Ein anonymer Tipp ging ein. Die Mobilitätsfirma Urban Connect, die E-Fahrzeugflotten für Unternehmen bereitstellt, habe ihre IT in Russland.
Das klang verdächtig. Nur: Warum eigentlich?
Bekanntlich verlagern viele Firmen ihre IT-Abteilungen ins Ausland – nach Indien etwa oder in den Balkan.
Sollten russische Informatiker per se ein Problem sein? Rein technisch nicht. Juristisch aber schon, wie sich zeigt.
Nach einigen Recherchen wurde klar: Nicht der Standort eines Servers ist entscheidend, sondern das Recht, das dort gilt.
Wenn ein Land kein gleichwertiges Datenschutz-Gesetz kennt, kann der Staat jederzeit auf die Daten zugreifen.
In Russland etwa dürfen Behörden per Gesetz Einsicht in IT-Systeme nehmen. Damit wäre jedes Unternehmen, das von dort auf produktive Systeme zugreift, theoretisch nicht datensouverän.
Urban Connect zählt namhafte Kunden, darunter SBB, Roche und Google. Also wollten wir wissen: Weiss die SBB, mit wem sie da zusammenarbeitet?
Die Antwort kam prompt. SBB-Mediensprecher erklärte, Datenschutz und IT-Sicherheit seien vertraglich geregelt.
Urban Connect verpflichte sich zur Datenverarbeitung in der Schweiz oder in „gleichwertigen Jurisdiktionen“.
Russland wäre damit ausgeschlossen, aber die SBB prüft das nicht selbst. Man verlässt sich auf die vertragliche Zusicherung und hat im Fall der Fälle Audit-Rechte.
Das heisst im Klartext: Was der Partner technisch wirklich macht, bleibt weitgehend Vertrauenssache.
Urban Connect reagierte zunächst nicht auf eine Anfrage, erst nach einem Telefonat meldete sich Mitgründerin Judith Häberli.
Sie schrieb, Datenschutz und Informationssicherheit hätten „höchste Priorität“. Die Entwicklerteams sässen in der Schweiz, der EU, den USA und Serbien – „sowie in einzelnen weiteren Ländern“.
Personendaten würden gemäss der Datenschutzerklärung nur in der Schweiz, der EU/EWR, den USA und Serbien bearbeitet. Partner in anderen Ländern seien „nicht in den Fluss der Personendaten eingebunden“.
Das ist juristisch sauber formuliert, lässt aber offen, ob externe Partner Zugriff auf Quellcode, System-Logs oder Build-Pipelines haben. Denn auch dort kann theoretisch manipuliert oder mitgelesen werden.
Interessant ist, dass Urban Connect die USA offen nennt, obwohl sie datenschutzrechtlich nicht als gleichwertige Jurisdiktion gelten.
Der CLOUD Act erlaubt US-Behörden den Zugriff auf Daten amerikanischer Firmen, selbst wenn die Server ausserhalb der USA stehen.
Urban Connect verweist auf „Standardvertragsklauseln“ – ein legitimer, aber theoretischer Schutz. In der Praxis kann niemand in der Schweiz kontrollieren, was eine US-Behörde abruft oder verlangt.
Ein Schweizer IT-Sicherheitsfachmann ordnet es so ein: „Grundsätzlich sind Server in der Schweiz nicht sicherer als irgendwo anders und Datensicherheit (dass keine Daten geklaut werden) kann niemand garantieren.“
„Wenn der Staat, in dem die Server stehen, per Gesetz einen Zugriff verlangen kann, dann sieht es anders aus.“
Man könne Entwicklungs- und Produktivdaten trennen, „aber man muss selbst verstehen, wie das geht. Wenn also hier eine Pfeife die Vorgaben macht – und das ist leider nicht selten –, dann wird das Ergebnis dessen Handschrift tragen.“
Besonders heikel werde es, wenn Systeme mit echten Nutzerdaten entwickelt werden: „Die Gefahr ist nicht nur, dass jemand Daten kopiert, sondern dass eine ‚Backdoor‘ in den Code eingebaut wird. Das ist viel nachhaltiger und schwieriger zu erkennen.“
Urban Connect ist kein Ausreisser. Viele Schweizer Firmen lassen Code im Ausland schreiben.
Serbien, Osteuropa oder die USA sind gängige Standorte. Das ist ökonomisch nachvollziehbar, aber datensouverän ist es nicht.
Die Branche verlässt sich auf Verträge statt Kontrolle. Werbung mit „Swiss Engineering“ bleibt oft eine Frage des Brandings, nicht der Realität.
Am 2. Dezember 2024 erklärte Justizminister Beat Jans im Nationalrat während der Debatte zum neuen Gesetz über den elektronischen Identitätsnachweis (E-ID): „Wir haben das Datenschutzgesetz; damit sind unsere Daten geschützt.“
Ein schöner Gedanke, aber einer, der mit der Realität der digitalen Wirtschaft wenig zu tun hat. Datensicherheit ist ein frommer Wunsch in einer digitalen Welt, die sich nicht ans Schweizer Gesetz hält.
und was glaubt ihr wohl, wo IP seinen Server stehen hat?
IP hat glaub keinen Server. Da wird ja fast nur Schimmel geboten.
Bei uns auf der Kolchose
China Unicom Beijing province network
wir aben auc krosse Anfracke von eine Frau Keller-Sudder gehabt, Programme schreiben führ ihr. Doc wei die angekundigte Vorschuss-Sahlung nict kahm, haben wir den Auftrag vo die SVP-Verein ubernomme.
