Kriminellen Hackern ist es mutmasslich gelungen, eine Liste mit Namen von bis zu 130’000 Unternehmen zu entwenden, welche über die Plattform Easygov im Jahr 2020 einen Covid-19-Kredit beantragt hatten. Das meldet das Staatssekretariat für Wirtschaft (Seco) in Bern.
Weitere Daten ausser den Firmennamen wurden nach heutiger Erkenntnis nicht gestohlen. Das Seco als Betreiberin von Easygov hat Sofortmassnahmen ergriffen und eine Untersuchung eingeleitet.
Nicht betroffen vom Hack seien jene Firmen, welche den Kredit schon vollständig zurückbezahlt hätten, sowie alle vertraulichen Unternehmensdaten wie Bankverbindung, Iban oder Kontaktpersonen. Der Kreditbetrag als Teil der angegriffenen Datensammlung wurde von den Hackern nicht abgegriffen. Die Daten der auf Easygov registrierten Unternehmen seien ebenfalls nicht betroffen.
Gemäss Analyse des Access-Logs (Zugriffe) von Easygov wurde ein Angriff mit bis zu 544’000 Zugriffen pro Tag zwischen dem 10. und dem 22. August 2021 festgestellt. Total wurden im August 1,3 Millionen Abfragen getätigt. Dabei wurde anhand der UID-Nummern «eine automatisierte Abfrage durchgeführt, und es konnte mit hoher Wahrscheinlichkeit eine Liste der Firmen erstellt werden, die einen Covid-19-Kredit beantragt und noch nicht zurückbezahlt haben».
Gemäss Seco konnte die attackierte Webschnittstelle innerhalb von wenigen Minuten geschlossen werden. Die eingesehenen Daten wurden vom Server entfernt und der verwendete Prozess auf Easygov vollständig deaktiviert. Der betroffene Korrekturprozess von Covid-19-Kreditanträgen stand den Unternehmen im öffentlichen Bereich von Easygov ohne Login zur Verfügung. Im geschützten Bereich (d.h. mit Login) ist eine solche automatisierte Abfrage ausgeschlossen.
Das Nationale Zentrum für Cybersicherheit NCSC unterstützt und berät das Seco in diesem Fall. Die Untersuchungen werden vom Seco mit Hochdruck vorangetrieben. Weitere Sicherheitslecks sind dem Seco nicht bekannt.
Easygov wurde 2017 lanciert und ist der Onlineschalter für Unternehmen. Dank dieser Plattform können Behördengänge einfach, schnell und effizient abgewickelt werden. Die Plattform ermöglicht Unternehmen das elektronische Abwickeln von Bewilligungs-, Antrags- und Meldeverfahren an einem einzigen Ort. Easygov entlastet und spart Kosten bei den Unternehmen und bei den Behörden.
