---

slug: gehackte-staatsdaten-steuerdaten-und-e-id status: draft category: digitale-freiheit tags: [datensouveraenitaet, e-id, dezentralisierung] # new slugs - admin creates them if missing titleDe: Gehackte Staatsdaten - wie sicher sind Schweizer Steuerdaten, und was bedeutet das für die E-ID? titleFr: '' titleEn: '' excerptDe: Steuerdaten des Bundes lagen bereits im Darknet - nicht weil der Staat selbst gehackt wurde, sondern seine IT-Dienstleister. Was die Fälle Xplain und Concevis über die Architektur von Verwaltungsdaten verraten, und warum die neue E-ID bewusst anders gebaut ist als Indiens Aadhaar - eine nüchterne Einordnung entlang der Frage, wer die Daten wo bündelt.

Recherche-Hinweis: Faktenbehauptungen unten sind an Leitmedien- und

Behördenquellen rückgebunden (BACS/NCSC, SRF, NZZ, Tages-Anzeiger,

swissinfo, The Tribune, Resecurity). archived:-Links bitte vor Publikation

ergänzen (Sandbox hatte keinen Netzzugang zu web.archive.org).

sources:

• url: https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2023/xplain_3.html publisher: NCSC / Bund version: 2023 note: Hackerangriff auf die IT-Firma Xplain; Bundesrat mandatiert Administrativuntersuchung
• url: https://www.srf.ch/news/schweiz/cyberangriff-auf-xplain-ueber-die-haelfte-der-beim-bund-gestohlenen-daten-waren-sensitiv publisher: SRF version: 2023 note: Über die Hälfte der beim Bund gestohlenen Daten war sensitiv; Schwerpunkt EJPD/fedpol
• url: https://www.swisscybersecurity.net/news/2023-11-14/it-dienstleister-concevis-wird-opfer-eines-ransomware-angriffs publisher: SwissCybersecurity.net version: November 2023 note: Concevis-Ransomware (8Base/Phobos); Kunden u.a. Eidg. Steuerverwaltung, VBS, Kantone, Banken, Spital
• url: https://www.heise.de/news/Schweiz-Cyberkriminelle-veroeffentlichen-Daten-der-Steuerverwaltung-im-Darknet-9539980.html publisher: heise online version: November 2023 note: Daten der Steuerverwaltung im Darknet veröffentlicht (Concevis)
• url: https://www.20min.ch/story/hacker-stellen-schweizer-steuererklaerungen-ins-internet-837053137000 publisher: 20 Minuten version: 2023 note: Treuhandbüro erpresst - Schweizer Steuererklärungen ins Internet gestellt
• url: https://www.nzz.ch/schweiz/steuerdaten-heute-im-darknet-gestern-oeffentlich-einsehbar-ld.1654817 publisher: NZZ version: 2023 note: Steuerdaten - heute im Darknet, gestern öffentlich einsehbar (kantonale Register)
• url: https://www.swissinfo.ch/ger/schweizer-politik/e-id-abstimmung-28-september-2025/90057788 publisher: SWI swissinfo.ch version: 28. September 2025 note: Sehr knappes Ja zur E-ID - 50,4 Prozent, Differenz rund 21'000 Stimmen
• url: https://mint.satw.ch/de/news/von-der-abstimmung-zur-infrastruktur-was-die-schweiz-mit-der-e-id-wirklich-beschlossen-hat publisher: SATW version: 2025 note: Architektur der E-ID/swiyu - dezentral, Daten auf dem Gerät, Basisregister nur für Gültigkeitsprüfung
• url: https://www.tribuneindia.com/news/archive/nation/rs-500-10-minutes-and-you-have-access-to-billion-aadhaar-details-523361/ publisher: The Tribune (India) version: Januar 2018 note: Zugang zu beliebigem Aadhaar-Datensatz für 500 Rupien in 10 Minuten; UIDAI dementierte
• url: https://www.resecurity.com/blog/article/pii-belonging-to-indian-citizens-including-their-aadhaar-ids-offered-for-sale-on-the-dark-web publisher: Resecurity version: Oktober 2023 note: 815 Mio. Aadhaar-/Pass-Datensätze auf BreachForums zum Verkauf (~60% der Bevölkerung)