Besser als amerikanische Server. Dort haben x Dienste vollen Zugriff.
In der IT spricht man gerne auch von Master und Slave …
ich fragte mich immer, was die Sklaven vom Buana hatten.
achte immer darauf, wen du an deinen Server ran lässt!
Diese Woche wurde mir meine (zweite) Kreditkarte, die ich einzig und alleine in der SBB-App nutze, gesperrt. Einfach so, ohne Begründung, sofort.
Vielleicht deshalb …
Was sagte schon Lenin „Vertrauen ist gut, Kontrolle besser. Urban Connect scheint diese Redewendung noch nie gehört zu haben.
„In Russland etwa dürfen Behörden per Gesetz Einsicht in IT-Systeme nehmen.“ NSA und CIA machen es einfach. Pasta.
Geschrieben werden im Putin Land oder in einem EU Land wo die verurteilte Lagarde und die Flinten-Pfizer Uschi als Ungewählte die totale Macht und das Sagen haben…ausser in Polen und Ungarn;
Weiss wirklich nicht was besser ist für die SBB.
was bitte sollen Roche und SBB für sensible Daten haben?
Ha Ha Ha
Vertraglich geregelt? Eher dümmlich vereinbart!
Urban Connect hat ihre IT nicht in Russland. Auch ihre IT-Leute nicht. Was soll diese Story???
Lesen Sie doch den Text fertig.
Bitte keine so naiven Artikel. Es ist kein rechtliches Problem, sondern höchstens ein politisches. Auch in USA dürfen Behörden auf die Daten zugreifen, und auch in der Schweiz.
Stell dir vor.. Das steht sogar im Text…
Der „Sicherheitsfachmann“ ist ein Schwätzer wie Jans auch. Wenn das RZ in CH steht und die Server und die Router zwischen CH RZ und CH Kunde so konfiguriert werden, dass sie das Land nicht verlassen können, dann könnten die Hürden so hoch gestaltet werden, dass die Systeme hier klar sicherer wären als anderswo, man müsste halt schweizer ITler bezahlen. Aber was erwartet man von Unternehmen im Bereich kritische Infrastruktur (SSB, AKW-Betreiber), die essenzielle Systeme mit Microsoft Software betreiben? Richtig: Nüd. Das Klauselgeschwafel wird hoffentlich auch noch von Schrems gebodigt.
Wenn man mal genauer recherchiert, findet man heraus der Datenschutz steht nur auf dem Papier. Zum Beispiel kann Microsoft nicht einmal garantieren, dass Daten in ihrer Cloud nicht in den USA landen.
Die Schweizer E-ID-Lösung wird eine Android/iOS-App, da landen die Daten schon mal in den USA. Aber der technisch Ahnungslose glaubt einfach dem Bund.
Sehr geehrter Frau Auevefo vielen Dank für Ihre Recherchen sievzaigen dass auch Frauen (wie Männer ]klug UND Mut [siehe René Zeyer Betreiber von http://www.zackbum.ch der gegen Moster Presindet of the World (;-) bitte weiter so Hans Gerhard
Was soll einen in der Schweiz noch erstaunen? Wenns ums Geld geht und ins Portemonaie klimpert, ist man hier nach wie vor blind, hört nichts und sagt nichts…aber eigentlich lässt sich alles noch viel treffender mit einem Wort umwschreiben:Blöd.
‚Vertraglich geregt‘ ist in der heutigen digitalen Welt – mit viel Unfug und krimineller Energie – einfach eine simple Ausrede für Naivlinge.
Was für Code schreiben? Was für IT-Server und Datenzentren?
Die Firma vermietet Fahrzeuge.
Da reicht ein Excel-Sheet in der Schweiz!
Die 90er haben angerufen und wollen ihre (Host Sidekick-) IT zurück.
„End User Aplications“ aka Excel oder Access Gefrickel werden heute im Enterprise Umfeld als Risiken geführt.
Ich habe alle meine Daten in einem Zettelkasten, den ich im Küchenschrank zwischen Ravioli-Konserven, Aromat- und Dinkelhörnli-Vorrat versorgt habe. Kein Zugriff durch CIA, KGB, SFE, MI6, BND, NDB und Co. Und niemand kann meine Klaue entziffern ;-). – Sicherer geht nimmer.
Server in Russland. Typisch Schweizer Staatsbetriebe. Benützt die Swisscom nicht Server von Huawei? Die Schweiz als Lachnummer wieder einmal.
Nur eigene Server können sicher sein. Alle Claud Applikationen sind unsicher.
Schon länger basiert die ICT-Branche primär auf sog. SLAs, in welchen kleingedruckt die Pflichten des Anbieters und die Rechte des Kunden festgehalten sind. Meistens stehen dort ganz viele Wörter drin, aber der Inhalt ist unter dem Strich ziemlich knapp und fast immer gleich: Der Anbieter darf fast alles, muss fast nichts und der Kunde hat es im Wesentlichen zu akzeptieren. Egal, ob es ihm passt oder nicht. Sehr klar sieht es dann bei der Pflichten des Kunden aus: Bezahlen muss er immer pünktlich oder sogar im Voraus. Bei Nichtbefolgen folgen immer Konsequenzen. Sofort.
… wählen ihren Metzger selber!