Geheime Daten lagen im Intranet offen herum

Die Zollverwaltung speicherte Offerten für einen Grossauftrag monatelang ungesichert ab, Tausende hatten Einsicht. Kam das der Swisscom zugute?

4000 Zollangestellte hatten Zugriff auf vertrauliche Beschaffungsdokumente. Foto: Keystone

4000 Zollangestellte hatten Zugriff auf vertrauliche Beschaffungsdokumente. Foto: Keystone

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Das interne IT-System von Unternehmen und Verwaltungen ist oft ein merkwürdiger Ort – eine Mischung aus nützlichem Arbeitsgerät und digitaler Müllkippe. Da finden sich nebst Verträgen, Telefonlisten, dem Menüplan der Kantine und Neuigkeiten aus der Chefetage auch Dokumente von entlassenen oder gar verstorbenen Mitarbeitern. Oder die Überreste längst begrabener Projekte.

Und bisweilen sind dort auch Informationen für alle einsehbar, die eigentlich geheim sind. Wie kürzlich bei der Eidgenössischen Zollverwaltung (EZV).

Die über 4000 Zollangestellten hatten während Monaten Zugriff auf geheime Beschaffungsdokumente, die ein Mitarbeiter in einen frei einsehbaren Ordner geladen hatte. Das zeigt ein Memo der zollinternen Revision, in das diese Zeitung mithilfe des Öffentlichkeitsgesetzes Einsicht nahm. «Das Evaluationsteam hat die Kontrolle über die vertrau­lichen Unterlagen verloren», heisst es im Memo vom Juli 2018. Informationen über die Vergabe von öffentlichen Aufträgen sind hochsensibel. Wer an einer Ausschreibung mitmacht, muss in seinem Dossier detaillierte Angaben zu seinem Angebot machen, zum Beispiel, wie der Preis der Offerte genau zustande kommt. Diese Geschäftsgeheimnisse dürfen auf keinen Fall grösseren Kreisen bekannt werden – oder gar der Konkurrenz.

Ein erbitterter Kampf

Die Revisoren sind auf das Problem aufmerksam geworden, weil aktuell ein erbitterter Kampf um einen Auftrag des Zolls tobt. Die Konzerne Swisscom und Axpo hatten sich beide auf die Ausschreibung beworben, einen Teil des Schweizer Polizeifunknetzes Polycom zu erneuern. Der Zoll betreut landesweit rund 250 Sendemasten dieses milliardenteuren Netzes, über das Tausende Polizisten, Feuerwehrleute und Sanitäter jeden Tag kommunizieren.

Die EZV teilte den Auftrag im April 2018 der Swisscom zu. Damit war die Sache aber nicht ­gelaufen. Die Axpo fühlte sich verschaukelt, weil die Swisscom nachträglich den Preis ihrer Offerte gesenkt hatte. Heraus kam das nur, weil sich ein Swisscom-Mann im März 2018 an einem IT-Kongress verplappert hatte. Die Axpo reichte Beschwerde ein, seither ist der Auftrag am Bundesverwaltungsgericht blockiert, was den lückenlosen Betrieb des Polycom-Netzes gefährdet.

Und nun zeigt sich: Ausgerechnet diese Millionenofferten waren monatelang für die ganze EZV-Belegschaft einsehbar.

Es kann sein, dass es eine ganz harmlose Erklärung für den nachträglichen Preisrabatt der Swisscom gibt. Weil die Daten aber EZV-öffentlich abgelegt waren, ist die Glaubwürdigkeit der Vergabe beschädigt. Wie will man ausschliessen, dass einer der über 4000 Angestellten des Zolls einem Swisscom-Vertreter ein paar Zahlen zuflüsterte?

Sofort löschen

Die Revisoren des Zolls haben dieses Glaubwürdigkeitsproblem erkannt. Sie schreiben, die Dateien seien mindestens an drei Stellen gespeichert gewesen, darunter extern bei einer nicht näher bezeichneten kantonalen Polizeibehörde, die bei der Auswertung der Offerten mithalf. Kommt dazu, dass auch private Berater, die an dem Projekt mitarbeiteten, Zugriff auf preisrelevante Infos hatten, obwohl sie diesen nicht brauchten.

Die internen Kontrolleure wiesen die Beschaffer an, die sensitiven Polycom-Dateien sofort zu löschen und zu prüfen, ob in öffentlichen Ordnern sonst noch irgendwelche heiklen Daten von anderen Projekten herumgeisterten. Externe Berater sollten in Zukunft keinen Zugriff auf Informationen über offerierte Preise mehr haben.

Ein Sprecher der EZV schreibt auf Anfrage, man habe nach dem Memo umgehend Massnahmen eingeleitet. Und weiter: «Die EZV sensibilisiert und schult ihre Mitarbeitenden bezüglich Interessenkonflikten.»

Axpo und Swisscom wollen sich zum Streit nicht äussern, weil er weiterhin vor Gericht hängig ist.

(Redaktion Tamedia)

Erstellt: 01.05.2019, 10:49 Uhr

Auch Seco-Kontrolleure warnen vor Missbrauchsrisiko

Die internen Revisoren des Staatssekretariats für Wirtschaft (Seco) orten ebenfalls ein «Missbrauchspotenzial» beim Umgang mit sensitiven Beschaffungsdaten. Aus einer Prüfnotiz aus dem Oktober 2018, in das diese Zeitung mithilfe des Öffentlichkeitsgesetzes Einsicht nahm, ergibt sich, dass Beschaffungsdossiers zum Teil für alle Seco-Angestellten frei zugänglich sind. «Jemand könnte beispielsweise Beschaffungs­informationen an die Offertsteller weitergeben», warnen die Kontrolleure. Sie weisen deshalb die Geschäftssteuerung des Seco an, in Zukunft die Zugriffsrechte bei diesen sensiblen Dokumenten einzuschränken. Weiter stören sich die Revisoren daran, dass Angestellte Zugriff auf Vertragsdaten in anderen Fachbereichen haben – und dort Einträge ändern können. Sie fordern deshalb, dass Zugriffsrechte im ganzen Seco eingeschränkt werden, um Missbräuchen vorzubeugen. (ms)

Artikel zum Thema

Ein Beamter hebt ab

Axpo und Swisscom kämpfen um einen Millionenauftrag des Zolls. Dabei kommt heraus: Swisscom hat einem Beamten früher einen Heissluftballon finanziert. Mehr...

Seco muss Daten zu Waffenexporten herausgeben

Das Staatssekretariat für Wirtschaft (Seco) muss bekannt geben, welche in der Schweiz ansässigen Firmen 2014 ein Gesuch für eine Kriegsmaterial-Ausfuhr gestellt haben. Mehr...

Banken verlangen überrissene Gebühren

Über 100 Franken Jahresgebühr für ein simples Konto sind hierzulande normal. Die Banken hätten durchaus Spielraum für Kostensenkungen – doch sie wollen nicht. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Blog

Kommentare

Die Welt in Bildern

Es sammelt sich nur der Staub in ihnen: Frauen zerschmettern in Indien Töpfe aus Ton, um gegen den Mangel an Trinkwasser zu protestieren. (16. Mai 2019)
(Bild: Amit Dave) Mehr...