Xplain – ein Beschaffungs­skandal

Die gehackte Firma Xplain war «too big to fail»: wie das Unternehmen aus Interlaken zum unverzichtbaren Monopolisten für die Behörden wurde. Und wie diese es versäumten, Auflagen zur IT-Sicherheit zu machen.

Von Adrienne Fichter (Text) und Adrià Fruitós (Illustration), 25.09.2023

Vorgelesen von Jonas Gygax
0:00 / 26:42

Journalismus, der Ihnen hilft, Entscheidungen zu treffen. Und der das Gemeinsame stärkt: die Freiheit, den Rechtsstaat, die Demokratie. Lernen Sie uns jetzt 21 Tage lang kostenlos und unverbindlich kennen:

Die Telefon­drähte laufen heiss, Bundes­angestellte arbeiten bis zur Erschöpfung, Sitzungen werden hastig einberufen, Medien­anfragen geblockt, auf das Öffentlichkeits­gesetz gestützte Einsichts­gesuche auf den Sankt-Nimmerleins-Tag aufgeschoben. Seit Wochen herrscht hektisches Treiben

  • bei der Beschaffungs­stelle des Bundes, dem Bundesamt für Bauten und Logistik;

  • beim Bundesamt für Polizei, beim Fedpol;

  • beim Bundesamt für Zoll und Grenz­sicherheit (BAZG);

  • beim Bundesamt für Rüstung, bei der Armasuisse;

  • beim Bundesamt für Justiz;

  • beim Nachrichten­dienst des Bundes;

  • beim Eidgenössischen Datenschutz- und Öffentlichkeits­beauftragten

  • und nicht zuletzt beim Nationalen Zentrum für Cyber­sicherheit.

Der Grund: der massive Daten­abfluss beim IT-Dienst­leister Xplain nach der Cyber­attacke durch die Hacker­gruppe Play. Die Firma aus Interlaken wurde mutmasslich im Mai 2023 gehackt, in der Folge sind sensitive Informationen wie Sicherheits­dispositive oder andere heikle Daten im Darknet gelandet: etwa Personen­daten von überwachten Schwer­verbrechern oder Terroristen, aber auch solche von beliebigen Schweizern und Migrantinnen.

Was diesen Informationen gemeinsam ist: Sie hätten niemals in dieser Form bei einer privaten Firma landen dürfen, die eigentlich nur für den Betrieb der Software verantwortlich wäre.

Der Datenschutz­beauftragte leitete deshalb eine Administrativ­untersuchung gegen die Bundes­ämter BAZG und Fedpol ein, der Bundesrat lässt die geschäftlichen Beziehungen zu Xplain genauer untersuchen. Der Verdacht: massive Vernachlässigung der Aufsichts­pflicht bei der Daten­sicherheit. Ausserdem hat das Fedpol Strafanzeige gegen unbekannt eingereicht, die Bundes­anwaltschaft ermittelt.

Es handelt sich wohl um den gravierendsten Cyber­angriff in der Geschichte der Bundes­verwaltung. Und das ganze Ausmass des Schadens ist noch nicht absehbar. Klar ist allerdings, dass diese Affäre weit über den Bund hinaus­reicht. Auch etliche Kantone haben Xplain-Produkte bezogen, wie Recherchen der Republik ergeben haben.

Während nun alle betroffenen Behörden mit Hoch­druck daran arbeiten, sich ein vollständiges Bild von ihren verzweigten Verstrickungen mit dem Unternehmen aus dem Berner Oberland zu machen, zeigen unsere eigenen Nachforschungen:

  1. Bei Beschaffungen wandten die Bundes­verwaltung und die Kantone zahlreiche Tricks an, die auf eine systematische Bevorzugung des Berner Unternehmens hindeuten. Durch die vielen Zuschläge hat sich die Firma Xplain in eine Position gebracht, von der sie kaum mehr verdrängt werden konnte: Sie wurde too big to fail.

  2. Aus unserer Analyse von Ausschreibungs­unterlagen und Verträgen geht hervor: Besonders bei den Beschaffungen von 2008 bis 2018 machten die Behörden kaum Vorgaben bezüglich der IT-Sicherheit von Xplain-Produkten.

