Der Bund kann unsere Daten nicht schützen

Read the English version here.

Der Fall der IT-Firma Xplain schreckte die Schweizer Öffentlichkeit auf. Das Berner Unternehmen wurde Ende Mai Opfer eines Hackerangriffes, ­Daten im Umfang von rund 900 Gigabyte landeten im Dark­net, darunter sensible Informationen, unter anderem vom Bundesamt für Polizei (Fedpol), von Zoll und Grenzschutz und von kantonalen Migrationsämtern. Wer sich nun wundert, dass eine private IT-Firma Dienstleistungen für die öffentliche Hand erbringt, und «Skandal!» ruft, kennt die Realität nicht. Xplain ist nicht die Ausnahme, Xplain ist die Regel.

«Wer sich wundert, dass eine private IT-Firma Dienst­leistungen für die öffentliche Hand ­erbringt, und ‹Skandal!› ruft, kennt die Realität nicht. Xplain ist nicht die Aus­nahme, Xplain ist die Regel.»

Der grösste IT-Auftraggeber der Schweiz ist der Bund. Mit seinem Auftragsvolumen kann keines der grossen, auch international ausgerichteten Unternehmen mithalten. Die Eidgenossenschaft verfügt über ein eigenes Bundesamt für Informatik und Technologie (BIT) mit rund 1100 Mitarbeitern. Gemäss eigenen Angaben unterstützt das BIT die Verwaltung mittels Informatik, «wirtschaftliche, sichere, benutzer- und bürgerfreundliche Lösungen zu entwickeln und einzusetzen». Das ist allerdings nur die halbe Wahrheit. Der grösste Teil der IT-Projekte wird über externe Drittzulieferer realisiert und umgesetzt. Oft laufen auch der Betrieb der Systeme und die Dienstleistungen vollumfänglich über Drittanbieter. Ist das schlimm? Die Frage erübrigt sich: Der Bund hat weder das Know-how noch die Ressourcen. Wie gesagt: Xplain ist die Regel, nicht die Ausnahme.

Diese enge, längst Realität gewordene Verzahnung zwischen Staat und privaten Dienstleistern führt dazu, dass letztere auch die Cyberrisiken mittragen. Es nützt nichts, wenn der Bund hohe Sicherheitsauflagen hat, diese jedoch nicht auch bei Drittanbietern umgesetzt werden. Das Nationale Zentrum für Cybersicherheit NCSC leistet zwar gute Arbeit und hat die Schweiz im Bereich Cybersicherheit stark vorangebracht. Aber noch sind viele Hausaufgaben nicht erledigt. Dazu gehören namentlich klare Richtlinien und Sicherheitsauflagen für IT-Drittanbieter. Ein anderes Beispiel dazu: Das vom Eidgenössischen Departement für auswärtige Angelegenheiten für die Auslandschweizer produzierte Magazin «Schweizer Revue» wird in einer externen Druckerei gedruckt. Der Bund lieferte die Adressen an das Unternehmen, worauf bei einem Cyberangriff auf die Druckerei Daten geklaut wurden; das Unternehmen zahlte kein Lösegeld, und so landeten im Juni 425 000 Adressen im Dark­net. Geneigte und weniger geneigte Kreise können nun einsehen, wo Herr und Frau Auslandschweizer leben.

Misstrauen als Zeichen einer mündigen Demokratie

Damit sind wir bei den Kernfragen angelangt: Wie verändern die gigantischen Datenmengen das Verhältnis zwischen Bürger und Staat? Was bedeuten Datenschutz, Transparenz und Informationsgerechtigkeit im digitalen Zeitalter?

In der Bevölkerung herrscht hohes Misstrauen, aber auch ein Bewusstsein, dass Daten missbraucht werden können. Schweizerinnen und Schweizer sind vergleichsweise skeptisch, wenn es um Staat und Einsichtsrechte oder Zugriffsmöglichkeiten geht, was ein Zeichen einer mündigen Demokratie ist. Sie wollen wissen, was dieser doch eher ungreifbare Moloch Staat alles speichert. Dass der einzelne informiert wird, welche Daten der Staat über ihn sammelt, sollte ein selbstverständliches Grundrecht sein, insbesondere wenn es um solch riesige Datenmengen geht.

Das Jahresbudget des Bundes im Bereich IT beläuft sich auf total rund 1,2 Milliarden Franken, Tendenz steigend. Das zeigt, dass die Digitalisierung in der Verwaltung enorm an Bedeutung gewonnen hat. Es gibt kaum einen Bereich, in dem nicht schon riesige IT-Projekte realisiert wurden und entsprechende Projekte im Gang sind – oder desaströs gescheitert sind. Die Eidgenössische Steuerverwaltung hat kürzlich die elektronische Erfassung der Mehrwertsteuer abgeschlossen (um zur Abwechslung auch mal ein erfolgreiches Projekt zu nennen).

Wie in der Privatwirtschaft hiesse auch beim Bund das Ziel, durch Digitalisierung die Effizienz zu steigern und Prozesse zu optimieren. Was sicher auch geschieht. Nur sieht man beim Bund leider nie, dass die Effizienzsteigerung zu einer Reduktion des Personalaufwands führen würde, weil…