---

Die unbequeme Ausgangslage

Wie sicher sind Ihre Steuerdaten beim Staat? Die ehrliche Antwort lautet: Ein Teil davon lag bereits im Darknet - und zwar nicht, weil jemand die Eidgenössische Steuerverwaltung selbst geknackt hätte, sondern weil ein privater IT-Dienstleister gehackt wurde, dem der Bund Daten anvertraut hatte.

Das ist die eigentlich interessante Beobachtung. In der öffentlichen Wahrnehmung sitzen die heiklen Daten «beim Staat», in einem gut bewachten Rechenzentrum. Tatsächlich sitzen sie in einer Kette aus Behörden, Software- und Hosting-Firmen, Treuhändern und Cloud-Anbietern - und diese Kette ist genau so stark wie ihr schwächstes Glied. Wer wissen will, wie sicher die neue elektronische Identität (E-ID) sein wird, schaut deshalb am besten zuerst auf das, was mit Steuer- und Verwaltungsdaten bereits passiert ist.

Die Hacks haben längst stattgefunden

Der bekannteste Fall ist Xplain. Die Berner Oberländer Softwarefirma belieferte zahlreiche Bundesstellen. Im Frühsommer 2023 verschaffte sich die Ransomware-Gruppe «Play» Zugriff, erbeutete rund 900 Gigabyte Daten und veröffentlichte sie im Darknet, nachdem kein Lösegeld floss. Das Bundesamt für Cybersicherheit zählte später rund 1,3 Millionen veröffentlichte Datenobjekte; betroffen war schwergewichtig das Eidgenössische Justiz- und Polizeidepartement mit fedpol, Bundesamt für Justiz und Staatssekretariat für Migration. Laut SRF war über die Hälfte der beim Bund abgeflossenen Daten als sensitiv einzustufen (SRF, 2023; NCSC, 2023).

Wenige Monate später, im November 2023, traf es Concevis, eine Basler Softwarefirma. Auch hier eine Ransomware-Attacke - kolportiert wird die Gruppe «8Base» mit dem Trojaner «Phobos» -, auch hier ein verschlüsseltes Netzwerk und abgeflossene Daten. Zu den Kunden von Concevis zählte unter anderem die Eidgenössische Steuerverwaltung, daneben das VBS, kantonale und kommunale Verwaltungen, Banken und ein Spital. Erste Datenfragmente tauchten im Darknet auf (SwissCybersecurity.net, 2023; heise online, 2023).

Und es muss nicht einmal der Bund sein. Im selben Zeitraum wurde ein Treuhandbüro erpresst; die Täter stellten Schweizer Steuererklärungen ins Internet (20 Minuten, 2023). Steuerdaten liegen eben nicht nur bei der Steuerverwaltung, sondern überall dort, wo sie verarbeitet werden - beim Treuhänder, in der Buchhaltungssoftware, beim Hoster.

Drei Fälle, ein Muster: Nicht die Kernsysteme des Staates fielen, sondern die Zulieferer. Genau dort, wo Daten zentral bei einem einzigen Dienstleister gebündelt werden, entsteht ein lohnendes Ziel - ein Punkt, an dem ein einziger erfolgreicher Angriff Hunderttausende Datensätze auf einmal freilegt.

Ein Teil war ohnehin nie ganz privat

Zur Ehrlichkeit gehört eine zweite Einordnung. Ein gewisser Teil der Steuerdaten ist in der Schweiz föderal gar nicht so geheim, wie viele annehmen: In mehreren Kantonen liessen oder lassen sich steuerbares Einkommen und Vermögen einzelner Personen unter Auflagen einsehen. Die NZZ brachte das nach dem Concevis-Vorfall auf die Formel «heute im Darknet, gestern öffentlich einsehbar» (NZZ, 2023).