  3. Einige Ämter wie das Fedpol und auch gewisse Kantone versuchen, die Recherchen der Republik aktiv zu behindern, und verweigern sogar Auskünfte zu Informationen, die früher öffentlich verfügbar waren. Damit geben sie indirekt einen Hinweis darauf, welche Frage bei den offiziellen Unter­suchungen im Zentrum stehen dürfte: ob sie die Sicherheit der Xplain-Produkte überhaupt je getestet haben.

  4. Der Bund hält an der Zusammen­arbeit mit Xplain fest, da sonst wichtige Gesetze nicht angewendet werden könnten. Ob aber eine neue iPhone-App zur Grenz­kontrolle zum Einsatz kommen wird, ist ungewiss. Damit steht ein wichtiges Schengen-Projekt auf der Kippe, zu dem sich die Schweiz verpflichtet hat.

1. Die Beschaffungstricks: Irreführende Deklarationen, geheime Beschaffungen und zugeschnittene Ausschreibungen

Freihändige Vergaben – im Jargon auch «Freihänder» genannt – sind ein Dauer­brenner in der politischen und medialen Debatte. Sie bedeuten: Die Bundes­verwaltung oder ein Kanton vergeben einen Auftrag ohne öffentliche Ausschreibung an eine Firma. Zulässig ist dies, wenn der Wert des Auftrags unterhalb von 150’000 Franken liegt.

In bestimmten Ausnahme­fällen, welche im Beschaffungs­recht geregelt sind, können Aufträge unabhängig vom Schwellen­wert freihändig vergeben werden: etwa wenn die Umstellung auf ein neues System «substanzielle Mehr­kosten» mit sich brächte oder wenn es schlicht «keine angemessene Alternative» gibt.

Doch der öffentliche Sektor macht auffallend oft von diesem Mittel Gebrauch: Über die Hälfte der Zuschläge im IT-Bereich würden von den Behörden ohne offene Ausschreibung und somit ohne Wettbewerb «unter der Hand» vergeben, sagt Matthias Stürmer, Leiter des Instituts Public Sector Transformation an der Berner Fachhochschule. «Diese systematische Umgehung des Markts widerspricht zentralen Grund­prinzipien des öffentlichen Beschaffungs­wesens, verhindert Innovation und führt letztlich zur Verschwendung von Steuer­geldern.»

Die Verträge mit der Firma Xplain sind hier keine Ausnahme: Gemäss den Beschaffungs­plattformen Simap.ch und Intelliprocure hat die Firma im Zeitraum von 2008 bis 2023 elf von zwanzig Aufträgen freihändig – also direkt und ohne Ausschreibung – erhalten.

Doch die Probleme reichen tiefer: Wegen zahlreicher Beschaffungs­tricks war das tatsächliche Auftrags­volumen nämlich noch grösser als auf den Plattformen ausgewiesen. Und auch die offenen Ausschreibungen erweisen sich zum Teil als Farce. Das zeigt sich an folgenden Beispielen:

Das Geschäfts­verwaltungs­system «Orma», für welches das Fedpol Xplain den Zuschlag gegeben hatte, taucht auf Simap.ch erstmals im Jahr 2011 auf. Der Titel des Geschäfts lautet: «Anpassungen (…) und Upgrade von Lizenzen». Die Einkäuferin Fedpol verweigert der Republik die Auskunft, wann die Software ursprünglich beschafft worden ist. Aus internen Dokumenten geht jedoch hervor, dass Xplain im Jahr 2009 ein Produkt für das Projekt «Orma» offerierte. Doch von der ursprünglichen Anschaffung findet sich auf Simap.ch keinerlei Spur.

Dasselbe Muster zeigt sich auch bei einem anderen Geschäft: Gemäss öffentlichen Angaben hat das Zollamt die «Weiter­entwicklung» des Abruf­systems «eneXs (mobile Version)» im Jahr 2013 freihändig bei Xplain eingekauft. Das Grenzwacht­korps nutzt «eneXs» für den Abgleich von Identitäts­dokumenten mit unterschiedlichen Daten­banken. Mit dem Auftrags­titel suggeriert die Bundes­beschaffungs­behörde, dass die Technologie Anpassungen benötige, die nur Xplain anbieten könne.

