Exklusiv

Comparis erstattet Strafanzeige gegen Bersets Generalsekretär

E-Mails zeigen, wie der Bund einen angeblichen Hackerangriff für eine Attacke gegen den grössten Schweizer Internetvergleichsdienst nutzte.

Liess Comparis anzeigen, anders als sein EDI-Vorgänger Didier Burkhalter: Bundesrat Alain Berset.

Liess Comparis anzeigen, anders als sein EDI-Vorgänger Didier Burkhalter: Bundesrat Alain Berset. Bild: Reuters

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Der Streit zwischen Comparis und dem Departement Berset eskaliert. Nun schaltet der Prämienvergleichsdienst die Bundesanwaltschaft ein. Sie soll ein Strafverfahren wegen Amtsmissbrauchs, Urkundenfälschung und Amtsgeheimnisverletzung eröffnen. Eine entsprechende Anzeige hat Comparis gestern eingereicht. Sie zielt vor allem auf Alain Bersets Generalsekretär, Lukas Bruhin.

Grund dafür ist der Umgang des Eidgenössischen Departements des Innern (EDI) mit einem Vorfall, der fast zwei Jahre zurückliegt: Am 28. September 2011 versuchte ein Comparis-Informatiker, sich Zugang zu Priminfo.ch – der Krankenkassenprämien-Datenbank des Bundes – zu verschaffen. Erfolglos. Fast ein Jahr lang sorgte der Vorfall für wenig Aufsehen. Doch dann kam Hektik auf. Ende August 2012 berichtete das welsche Wochenmagazin «L’Hebdo» über den «Angriff» und publizierte ein verwaltungsinternes Dokument, das Comparis als Angreiferin nannte. Darauf erhob das EDI Strafanzeige gegen unbekannt und sprach von einem «versuchten Hackerangriff».

In Absprache mit Bundesrat Berset kündigte EDI-Generalsekretär Lukas Bruhin auch eine Vereinbarung mit Comparis, die erst drei Monate zuvor abgeschlossen worden war. Darin hatten sich der Vergleichsdienst und der Bund unter anderem darauf verständigt, dass das Bundesamt für Gesundheit alle Krankenkassenprämien auf seinem Rechner publiziert, aber auf direkte Links zur Offertenbestellung bei den Kassen verzichtet.

«Hacker» wieder eingestellt

Für den Comparis-Informatiker hatte die Hackeraffäre ebenfalls Folgen. Er wurde entlassen und per sofort freigestellt, weil er gegen interne Richtlinien verstossen und eigenmächtig gehandelt habe. Inzwischen hat der Vergleichsdienst den Informatiker aber wieder eingestellt. Man gebe ihm eine «zweite Chance», sagt Comparis-Sprecher Felix Schneuwly. Dies, nachdem die untersuchende Zürcher Staatsanwaltschaft zum Schluss gekommen ist, es liege kein strafbarer Tatbestand vor. Sie hat das Verfahren Ende Mai eingestellt.

Ihre Einstellungsverfügung entlastet nicht nur den Beschuldigten, sondern liest sich stellenweise wie eine Anklageschrift gegen die Anzeigenerstatter des Bundes. Bersets Leute werden regelrecht vorgeführt, indem ihnen aufgrund ihrer eigenen E-Mails «politische und taktische» Motive vorgeworfen werden.

Möglicherweise haben sie beim Einreichen der Anzeige zu wenig bedacht, dass dadurch auch ihr departementsinterner Schriftverkehr untersucht wird. Er ist nun Bestandteil der Akten, die auch dem TA vorliegen. Sie zeigen: Sowohl das Bundesamt für Gesundheit (BAG) als auch das Generalsekretariat des EDI haben bereits unmittelbar nach dem sogenannten Hackerangriff davon erfahren. Aufgrund der IP-Adresse konnte das Bundesamt für Informatik auch Comparis als Verursacherin ausmachen. Damals erachteten das BAG und das EDI den Vorfall aber für zu harmlos, um Anzeige zu erstatten.