Das relativiert die Aufregung nicht, sondern verschiebt sie: Der Unterschied zwischen einer kontrollierten, zweckgebundenen Einsicht und einem frei durchsuchbaren Datensatz im Darknet ist die Aggregation. Einzelne Angaben mögen einsehbar sein; ein vollständiger, verknüpfbarer Datenberg über Millionen Menschen ist eine andere Kategorie. Und damit sind wir beim Kern der E-ID-Frage.

Aadhaar - die zentrale Identität als Honigtopf

Wer über staatliche digitale Identität nachdenkt, kommt an Indiens Aadhaar nicht vorbei: das grösste biometrische Identitätssystem der Welt mit weit über einer Milliarde registrierten Menschen, hinterlegt mit Fingerabdrücken, Iris-Scans und einer zwölfstelligen Nummer, an der heute Sozialleistungen, SIM-Karten und Bankkonten hängen.

Aadhaar ist auch das Lehrstück dafür, was passiert, wenn man so etwas zentral baut. Bereits 2018 zeigte eine Recherche der Zeitung The Tribune, dass sich über zwielichtige «Agenten» für umgerechnet rund 500 Rupien und in zehn Minuten ein Login beschaffen liess, mit dem man zu jeder beliebigen Aadhaar-Nummer Name, Adresse, Foto und Kontaktdaten abrufen konnte. Die zuständige Behörde UIDAI sprach von «Falschberichterstattung» und bestritt einen Datenabfluss (The Tribune, 2018). Bemerkenswert daran: Das war kein hochkomplexer Hack, sondern ein Versagen der Zugriffskontrollen - dieselbe Schwachstelle wie bei Xplain und Concevis, nur in einer anderen Grössenordnung.

Diese Grössenordnung wurde 2023 sichtbar. Die Sicherheitsfirma Resecurity dokumentierte, wie auf einem Hackerforum die Daten von rund 815 Millionen Inderinnen und Indern - Aadhaar- und Passangaben, Namen, Telefonnummern, Adressen - zum Verkauf angeboten wurden, für rund 80'000 US-Dollar. Das entspricht etwa 60 Prozent der Bevölkerung; als Quelle wurden Datenbestände aus dem Gesundheitsbereich vermutet. Eine offizielle Bestätigung durch den Staat blieb aus (Resecurity, 2023).

Die Lehre aus Aadhaar ist nicht «digitale Identität ist gefährlich». Die Lehre ist: Eine zentrale Datenbank, in der die Identität einer ganzen Nation liegt, ist ein Honigtopf von unwiderstehlichem Wert. Sie muss nur ein einziges Mal versagen, und der Schaden ist national und dauerhaft - eine Adresse lässt sich ändern, ein Fingerabdruck nicht.

Die Schweizer E-ID ist bewusst anders gebaut

Hier liegt die wichtigste und oft übersehene Nachricht: Die am 28. September 2025 äusserst knapp - mit 50,4 Prozent und einer Differenz von rund 21'000 Stimmen - angenommene E-ID ist architektonisch das Gegenteil von Aadhaar (swissinfo, 2025).

Das ist kein Zufall. Eine erste, von Privaten herausgegebene E-ID hatte das Stimmvolk 2021 verworfen. Die nun beschlossene Variante wird vom Bund herausgegeben und betrieben - und sie folgt dem Prinzip der Self-Sovereign Identity. Konkret heisst das für die App «swiyu»:

• Die Identitätsnachweise liegen dezentral auf dem Smartphone der Nutzerin, nicht in einer zentralen Datenbank.
• Ein staatliches Basisregister prüft nur, ob ein Nachweis noch gültig oder widerrufen ist. Es speichert weder, wer seine E-ID wann und wo benutzt, noch enthält es die Personendaten der Nutzer.
• Beim Vorzeigen läuft die Transaktion direkt zwischen dem Smartphone und dem Prüfenden - Stichwort selektive Offenlegung, man kann etwa «über 18» belegen, ohne das Geburtsdatum preiszugeben.
• Das System stützt sich auf offene Standards (W3C Verifiable Credentials, OpenID for Verifiable Credentials) und ist weitgehend Open Source - Quellcode, der öffentlich einsehbar und prüfbar ist (SATW, 2025).