Doch wann hatte das Zollamt die Applikation ursprünglich beschafft? Und gab es dazu ein offenes Verfahren?

Die Erst­beschaffung der mobilen Version habe im Jahr 2013 statt­gefunden, lautet die Antwort des BAZG. Das bedeutet: Unter falschem und irreführendem Titel («Weiter­entwicklung und Wartung der Fach­applikation eneXs mobile») wurde hier ein Folge­auftrag vorgegaukelt, der eigentlich eine Erst­beschaffung war. Hinzu kommt: Das BAZG hat nach eigenen Angaben bereits das ursprüngliche System «eneXs» 2009 von Xplain entwickeln lassen. Doch auch das wird auf der Beschaffungs­plattform Simap.ch nicht transparent gemacht.

Wie sich Xplain lukrative Folge­aufträge und langfristige Partnerschaften sichern konnte, zeigt sich auch im Kanton Aargau, der neben dem Fedpol und dem Bundesamt für Justiz zu den treusten Kunden von Xplain gehört. 2013 suchte der Kanton ein neues «Rapportierungs­system» und schrieb den Auftrag dafür öffentlich aus. Zwei Firmen offerierten, darunter Xplain. Die Berner Firma gewann den Grund­auftrag im Wert von 750’000 Franken. Drei Jahre später, 2016, erhielt sie noch einmal 900’000 Franken bewilligt: für die Implementierung der Zusatz­module «Kriminal­polizeiliches Informations­system» und «Asservaten­verwaltung».

Die Auftrags­summe des Freihänders überstieg also diejenige des Grund­auftrags, für den Xplain im Wettbewerb den Zuschlag erhalten hatte. Die freihändige Vergabe eines Auftrags sei gemäss der Gesetz­gebung im Kanton Aargau zulässig, wenn dieser «in der Ausschreibung des Grund­auftrages als geplante Erweiterung (…) mit freihändiger Vergabe an den Gewinner (…) angekündigt worden ist», steht in der Begründung auf Simap.ch. Der künftige, teurere Freihänder war also bereits miteinkalkuliert.

Das vierte und krasseste Beispiel, wie Xplain bei einer Ausschreibung bevorzugt wurde: Für einen Auftrag von 2021 mit dem Titel «Mobiles Grenz­kontroll­system» im Wert von 8,4 Millionen Franken gab es zwar eine offene Ausschreibung. Ein Angebot eingereicht hat allerdings nur eine Firma: Xplain.

Wer das Pflichten­heft liest, stellt fest: Xplain löste sich dabei selbst ab. Denn das zu ersetzende Vorgänger­produkt zur smarten Grenz­kontrolle stammte ebenfalls von der Berner Firma.

Wurde dabei die Ausschreibung auf Xplain zugeschnitten? Der Schluss liegt nahe, denn für Newcomer-Firmen galten fast unüberwindbare Hürden. So verlangte die Beschaffungs­behörde bei den offerierenden Firmen folgende «Referenz»: ein Produkt, bei dem eine Anbindung der Datenbanken an bestehende Fahndungs- und Informations­systeme des Bundes bestehe. Ausserdem müsse es an das «Single-Sign-on-Portal des EJPD» angeschlossen sein, die Sicherheits­infrastruktur des Departements. Und zuletzt: Bieter­firmen müssten eine iPhone-App vorweisen können, welche die Grenz­kontrolle bei Abfragen zu aktuellen Fahndungen unterstützen könne.

All das konnte praktisch nur Xplain anbieten – mit ihrer eigenen Technologie, die nun abgelöst werden sollte: «eneXs mobile».

Auf Anfrage widerspricht die Bundes­beschaffungs­behörde: Es gebe «mindestens zwei» nationale Anbieter, die diese Kriterien erfüllten. Fakt ist: Offeriert hat am Ende nur Xplain.

