Dass sich Xplain ins Ausland verkauft, ist nur ein Teil des Problems. Der andere wiegt womöglich noch schwerer. Kolumnist Reto Vogt sieht Handlungsbedarf für die Kundschaft.
Endlich hat es Andreas Löwinger geschafft! Der CEO und Mehrheitsaktionär des Softwareanbieters Xplain hat einen Käufer für seine Firma gefunden. Es ist der deutsche Finanzinvestor Chapters Group. Was für Löwinger selbst ein Glücksfall ist – er vergoldet sich damit seinen Ruhestand – könnte für Kundinnen und Kunden von Xplain zum Problem werden.
Die Geschichte beginnt allerdings früher: Im Mai 2023 wurde Xplain Opfer eines Cyberangriffs. Sensible Daten von Kunden, zu denen unter anderem zahlreiche Kantonspolizeien, die Bundespolizei, Grenzwachtkorps oder die Bundesanwaltschaft zählen, landeten im Darkweb. Zwar blieben verschiedene Untersuchungen von Bundesbern ergebnis- und folgenlos, aber der Ruf von Xplain war ruiniert. Mitbetroffen waren zahlreiche Behörden. Xplain war zu einem «unverzichtbaren Monopolisten» für Bundesbern geworden, wie die Republik schrieb.
Inhalte
ToggleDer Name Xplain ist verbrannt
Doch das durch den Datenabfluss verursachte Problem ist nicht unmittelbar; denn die Bestandskunden blieben fast alle. Zu den wenigen, die gingen, zählt die Waadtländer Polizei. Doch das Neukundengeschäft war ruiniert. Welche Behörde sollte dem Unternehmen noch einen Zuschlag erteilen, ohne sich unangenehmen Fragen stellen zu müssen? Der Name Xplain war und ist ruiniert, ich behaupte sogar: komplett verbrannt.
So verwundert es nicht, dass Xplain im Februar 2024 mitteilte: «Wir wollen mithilfe und Beteiligung von Partnern weitere Interessenten für die Lösungen von Xplain gewinnen und Synergien schaffen.» Spätestens seit da war öffentlich klar, dass Löwinger verkaufen wollte. Mit mindestens einem potenziellen Käufer waren die Übernahmegespräche weit fortgeschritten. Die Belegschaft war informiert, unter anderem über den Umzug der Büros von Interlaken nach Bern.
Von der gescheiterten Übernahme zum Verkauf in zwei Monaten
Doch dazu kam es nicht. Die Akquise scheiterte im August dieses Jahres kurz vor der Vertragsunterzeichnung, wie ich damals erfahren habe. Und nur zwei Monate später ist es Andreas Löwinger doch noch gelungen, seinen Laden zu Geld zu machen. Mit dem Verkauf an jemand anderes: «Mit der breit aufgestellten und langfristig agierenden Chapters Group haben wir eine ideale Eigentümerin für Xplain gefunden», lässt sich Löwinger in der Mitteilung zitieren. Klingt nicht nach einem Schnellschuss, obwohl es vermutlich genau das war.
Der Verkauf sollte die Kundschaft von Xplain hellhörig machen. Zwar wird das Unternehmen offiziell vom Schweizer Zweig des Konzerns gekauft, wird laut Mitteilung eigenständig fortgeführt und die Belegschaft, inklusive der bisherigen Inhaber Löwinger und Jürg Wiedmer, bleibt an Bord. Nichtsdestotrotz besitzt neu ein deutsches Unternehmen 100 Prozent der Xplain-Aktien und ist damit Eigentümer von Softwareprodukten, die hierzulande bei Polizeien, Gerichten, Anwaltschaften und Migrationsämtern eingesetzt wird!
Sind die Anforderungen der damaligen Ausschreibungen noch erfüllt?
Ich bin sicher, dass dieser Zustand die Anforderungen vieler damaliger Ausschreibungen dieser Behörden nicht mehr erfüllt. Anbieter, die Software für solch kritische Einsatzbereiche liefern, müssen (oder sollten) normalerweise in der Schweiz verankert sein.
Doch der Standort des neuen Xplain-Besitzers ist nur ein Teil des Problems. Und ich vermute, dass dies sogar der kleinere Teil ist. Als weitaus schwerwiegender erachte ich das Geschäftsmodell der Chapters Group. Beim Konzern handelt es sich um einen börsenkotierten Finanzinvestor, der eigenen Angaben zufolge in «attraktive kleine und mittelständische Unternehmen aus verschiedenen Branchen investiert».
Was Finanzinvestoren wollen ist Rendite, Rendite, Rendite
Ziel sei es, «für unsere Investoren über Jahrzehnte hinweg einen Mehrwert zu schaffen, indem wir unseren Portfoliounternehmen eine kontinuierliche Entwicklung und ein Wachstum ermöglichen», so der Konzern auf seiner Linkedin-Seite.
Langfristiges Engagement hin oder her: Was Finanzinvestoren am meisten antreibt, ist klar: Rendite, Rendite und noch mehr Rendite. Das ist keine gute Nachricht für Xplain – und noch weniger für die Kundschaft. Was tut ein auf Rendite getrimmter Investor als erstes, wenn das Wachstum ausbleibt? Kosten senken und Investitionen herunterfahren. Zum Beispiel Investitionen in die Produktqualität, -weiterentwicklung oder die Cybersicherheit.
Vier Szenarien für die Zukunft
Was bedeutet das? Für mich sind mindestens folgende Szenarien denkbar, wobei ich eins davon für ziemlich unrealistisch halte:
- Xplain bleibt als Brand bestehen, erholt sich und legt dank nachhaltigen Investitionen des neuen Mutterhauses auch im Neukundengeschäft zu.