Für ein Unternehmen wie uns ist gerade der letzte Punkt zentral: Genau das ist die Architektur, für die wir argumentieren. Keine grosse Sammelstelle, die zum Ziel wird; stattdessen verteilte Kontrolle, offene Prüfbarkeit und Datenhaltung beim Eigentümer. Die Schweiz hat aus dem Aadhaar-Modell - bewusst oder nicht - das Richtige gelernt.

Wo die Parallele trotzdem zieht

Damit wäre es zu einfach, das Kapitel zu schliessen. Eine gute Architektur auf dem Papier schützt nicht vor schlechter Umsetzung - und die Aadhaar-Pannen wie die Schweizer Hacks hatten dieselbe Wurzel: nicht die zentrale Datenbank an sich, sondern Zugriffskontrollen, Schnittstellen und die menschliche Kette drumherum.

Drei Punkte bleiben deshalb wachsam zu beobachten:

1. Die Dienstleisterkette. swiyu wird nicht im luftleeren Raum betrieben. Herausgabe, Hosting und Anbindung der Prüfenden laufen über Behörden und ihre IT-Partner - genau die Schicht, die bei Xplain und Concevis versagte. Eine dezentrale Wallet entlastet diese Kette, ersetzt sie aber nicht.
2. Die Prüfenden (Verifier). Sicher ist die E-ID nur, solange Akteure, die sie abfragen, nicht mehr verlangen als nötig und das Abgefragte nicht ihrerseits zentral horten. Wenn jeder Onlineshop die volle Identität statt eines blossen «über 18» anfordert und speichert, entstehen viele kleine Honigtöpfe statt eines grossen.
3. Das Smartphone als neue Front. Wenn die Daten auf dem Gerät liegen, wird das Gerät zum Angriffsziel. Das ist sicherheitstechnisch besser als eine nationale Datenbank - aber es verlagert Verantwortung zu Geräteherstellern, Betriebssystemen und letztlich zu den Nutzerinnen und Nutzern.

Die nüchterne Bilanz: Die Schweiz hat die richtige Grundarchitektur gewählt. Ob daraus auch ein sicheres System wird, entscheidet sich nicht am Abstimmungs- sonntag, sondern in der Umsetzung - bei jeder Schnittstelle, jedem Dienstleister und jeder Datenabfrage.

Was das für Ihre Organisation heisst

Man muss keine E-ID herausgeben, um aus all dem etwas mitzunehmen. Das Muster ist universell: Wer Daten zentral bündelt, schafft ein Ziel. Wer sie verteilt und die Kontrolle beim Eigentümer hält, verteilt auch das Risiko.

• Die eigene Dienstleisterkette kennen. Bei Xplain und Concevis lagen die Daten nicht «beim Staat», sondern bei dessen Lieferanten. Wissen Sie, welche externen Firmen heute Zugriff auf Ihre sensiblen Daten haben - und wie gut die abgesichert sind?
• Datensparsamkeit als Architekturprinzip. Fragen Sie bei jedem Feld: Brauchen wir das wirklich, oder reicht ein Nachweis statt der Rohdaten? Nicht erhobene Daten können nicht gestohlen werden.
• Souveräne, prüfbare Systeme bevorzugen. Offene Standards und quelloffene Software erlauben es, Sicherheit zu prüfen statt sie zu glauben - genau der Weg, den die E-ID eingeschlagen hat. Ein gemanagter Betrieb auf Schweizer Servern, unter eigener Kontrolle und mit exportierbaren Daten, ist die organisatorische Entsprechung dazu.

Die gehackten Steuerdaten und das Aadhaar-Debakel erzählen am Ende dieselbe Geschichte wie die E-ID, nur mit umgekehrtem Vorzeichen: Es ist die Architektur, die entscheidet, ob ein einziger Fehler lokal bleibt oder national wird. Genau an dieser Frage beginnt unsere Arbeit.