Der Grundstein für die enge Verflechtung zwischen dem Bund und der Berner IT-Firma wurde bereits im Jahr 2008 gelegt. Damals beschaffte das Verteidigungs­departement VBS für das Projekt «Jorasys» ein Rapport­system für die Militär­polizei. Auch diese Anwendung wurde nun von der kriminellen Play-Gruppe gehackt. Unter anderem wurden die Namen der Mitglieder einer militärischen Sonder­einheit entlarvt, die gezielt gegen ausländische Spione vorgeht, wie SRF berichtete.

In der Ausschreibung verlangte Armasuisse damals, dass die offene technische Schnitt­stelle zu allen polizeilichen Systemen wie etwa zu «automatisierten Fahndungs­systemen» (also dem nationalen Fahndungs­system «Ripol») oder dem «Informations­system der Bundes­kriminalpolizei» («Janus») offeriert werde. Eine Anforderung, die Xplain bei ihren Offerten – die der Republik vorliegen – immer wieder zum eigenen Vorteil ausspielen konnte.

Insgesamt führte die Firma Xplain für den Bund, für Kantone und für die SBB bis heute gemäss Simap.ch Aufträge im Wert von mindestens 50 Millionen Franken aus.

Mindestens. Weil: Etliche weitere Aufträge an die Firma sind geheim erfolgt. Etwa für «Quattro P», ein ebenfalls gehacktes Informations­system, mit welchem Grenz­kontroll­organe dem Nachrichten­dienst Daten übermitteln. Die Begründung des VBS für die freihändige Vergabe lautet so: «Vergaben, welche sich beispielsweise auf den Ausnahme­artikel zur Aufrecht­erhaltung der inneren und äusseren Sicherheit sowie der öffentlichen Ordnung beziehen, müssen nicht auf Simap.ch veröffentlicht werden.»

Die Kantone Zürich und Aargau sind ebenfalls emsige Einkäufer von Xplain-Produkten. Die Kantons­polizei Zürich nutzt das «eneXs»-Abruf­system. Ein entsprechender Auftrag ist auf Simap.ch allerdings nicht auffindbar. Der Auftrag sei unterhalb der «Submissions­limite», sagt der Sprecher der Kantons­polizei Zürich. Gemeint ist: unterhalb der Beitrags­höhe, die eine öffentliche Ausschreibung und einen offenen Wettbewerb verlangen würde. Ebenfalls nicht ausgeschrieben wurden gemäss der Republik vorliegenden Dokumenten Aufträge der Kantons­polizeien Bern, Basel-Stadt und Nidwalden, der Stadt­polizei Winterthur, des Universitäts­spitals Basel und zahlreicher Gemeinden.

Beschaffungs­experte Matthias Stürmer sieht in all den Vergabe­tricks ein grundlegendes Problem: «Bei IT-Beschaffungen werden Systeme, die von einer Firma entwickelt wurden, leider meistens auch nur von dieser Firma mittels Freihänder über viele Jahre weiter­entwickelt.» Wenn der öffentliche Sektor mehr auf frei verfügbare Software setzen würde, dann könnten auch andere Hersteller an diesen Systemen später weiter­arbeiten, sagt er. Stürmer setzt seine Hoffnung auf das neue Embag-Gesetz, das 2024 in Kraft tritt und von der Bundes­verwaltung verlangt, ihre Software unter Open-Source-Lizenzen zu veröffentlichen.

2. Lasche Vorgaben zur IT-Sicherheit

Es scheint so, dass sich die Bundes­verwaltung erst nach dem Hack die Website eines ihrer wichtigsten IT-Dienstleister genauer angeschaut hat. Denn die Firma Xplain hatte in ihrer öffentlichen Webpräsenz nicht nur ihre Software­produkte beworben, sondern auch deren Kunden preis­gegeben.