Indiskretion im EDI

Ein knappes Jahr danach war plötzlich alles anders. Comparis vermutet, das EDI habe einen Vorwand gesucht, um die kurz zuvor abgeschlossene Vereinbarung wieder zu kündigen. Wurde diese doch von Konsumentenorganisationen, Krankenkassen und Politikern harsch kritisiert – vor allem in der Westschweiz. Bersets Leute mussten sich vorwerfen lassen, sie hätten vor dem Vergleichsdienst kapituliert.

Comparis ist überzeugt, dass ein Mitarbeiter des Bundes das Wochenmagazin «L’Hebdo» informierte, um so ein Jahr nach dem «Hackerangriff» einen Wirbel auszulösen. Das vermutet auch die Kantonspolizei Zürich, die von der Staatsanwaltschaft mit den Ermittlungen beauftragt worden ist. Sie schreibt in ihrem Bericht:

«Die Zuspielung dieses internen Dokuments an die Presse weist auf eine Indiskretion innerhalb des EDI hin.»

Keine Bindung

Wie auch immer: Bundesrat Berset und sein Stab wussten die Dynamik zu nutzen, indem sie wenige Tage nach dem «L’Hebdo»-Artikel die umstrittene Vereinbarung kündigten. Im Rücktrittsschreiben an Comparis, unterzeichnet von Lukas Bruhin, steht:

«Ihren Aussagen haben wir entnommen, dass der Angriff vom 28. September 2011 gegen Priminfo.ch zugestandenermassen von der Comparis.ch AG bzw. von einem ihrer Mitarbeiter ausgegangen ist. Dieser Umstand ist für uns neu und war uns insbesondere im Zeitpunkt des Abschlusses obengenannter Einigung nicht bekannt.»

Aufgrund dieser neuen Situation, fuhr Bruhin weiter, fühle sich das EDI nicht mehr an die Vereinbarung gebunden.

«Ass im Ärmel behalten»

Laut den amtsinternen E-Mails wusste das EDI aber schon von Anfang an, wer hinter dem Vorfall steckte. Und selbst wenn dies vergessen gegangen wäre: Einen Tag, bevor Bruhin das Rücktrittsschreiben an Comparis verfasste, wurde er von einem seiner Mitarbeiter darauf aufmerksam gemacht. Man sei bereits vor einem Jahr «sicher gewesen», dass der «Angriff von Comparis erfolgt» sei.

Dies ist auch der Kantonspolizei Zürich aufgefallen. In ihrem Ermittlungsbericht thematisiert sie die Unstimmigkeit zwischen den internen E-Mails und der «in der Presse öffentlich dargestellten Version». Insbesondere ein E-Mail des damaligen BAG-Vizedirektors Andreas Faller ist der Polizei ins Auge gestochen. Faller schrieb am 29. September 2011, also einen Tag nach dem Vorfall:

«Mit dieser Sache hat uns Comparis nun einen Trumpf in die Hand gespielt, den wir sorgfältig einsetzen sollten, weil ihr Imageschaden riesig wäre, wenn bekannt werden sollte, dass sie versucht haben, unseren Rechner zu hacken.»

Dieser Ansicht war auch eine andere BAG-Mitarbeiterin. Man könne ja das Wissen um den Vorfall als «Ass im Ärmel behalten», bis es zum «Austausch von weiteren Freundlichkeiten mit Comparis» komme, schrieb sie gleichentags.

Den Rechner testen wollen

Solche E-Mails haben wohl die Zürcher Staatsanwaltschaft bewogen, in ihrer Einstellungsverfügung deutliche Worte zu gebrauchen:

«Diese Erkenntnisse stehen im krassen Widerspruch zum Kündigungsgrund einer Einigungsvereinbarung zwischen dem BAG und der Firma Comparis.ch AG betreffend dem Prämienrechner, welcher darauf abstützt, dass das EDI erst aufgrund einer Medienmitteilung der Zeitschrift ‹L’Hebdo› vom 30. August 2012 vom Angriff und der Identität des Angreifers, der Firma Comparis.ch AG erfahren habe.»

