um einen allfälligen Angreifer zu erkennen.
Nächster Angriff könnte weniger harmlos sein
Die Gefahr durch Supply-Chain-Attacken ist real. Die IT-Systeme sind heute durch Schnittstellen oder Software-Updates stark vernetzt. Die Bundesverwaltung kann und darf nicht mehr ausschliesslich innerhalb ihres eigenen Netzwerks denken. Lieferfirmen oder andere Behörden, welche Daten mit dem Bund austauschen, müssen Teil der eigenen Gefahrenabwehr sein.
Die Firma Xplain hat zahlreiche Kunden aus dem Sicherheitsbereich: etwa das Fedpol, den Nachrichtendienst des Bundes, das Bundesamt für Rüstung oder die Kantonspolizei Zürich. Bei diesen Behörden gelten üblicherweise hohe Sicherheitsstandards. Ausser offensichtlich im IT-Bereich.
Wenn die Sicherheitsbehörden beim Schutz der digitalen Infrastruktur nachlässig sind, lässt das nur einen Schluss zu: Der Bund, aber auch die Kantone haben ein schwerwiegendes Problem mit der Sicherheit ihrer IT-Lieferkette. Der sorglose Umgang mit IT-Projekten wird zu einem Sicherheitsrisiko für die ganze Schweiz.
Die Behörden müssen aus dem Fall Xplain ihre Lehren ziehen: Die Sicherheitsvorkehrungen bei den externen Zulieferern und IT-Dienstleistern müssen massiv verstärkt werden. Ein paar kritische Briefe reichen nicht.
Denn es ist nur eine Frage der Zeit bis zum nächsten Cyberangriff. Und dieser kann weit verheerender ausfallen als bei Xplain. Die Spione könnten Projektdaten der Integration des Kampfjets F-35 kopieren, vertrauliche Informationen aus dem Uno-Sicherheitsrat einsehen oder private E-Mails von Bundesräten entwenden, um sie dann im Rahmen einer Schmutzkampagne zu veröffentlichen. Szenarien, welche national oder international Folgen haben könnten.
Der Fall Xplain sollte der Schweiz eine Warnung sein.