Unter «Referenzen» wurden Cyber­kriminellen potenziell heikle Informationen auf dem Servier­teller präsentiert: etwa welche Produkte der Kanton Aargau oder das Bundesamt für Justiz für die Straf­verfolgung und damit für die Dokumentationen von Täterinnen nutzen. Auch wenn unklar ist, ob die Hacker­bande Play wirklich erkannte, auf welche Schatz­truhe sie mit den ungesicherten Servern der Firma Xplain gestossen war (schliesslich gaben die Hacker im Darknet zuerst an, Datensätze von einem kommerziellen Dienstleister zu veröffentlichen, und verkauften diese wohl eher unbewusst unter Wert): Beim Fedpol und beim Zentrum für Cyber­sicherheit sorgte die Entdeckung der Xplain-Referenzen für Entsetzen, wie Insider berichten.

Xplain hat die Rubrik in der Folge entfernt, über Webarchive ist sie aber noch auffindbar. Wie eine Republik-Recherche vom Juli zeigt, verfügt Xplain zudem nicht über die nötigen Zertifizierungen für IT-Sicherheit.

Es erscheint fraglich, ob diese Zertifikate vonseiten des Bundes überhaupt je eingefordert worden sind. Und wie der Reality-Check bei der IT-Sicherheit allgemein ausgesehen hat. Denn Fakt ist: Die Cyber­attacke geschah unter anderem wegen Versäumnissen aus dem Zeitraum 2008 bis 2018.

Schon der erste offizielle Bundes­auftrag aus dem Jahr 2008, als Xplain die Technologie für das Rapport­system für die Militär­polizei offerierte, wirft Fragen auf. Aus den Ausschreibungs­unterlagen geht hervor, dass der Auftrag­nehmer «Weisungen zur Informatik­sicherheit des Bundes» zu akzeptieren habe. Ausserdem wird von Armasuisse auf weitere Regularien wie die «Network Security Policy» oder eine «Informatik­schutz­verordnung» verwiesen (diese sind nicht mehr öffentlich verfügbar und können nur im Bundes­archiv eingesehen werden).

Doch ob und wie die Akzeptanz dieser Vorschriften schriftlich bezeugt und periodisch überprüft wurden, darüber verweigert das VBS mit Verweis auf die Untersuchungen die Auskunft (mehr dazu unter Punkt 3).

Ein weiteres Beispiel: 2015 kaufte das Bundesamt für Justiz bei Xplain ein Geschäfts­verwaltungs­system mit dem Arbeits­titel «Pagirus». Die Republik fragte bei der Beschaffungs­behörde nach, welche Richtlinien für Datenschutz und Daten­sicherheit damals für Xplain gegolten hätten. Das Bundesamt für Bauten und Logistik verwies auf die Ausschreibungs­unterlagen, die es aufgrund eines Gesuchs der Republik via Öffentlichkeits­gesetz herausgegeben hatte. Doch darin sind keine Regularien aufgeführt. Von Bundes­seite wird lediglich die Mitwirkung an Dokumenten zu «Informations­sicherheit und Datenschutz» gefordert. Und noch ein Beispiel für fehlende Verbindlichkeit: Gemäss «Le Temps» enthielt der Fedpol-Vertrag von 2011 für die Beschaffung von «Orma» keine Klausel über die notwendige Löschung von echten Daten.

Ab 2018 scheint der Wind gedreht zu haben: Der Bund forderte in den Verträgen verbindliche Checks zur regelmässigen Prüfung von Sicherheits­lücken. Die fortschrittlichsten Bestimmungen gibt es beim Xplain-Projekt «Mobiles Grenz­kontroll­system». Ausgerechnet bei der Applikation, die noch gar nicht in Betrieb genommen wurde.

3. Wie der Bund Informationen verweigert – und damit seine mangelnde Aufsichts­tätigkeit verrät

Die Nervosität in Bundes­bern ist spürbar. Jeder Medienbeitrag über die Darknet-Files und Xplain sorgt für noch mehr politischen Druck. Das VBS beispielsweise entschied sich, in die Offensive zu gehen, und kommunizierte in eigener Sache, um einer SRF-Publikation zum Hack der Daten von Militär­polizistinnen zuvor­zukommen. Dasselbe passierte auch der Republik. Unsere Fragen rund um den Passdaten-Abfrage­dienst «eneXs» veranlassten das Zollamt dazu, einen eigenen Artikel zu publizieren. Dieser wurde allerdings nicht als Medien­mitteilung veröffentlicht, sondern unter der etwas versteckten Rubrik «Brennpunkt-Teaser».