Offenbar fühlte sich der Staatsanwalt durch die Strafanzeige des EDI missbraucht. Zumal das Bundesamt für Informatik den Kollegen vom BAG bereits am Tag des Vorfalls schriftlich mitteilte:

«Aus unserer Sicht gibt es keinen Grund, hier weitere Massnahmen zu ergreifen – solche Versuche sind im Netz sehr häufig, und der vorliegende Versuch weder ausgesprochen professionell noch sehr zielgerichtet. (...) Es wäre etwas anderes, wenn wir Dutzende solcher Versuche über einen längeren Zeitraum beobachtet hätten.»

Kein Angriff

Konkret geht es um eine sogenannte SQL-Injection in öffentlich zugänglichen Eingabefeldern. Dem Comparis-Informatiker fiel laut eigenen Aussagen auf, dass im Jahrgangsfeld mehr als vier Ziffern Platz hatten. Mit einer SQL-Eingabe habe er die Sicherheit testen wollen. Wäre er durchgekommen, hätte er die Struktur der Datenbank erfahren und allenfalls auf weitere Daten zugreifen können. Im schlimmsten Fall hätte er diese gar verändern oder löschen können.

Es blieb aber beim Versuch. Laut dem Informatiker hat er etwa ein bis drei solcher SQL-Statements eingegeben – aus reiner Neugier, ohne Auftrag von Comparis. Er habe niemanden angreifen wollen und sei sich auch nicht bewusst gewesen, dass dies juristische Konsequenzen haben könnte.

Bereits 8 Stunden nach dem Vorfall

Zum selben Schluss gelangte – unabhängig vom Comparis-Informatiker – der Informatiksicherheitsspezialist des Bundes drei Tage nach dem Vorfall. Er schrieb:

«Meine persönliche Einschätzung ist wie folgt: Jemand bei Comparis hat geschaut, ob der Prämienrechner sauber programmiert ist und allfälligen Input korrekt abfängt. (...) Generell sieht man solche Zugriffe in jedem Webserverlog relativ häufig, es ist leider ein fast normales Grundrauschen, dass solche Versuche gemacht werden.»

Gemäss der Zürcher Staatsanwaltschaft können derartige SQL-Eingaben nicht mit dem Versuch gleichgestellt werden, über ein fremdes Passwort Zugang zu einem Rechner zu erlangen. Überdies moniert sie, das EDI habe sich fast ein Jahr lang Zeit gelassen für seine Anzeige – obwohl die Antragsfrist für solche Delikte drei Monate betrage und der Bund bereits 8 Stunden nach dem Vorfall gewusst habe, woher der Angriff kam.

«Sinnloses Unterfangen»

Der Informatiksicherheitsspezialist des Bundes hat die Einstellung des Verfahrens kommen sehen. Er schrieb seinen Kollegen als «persönliche Anmerkung»:

«Nach so langer Zeit eine Anzeige im digitalen Bereich zu machen, ist ein ziemlich sinnloses Unterfangen, das keine neuen Erkenntnisse bringen wird, da auch auf Seite Comparis alle Logfiles, mit denen man unsere hätte vergleichen können, rotiert (überschrieben) worden sind.»

Anders sah dies offenbar Bundesrat Alain Berset (SP), der dem EDI seit Anfang 2012 vorsteht. Während sich sein Vorgänger Didier Burkhalter (FDP) einst gegen eine Anzeige ausgesprochen hatte, war Berset ein Jahr später dafür. Nun wirft Comparis «führenden Mitgliedern des EDI und des BAG» vor, «die Macht und Mittel des Bundes für ihre politischen und taktischen Zwecke benutzt zu haben». Es sei darum gegangen, Comparis in den Medien zu diskreditieren und einen Vorwand für den Rücktritt von der Vereinbarung zu finden. Das sei inakzeptabel und habe «die Grenze zum strafrechtlich relevanten Verhalten überschritten».

