Update vom 29.04.2024: Die Kantonsräte Florian Heer (Grüne), Stefan Schmid (SVP) und die Kantonsrätin Nicola Yuste (SP) haben eine Anfrage an den Zürcher Regierungsrat zur russischen Software Metashape gestellt, die bei mehreren Polizeien in der Schweiz zum Einsatz kam. 

Einsatz nur zu Testzwecken

In den Antworten schreibt der Regierungsrat, dass die Kapo die russische Software im Februar 2017 für die Auswertung von Daten nach der Dokumentation schwerer Unfallereignisse mit Hilfe von Drohnen anschaffte. Die Software ist demnach lediglich zu Testzwecken auf einem Computer zum Einsatz gekommen, auf dem keine anderen polizeilichen Systeme installiert waren und der keine Verbindung mit dem Netzwerk der Kapo hatte. Für die Bearbeitung eines echten Falles nutzte die Kapo die Software laut Regierungsrat nicht. Nach Bekanntwerden von möglichen Sicherheitsproblemen im Mai 2023 habe die Kapo die Software umgehend deinstalliert. Auf die Frage, weshalb die Software erst 2023 deinstalliert wurde, obwohl sich russische Cyberangriffe in der Schweiz seit 2016 häufen, antwortete der Regierungsrat nicht. 

Die Kantonsrätin und die Kantonsräte wollten zudem wissen, welche ausländischen Softwares die Kapo sonst noch einsetzt. Laut Regierungsrat nutzen die Kapo und die Staatsanwaltschaft Microsoft-Produkte. Aus Sicherheitsgründen wolle man weitere eingesetzte Softwareprodukte nicht aufführen, da deren Auflistung die Angreifbarkeit der Behörden massiv erhöhen würde. 

Zentrum für Cybersicherheit soll Lieferanten bewerten

Die IT-Beschaffung ausserhalb der Grundversorgung sei bei der Verwaltung des Kantons dezentral organisiert. Die Beschaffungsstellen sollen gemäss Grundsätzen der Beschaffungspolitik, die der Regierungsrat im März 2018 beschloss, ein systematisches Risikomanagement gewährleisten. So werde unter anderem die Projektmethodik Hermes eingesetzt. Der Kanton plane derzeit die Beschaffung einer Lösung, die unabhängig Cyberrisiken in der Lieferkette analysieren und bewerten soll. Weiter erteilte das Steuerungsgremium Digitale Verwaltung und IKT im Dezember 2023 dem kantonalen Zentrum für Cybersicherheit den Auftrag, die wesentlichen Lieferanten des Kantons Zürich einer standardisierten Bewertung zu unterziehen. Die Staatskanzlei und betroffene Direktionen sollen Vorschläge und Empfehlungen zur Verwaltung ihrer Lieferanten und zur Verringerung von Cyberrisiken erhalten.

Originalmeldung vom 08.03.2024: 

Schweizer Polizeien setzen auf russische Software

Die Polizeikorps der Schweiz setzen auf russische Software zur Tatortvermessung. Mehrere Kantonspolizeien nutzen die Software Metashape zur Fotogrammetrie, wie der "Tages-Anzeiger" berichtet. Fotogrammetrie ist ein Verfahren zur Erstellung von 3-D-Modellen anhand von Fotografien und Sensordaten.

Metashape ist eine Entwicklung des russischen Unternehmens Agisoft. Das Softwareunternehmen aus St. Petersburg arbeitet gemäss Bericht eng mit Geoscan, dem grössten Drohnenproduzenten Russlands zusammen, Ausserdem besitzt ein Eigentümer Anteile beider Unternehmen. Geosoft bezeichnet Metashape auf seiner Unternehmenswebsite als "unsere Software".

An Geosoft wiederum beteiligt ist die Innopraktika, eine staatliche russische Stiftung für die Entwicklung von geistigem Eigentum. Chefin von Innopraktika ist die Tochter des russischen Präsidenten: Katerina Tichonowa. Wie ihr Vater Wladimir Putin steht Tichonowa wegen des Überfalls auf die Ukraine auf der Sanktionsliste des Schweizerischen Staatssekretariats für Wirtschaft (Seco).

Risiko Hintertür

Dass ein staatsnahes russisches Unternehmen Software an Schweizer Sicherheitskräfte liefert, sei ein Risiko, da so russischen Cyberakteure über Hintertüren Zugriff auf die Systeme erhalten könnten.

"Man weiss, dass Staaten in Applikationen Hintertüren einbauen oder Sicherheitslücken ausnutzen, um Spionage und Cyberattacken zu orchestrieren", zitiert der "Tages-Anzeiger" den Nationalrat und IT-Unternehmer Gerhard Andrey.

Wechsel erst 2023 - oder gar nicht

Die Kantonspolizeikorps in Zürich, Bern, St. Gallen und Luzern bestätigen gegenüber dem "Tages-Anzeiger", Metashape eingesetzt zu haben. Inzwischen habe man allerdings den Anbieter gewechselt. 

In Bern und St. Gallen kam die Software von 2016 bis 2023 zum Einsatz. Dann habe man "von der Möglichkeit, dass die Software eventuell zur Verbreitung von Schadsoftware genutzt werden könnte", erfahren, schreibt die St. Galler Kantonspolizei.

In Luzern wird die Software noch zum Lesen alter Datenbestände eingesetzt. Die Baselbieter Kantonspolizei derweil verwendet Metashape noch aktiv. Aktuell befinde sich der Betrieb in einer Pilotphase. Erst in den kommenden Monaten werde über die weitere Verwendung entschieden.

Die Software-Supply-Chain ist ein beliebter Angriffsvektor für Cyberkriminelle. Deswegen führen viele Unternehmen in diesem Bereich verstärkte Kontrollen durch, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.