Bereits vor Monaten hat die Republik via Öffentlichkeits­gesetz die Herausgabe sämtlicher Ausschreibungs­unterlagen, Verträge und ISDS-Konzepte (Schutz­konzepte zur Informations­sicherheit und zum Daten­schutz) verlangt.

Die Bundesämter haben die Mehrheit der Gesuche abgelehnt. Besonders verschlossen zeigte sich das Fedpol.

Laura Marinello, die Chefin der Abteilung Recht und Massnahmen beim Fedpol, begründet die ablehnende Antwort folgender­massen: «Die von Ihnen angefragten Unterlagen und Informationen stehen in Zusammenhang mit den laufenden Verfahren (Strafverfahren der Bundes­anwaltschaft, formelle Untersuchung des Eidgenössischen Datenschutz- und Öffentlichkeits­beauftragten sowie Administrativ­untersuchung des Bundesrates).»

Das Bundesamt für Polizei verweigerte auch auf simple Nachfragen Antworten, ebenso Armasuisse. Damit werden Medien aktiv an ihren Recherchen behindert. Besonders stossend daran ist, dass selbst die Herausgabe von ehemals öffentlichen Informationen wie Ausschreibungs­unterlagen verweigert wird.

Eine Ausnahme bildet das Bundesamt für Zoll und Grenz­sicherheit (BAZG), das Fragen durchaus beantwortet und ein Gesuch um Einsicht umfangreich bearbeitet hat. Allerdings nur in Bezug auf jenes Xplain-Produkt, das nicht gehackt worden ist, weil es noch gar nicht in Betrieb genommen wurde: das «Mobile Grenz­kontroll­system».

Die übrige Bundes­verwaltung dagegen verrät mit ihrer Informations­blockade unfreiwillig, welche Ursache das Datenleck bei Xplain gehabt haben dürfte. So haben die Behörden die Herausgabe der Informations­schutzkonzepte für das Abruf­system «eneXs» – die Plattform für die Prüfung von Pässen und Identitäts­karten – verweigert; mit Verweis auf die laufenden Untersuchungen. Dasselbe gilt für IT-Sicherheits­konzepte, Abnahme­protokolle sowie Test- und Audit­berichte der Aufträge zu «Jorasys», «Janus» und «Orma» – allesamt Xplain-Produkte, die von der Bande Play gehackt worden sind, wodurch teilweise höchst sensible Personen­informationen im Darknet gelandet sind. Gemäss «Tages-Anzeiger» sollen zumindest das Fedpol und die Zoll­verwaltung gar nie Audits durch­geführt haben.

Es ist daher unklar, ob die Vorgaben zur IT-Sicherheit überhaupt jemals ernsthaft überprüft worden sind.

4. Schengen-Projekt auf der Kippe

Die Republik-Recherchen zeigen ausserdem: Die Produkte von Xplain sind für den Bund mittlerweile system­relevant geworden. Ohne diese Technologien müssten viele der laufenden Bundes­projekte sofort gestoppt werden. Das Geschäfts­verwaltungs­system «Orma» etwa wird in internen Dokumenten zum Programm «FMÜP P4», zum offiziellen Überwachungs­programm, das «zentrale Subsystem» genannt. Es enthält zum Beispiel die Daten zu Personen, die derzeit gerade überwacht werden oder gegen die eine Massnahme verhängt worden ist. Um das heutige Überwachungs­gesetz Büpf oder das Bundes­gesetz über polizeiliche Massnahmen zur Bekämpfung von Terrorismus (PMT) anzuwenden, wird auf Xplain-Software zurückgegriffen.

Doch geniesst Xplain überhaupt noch das Vertrauen der Bundes­verwaltung?