- Xplain bleibt als Brand bestehen, doch das Geschäft schwindet und die Softwareprodukte des Unternehmens werden nicht mehr mit der nötigen Sorgfalt weiterentwickelt.
- Der bisherige Brand verschwindet. Xplain wird mit einer anderen Tochtergesellschaft des Konzerns zusammengelegt, zum Beispiel mit Altamount Software. Dieses frisch gegründete Unternehmen hat eine ähnliche Ausrichtung wie Xplain, womit die Schweizer Software-Firma zu einer deutschen würde und somit für Schweizer Behörden als Lieferant nicht mehr in Frage kommen sollte.
- Xplain wird aufgeteilt, die Assets des Unternehmens werden einzeln an verschiedene Unternehmen oder weitere Investoren verkauft.
Ich halte die Szenarien 2 bis 4 für deutlich wahrscheinlicher als das erste. So oder so: Die Zukunft des Unternehmens und seiner Softwareprodukte und unter diesen Umständen ist unsicherer denn je. Meiner Meinung nach sollten sich alle Xplain-Kunden unter diesen Umständen nach Alternativen für die Software des Anbieters umsehen.
Gewinner dieser Transaktion sind Andreas Löwinger und die Mitbewerber von Xplain. Alle anderen haben verloren.
7 Antworten
Warum sollte ein deutscher Anbieter nicht in Frage kommen? Zb. das Datenschutzgesetz ist in Europa bereits seit Jahren strenger als in der Schweiz. Mit NIST2 hat Deutschland auch bereits schon Vorgaben welche bei uns erst eingeführt werden. Mit dem BSI besteht eine technisch Starke Behörde usw. Ich glaube nicht, dass der Standort wirklich was ausmacht, die sicheren Entwicklungsprozesse und umgesetzte und gelebte Sicherheitsstandards beim Anbieter sollten vorrangig beachtet werden. Immer im Rahmen der gesetzlichen Möglichkeiten. Aus Sicht Datenschutz gilt Deutschland zumindest als sicherer Drittstaat mit ebenbürtigem (aus meiner Sicht überlegenem) Datenschutzrecht.
„Aus Sicht Datenschutz gilt Deutschland zumindest als sicherer Drittstaat mit ebenbürtigem (aus meiner Sicht überlegenem) Datenschutzrecht.“
Da bin ich völlig einig. Im Sinne der digitalen Souveränität halte ich es aber für sinnvoller, wenn Schweizer Behörden Software von Schweizer Unternehmen einsetzen (sofern es diese gibt). Idealerweise ist die Software Open Source oder die Behörden besitzen die Rechte daran.
Danke für Ihren Kommentar!Ich empfehle auch immer Anbieter mit rechtlichem Sitz Deutschland, so gut es geht…Alleine schon der Schweizer Überwachungsgesetze wegen. Dennoch: Xplain-Software steckt in der Zollverwaltung und bei Fedpol drin, etwa beim Fernmeldeüberwachung-Ermittlungssystem. Die einzelnen Geschäfte der Strafverfolgung (also Cases) sind somit in den „Händen“ eines deutschen Unternehmens. Hier geht es um eine Souverenitätsfrage.
Selten einen so voreingenommenen und einseitigen Artikel gelesen. Welchen Wert/Nutzen hat das persönliche (unbegründete) Gefühl des „Journis“, ausser dem Unternehmen zu schaden (und eine selbsterfüllende Prophezeiung zu fördern)?
Es ist ein Meinungsbeitrag und als solcher deklariert. Der Inhalt ist aber weder unbegründet noch widerspiegelt er ein Gefühl. Ich will damit dem Unternehmen nicht schaden, sondern mögliche Risiken aufzeigen, die der Verkauf mit sich bringt.
Ich verstehe das Problem mit XPlain und dem damaligen Vorfall nur bedingt. Klar ist der Name jetzt negativ belegt.
Bei dem damaligen Vorfall lag das Hauptproblem, soweit ich es verstehe, darin, dass XPlain effektive produktive Daten zur Verfügung gestellt wurde und nicht anonymisierte bzw pseudonymisierte Daten. Oder das XPlain effektiv direkten Zugriff auf diese produktiven Daten gehabt hat und kopieren durfte. Denn der Abgriff der Daten ist ja in der Infrastruktur von XPlain passiert und nicht bei den Kunden. Korrigiert mich, aber die XPlain Software is doch kein Cloud-Service und die Daten der Kunden liegen beim Kunden und nicht bei XPlain. Oder liege ich total falsch? (von XPlain Cloud-Komponenten war jedenfalls nirgend die Rede)
Es ist korrekt, dass die Daten bei Xplain abgegriffen worden sind und dass das Hauptproblem war, dass dem Dienstleister vom Bund (und anderen Behörden) produktive Daten, zum Beispiel für Testzwecke, zur Verfügung gestellt worden sind.
Der Fehler liegt also einerseits bei den Behörden, dass diese die Daten zur Verfügung gestellt haben – und andererseits bei Xplain, dass die Daten angenommen worden und nicht sicher gespeichert worden sind.
Der Verkauf an einen Finanzinvestor verändert aber die Ausgangslage massiv, finde ich. Weil das Risiko besteht, dass die Dienstleistungen nicht mehr so zuverlässig (oder noch weniger) wie bisher zur Verfügung gestellt werden können. Hinzu kommt, dass die Souveränität der Daten (da ein ausl. Anbieter) nicht mehr gewährleistet ist.