Der Bund kommunizierte heute eine Reihe von Massnahmen, die künftige Datenabflüsse wie im Fall Xplain verhindern sollen. Dazu gehören beispielsweise:

• Die Stärkung des Sicherheitsmanagements, unter anderem durch die Umsetzung zusätzlicher Sicherheitsvorgaben zur Zusammenarbeit mit Lieferanten, sowie die Stärkung der Kontroll- und Auditfähigkeit.
• Die Erarbeitung eines Ausbildungskonzepts für die Schulung und Sensibilisierung der Mitarbeitenden in Bezug auf bestehende Sicherheitsvorgaben.
• Das Erstellen einer Übersicht über die vorhandenen Kommunikationsmittel der Bundesbehörden.

Ausserdem hat die externe Firma Infoguard den IT-Grundschutz der Bundesverwaltung untersucht und «ein gewisses Optimierungspotenzial» identifiziert. Nun will der Bund die Empfehlungen analysieren und die nötigen Anpassungen vornehmen. Des Weiteren soll ein neues Konzept zur Kontroll- und Auditfähigkeit bei Lieferanten umgesetzt und neue standardisierte Vertragsklauseln durchgesetzt werden. Für Letzteres braucht es aber noch eine Konsultation bei Branchenverbänden.

Alle die genannten Massnahmen sollen bis Ende 2025 abgeschlossen sein – über zweieinhalb Jahre nach dem Cyberangriff auf Xplain, der im Mai 2023 passierte. Das ist viel zu lange, vor allem weil die Massnahmen alles andere als etwas Besonderes sind, sondern mehr oder weniger aus dem Standard-Cybersecurity-Handbuch abgeschrieben worden sind.

Immerhin: «Die Prüfung der Verträge zwischen dem Bund und dessen Lieferanten auf das Vorhandensein der notwendigen Klauseln im Bereich des Cyberschutzes ist abgeschlossen.» Und wo nötig, seien entsprechende Anpassungen vorgenommen werden. Und es folge «demnächst» eine öffentliche Ausschreibung zur Beschaffung von Auditleistungen für alle Verwaltungseinheiten. Das ist gut, aber auch das kommt zu spät.

Problematischer Xplain-Verkauf ins Ausland

Für problematisch halte ich nicht zuletzt den sorglosen bis lapidaren Umgang des Bundes mit dem Verkauf von Xplain ins Ausland. Ich hatte im Oktober 2024 in meiner Kolumne 4 Szenarien skizziert, die passieren könnten. Drei davon sind für die Cybersicherheit der Schweiz nicht besonders vorteilhaft. Ich sehe zum Beispiel folgende Probleme:

• Xplain bleibt als Brand bestehen, doch das Geschäft schwindet und die Softwareprodukte des Unternehmens werden nicht mehr mit der nötigen Sorgfalt weiterentwickelt.
• Der bisherige Brand verschwindet. Xplain wird mit einer anderen Tochtergesellschaft des Konzerns zusammengelegt, zum Beispiel mit Altamount Software. Dieses frisch gegründete Unternehmen hat eine ähnliche Ausrichtung wie Xplain, womit die Schweizer Software-Firma zu einer deutschen würde und somit für Schweizer Behörden als Lieferant nicht mehr in Frage kommen sollte.
• Xplain wird aufgeteilt, die Assets des Unternehmens werden einzeln an verschiedene Unternehmen oder weitere Investoren verkauft.

Der Bund hingegen schreibt: Die Übernahme von Xplain durch die deutsche Chapters Group ziehe keine besonderen Risiken für die Informationssicherheit des Bundes nach sich. Der Bund kommuniziert, dass keine Risiken bestehen – liefert aber keine Erklärung, warum nicht. Sind alle Eventualitäten bedacht worden, oder wird hier eine heikle Übernahme schöngeredet? Mir stellen sich noch weitere Fragen.

• Welche Prüfkriterien wurden angesetzt, um zu diesem Ergebnis zu kommen?
• Welche Szenarien wurden durchgespielt – und welche nicht?
• Was macht die Prüfer sicher, dass es keine Risiken gibt, weder heute noch in Zukunft?
• Gibt es spezifische Sicherheitsauflagen unter der neuen Eigentümerschaft?
• Gibt es neue Abhängigkeiten?

und

• Gilt das alles auch im Falle einer AfD-Kanzlerschaft?

Heute mag die neue Xplain-Muttergesellschaft keine direkten Risiken bergen – doch was, wenn sich die politische Landschaft in Deutschland verändert? Gerade was derzeit in den USA passiert, zeigt: Sicherheitsstrategien dürfen nicht nur für den Moment geschrieben werden, sondern müssen zukünftige Risiken einkalkulieren.