Eine Amtsgeheimnisverletzung

Per Strafanzeige hält der Vergleichsdienst Generalsekretär Bruhin Amtsmissbrauch vor. Er habe seine Macht missbraucht, indem er «ohne tatsächlichen Grund und damit in unzulässiger Weise» von der Vereinbarung zurückgetreten sei. Damit nicht genug: Er habe auch «vorsätzlich rechtlich erhebliche Tatsachen unrichtig beurkundet» – nämlich mit seiner Behauptung im Rücktrittsschreiben, es sei dem EDI neu, dass ein Comparis-Mitarbeiter den Bundesrechner habe hacken wollen.

Darüber hinaus will der Vergleichsdienst die Indiskretion gegenüber «L’Hebdo» untersucht haben. Er sieht darin eine Amtsgeheimnisverletzung. Die Bundesanwaltschaft soll nun alle E-Mails und Dokumente im Zusammenhang mit dem angeblichen Hackerangriff beschlagnahmen. Sie ist zuständig, weil die vorgeworfenen Delikte der Bundesgerichtsbarkeit unterstehen, wenn sie von Angestellten des Bundes begangen werden.

Keiner Straftat bewusst

Bruhin sieht dem Verfahren zuversichtlich entgegen: «Mir persönlich ist kein Sachverhalt bekannt, der seitens EDI einen Straftatbestand erfüllen würde.» Es sei ihm im September 2012 tatsächlich neu gewesen, dass Comparis den Anfriff zugebe. Auch entbehre die Annahme, das EDI habe «L’Hebdo» ein Dokument zugespielt, jeglicher Grundlage. Und beim Bundesamt für Informatik hätten «offenbar unterschiedliche Auffassungen in Bezug auf die strafrechtliche Relevanz des Angriffs bestanden», teilt Bruhin schriftlich mit. Nun sei es an der Justiz zu prüfen, inwiefern die Anzeige von Comparis begründet sei.

Der Streit zwischen dem Bund und dem Vergleichsdienst erreicht damit eine neue Stufe, was dem Einvernehmen kaum dienlich ist. Doch Comparis-Sprecher Schneuwly verkündet selbstbewusst: «Wir werden die Einigung wieder aktiv kommunizieren, weil ja in der Einstellungsverfügung steht, dass die Gründe für den Rücktritt nichtig sind und damit auch der Rücktritt selbst nichtig ist.» Das EDI hingegen will nichts mehr von der Vereinbarung wissen – Einstellungsverfügung hin oder her.

Erstellt: 13.08.2013, 06:20 Uhr

Link zu den Original-Dokumenten

Artikel zum Thema

Weg vom Streit ums Geld

Bundesrat Alain Berset hat in Locarno ehrgeizige Ziele für die künftige Schweizer Kulturpolitik formuliert. Mehr...

Twitter-Account von Berset gehackt

Bundesrat Alain Berset wirbt für eine goldene Regel im Umgang mit sozialen Netzwerken: «Selbst im Sommer, ändert regelmässig die Passwörter.» Mit gutem Grund. Mehr...

Bersets Sorgen mit der 1:12-Initiative

Hintergrund Wie viel AHV-Beiträge gehen verloren, wenn die Löhne quasi bei 500'000 Franken gedeckelt werden? Genau das will SVP-Nationalrat Jean-François Rime vom EDI wissen. Für Bundesrat Berset ist die Sache doppelt brisant. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Die Welt in Bildern

Herbstlich gefärbte Weinberge: Winzer arbeiten in Weinstadt, im deutschen Baden-Württemberg. (17. Oktober 2019)
(Bild: Christoph Schmidt/DPA) Mehr...