Fedpol-Mediensprecher Christoph Gnägi hält fest, dass die geleakten Datensätze aus der Vergangenheit stammen und die aktuellen Daten auf einer isolierten Umgebung unter Hoheit des Bundes gespeichert sind. Er betont: «Gehackt wurde die Firma Xplain, nicht die Systeme von Fedpol. Die von Fedpol betriebenen Informations­systeme und Daten­banken laufen auf einer gesicherten Infrastruktur des Bundes.»

Klar scheint aber auch: Aufgrund der vielen gesetzlichen und technischen Sachzwänge haben die Sicherheits- und Strafverfolgungs­behörden wie Fedpol oder das Bundesamt für Justiz derzeit gar keine andere Möglichkeit, als an der Zusammen­arbeit mit Xplain festzuhalten.

Und wie sieht es mit Zukunfts­projekten aus?

Die noch nicht lancierte App «Mobiles Grenz­kontroll­system» ist Teil des «Smart Borders»-Projekts der Schengen-Länder, zu dem sich auch die Schweiz verpflichtet hat. Sie bildet den technologischen Teil des «Entry/Exit System» ab. Mit dem Schengen-Projekt sollen die Ein- und die Ausreise von Personen aus Dritt­staaten in den und aus dem Schengen-Raum registriert und deren Name, Geburts­datum, Finger­abdrücke und ein Gesichts­bild gespeichert werden. Dadurch kann das Bundesamt für Zoll und Grenz­sicherheit eine Liste aller overstayers erstellen, also der Personen, die theoretisch wieder ausreisen müssten.

Gemäss Anfrage beim BAZG ist die Firma Xplain bei diesem Projekt zumindest noch nicht abgeschrieben. Es seien «diverse Abklärungen im Gange, die daraus resultierenden Erkenntnisse werden laufend analysiert», schreibt das BAZG auf Anfrage. Ob der Bund rechtlich betrachtet überhaupt die Möglichkeit hätte, aus dem Vertrag mit Xplain auszusteigen, ist eine offene Frage.

Fazit

Viele Zuschläge an den IT-Dienstleister Xplain basieren auf technologischen Pfad­abhängigkeiten: Die Firma war bereits in den frühen Nuller­jahren im Markt der IT-Dienstleister für Sicherheits­behörden präsent und konnte danach ihre Software sukzessive an die Informations­systeme des Bundes andocken.

Die Xplain-Produkte waren irgendwann so eng mit der IT-System­landschaft der Sicherheits­behörden verflochten und das Management der Berner Firma so eng mit Departementen und Ämtern wie dem Fedpol, dem VBS oder dem Bundesamt für Justiz vernetzt, dass jede neue Ausschreibung quasi zum Heimspiel wurde. Die Referenz­liste war lang und die Standards wurden praktisch durch das Berner Unternehmen selbst gesetzt. Damit wurde Xplain zu einem Klumpen­risiko für den Bund.

Dieser Vertrauens­vorschuss führte zu Nachlässigkeit bei den Behörden. Sie haben es sträflichst versäumt, bei einem ihrer wichtigsten IT-Dienstleister verbindliche Vorgaben zu Datenschutz und IT-Sicherheit zu machen und deren Einhaltung zu kontrollieren. Das Nationale Zentrum für Cyber­sicherheit ist in den letzten Monaten nun über die Bücher gegangen und hat an alle IT-Dienstleister, die aktuell eine Leistungs­vereinbarung mit der Bundes­verwaltung haben, einen Brief verschickt. Darin weist das Kompetenz­zentrum alle Partner­firmen an, die Haus­aufgaben in Sachen Cyber­security zu machen.

Wäre das bloss 10 Jahre früher geschehen.

In einer früheren Version haben wir das Stadtrichteramt Zürich in einer Reihe von kommunalen und kantonalen Ämtern aufgezählt, die freihändig Aufträge an Xplain vergeben haben. Das Stadtrichteramt Zürich hat die Beschaffung jedoch in einem offenen Verfahren durchgeführt mit Xplain als Sublieferantin.

Rund 27’000 Menschen machen die Republik heute schon möglich. Lernen Sie uns jetzt auch kennen – 21 Tage lang, kostenlos und unverbindlich: