Bei den IT-Verantwortlichen in Bundesbern liegen die Nerven blank: In der Nacht auf Mittwoch haben die Hacker im Darknet weitere Datenpakete veröffentlicht.
Sie stammen von dem Angriff auf das IT-Unternehmen Xplain, mit dem die Behörden zusammenarbeiten. Seit dem Bekanntwerden der Hackerattacke vor bald zwei Wochen liefen in der Bundesverwaltung «intensive Abklärungen zu den betroffenen Daten».
Nun ist klar: Auch Daten des Bundes wurden bei der privaten Firma von den Hackern ergattert. Und zwar handle es sich um «operative Daten verschiedener Behörden und Organisationen».
Darauf angesprochen, welche Art Daten man sich darunter konkret vorstellen muss, sagte Manuela Sonderegger, Medienverantwortliche beim Nationalen Zentrum für Cybersicherheit (NCSC), gegenüber dem Klein Report: «Um den weiteren Schritten nicht vorzugreifen oder diese zu beeinflussen, kann das NCSC keine weiteren Auskünfte geben.»
Wie diese Daten auf die Infrastruktur der Firma Xplain gelangten, wissen selbst die IT-Fachleute des Bundes nicht. Man werde dies nun «sorgfältig abklären».
«Anzeige wurde bei der Bundesanwaltschaft eingereicht. Mit diesem Vorgehen soll geklärt werden, unter welchen Umständen die Daten aus der Bundesverwaltung auf das System der Firma Xplain gelangt sind», so Manuela Sonderegger weiter.
Unklar ist ebenfalls, wie aktuell oder veraltet die entwendeten Daten sind und ob ihre Publikation im Darknet «weitreichende Auswirkungen» haben könnte. Das müsse nun im Einzelnen in den verschiedenen betroffenen Behörden und Organisationen geklärt werden.
«Erste Massnahmen wurden getroffen, um ein Sicherheitsrisiko für die Bundesverwaltung zu minimieren. Die betroffenen Stellen wurden entsprechend informiert.»
In der Nacht auf den 14. Juni 2023 wurden im Darknet weitere Datenpakete veröffentlicht. Das NCSC vermutet, dass es sich um den gesamten entwendeten Datensatz handelt. «Im Moment wird das publizierte Datenmaterial gesichert und analysiert.»
Nach wie vor gibt es keine Hinweise darauf, dass Bundessysteme direkt angegriffen wurden.
«Ein Ransomware-Angriff läuft folgendermassen ab», erinnerte Mediensprecherin Sonderegger gegenüber dem Klein Report: «Nachdem die Angreifer sich unbefugten Zugriff auf die Systeme einer Unternehmung verschafft haben, werden die Daten zuerst gestohlen, danach verschlüsselt und die Firma wird erpresst. Zahlt die betroffene Firma nicht, wird mit der Veröffentlichung der gestohlenen Daten gedroht. Tritt die Firma auf die Erpressung weiterhin nicht ein, so werden die Daten meistens schrittweise veröffentlicht, um den Druck stetig zu erhöhen.»
Kein Zusammenhang sähen die IT-Fachleute derzeit mit den jüngsten DDoS-Angriffe auf die Webseiten der Bundesverwaltung und der Parlamentsdienste. Zum Ransomware-Angriff auf Xplain hat sich die Gruppe «Play» bekannt, die sich jüngst mit der Attacke auf CH Media und NZZ einen Namen machte. Die DDoS-Angriffe dagegen reklamiert die Gruppe «NoName» für sich.
