DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Nicht nur am Genfersee herrscht nach der Ransomware-Attacke auf die Gemeinde Rolle VD Grund zur Besorgnis. Die Angreifer haben im Darknet auch Login-Daten veröffentlicht, die Dritten Zugriff auf andere Plattformen ermöglichten.
Nicht nur am Genfersee herrscht nach der Ransomware-Attacke auf die Gemeinde Rolle VD Grund zur Besorgnis. Die Angreifer haben im Darknet auch Login-Daten veröffentlicht, die Dritten Zugriff auf andere Plattformen ermöglichten.
Bild: sda

Vom Darknet-Leak zum Daten-GAU? Cyberangriff auf Gemeinde entpuppt sich als noch schlimmer

Die von Unbekannten gehackte Gemeinde Rolle VD will nach dem massiven Daten-Leak auf schonungslose Transparenz setzen. Doch werfen weiterführende Recherchen neue Fragen auf.
30.08.2021, 15:4131.08.2021, 12:42

Rolle VD bleibt nichts erspart: Nachdem watson einen massiven Datendiebstahl und die anschliessende Veröffentlichung vertraulicher Dokumente im Darknet enthüllt hatte, wartete am Montag die Westschweizer Zeitung «Le Temps» mit beunruhigenden neuen Details auf.

Die Befürchtungen bestätigen sich: Die von den unbekannten Kriminellen zugänglich gemachten Outlook-Postfächer der Gemeinde enthalten E-Mails von Mitarbeitenden mitsamt Anhängen (Attachments), die besser nicht in falsche Hände gefallen wären. Und offensichtlich haben die Verantwortlichen die Risiken, die vom Leak ausgehen, stark unterschätzt.

Warum droht ein Daten-GAU?

«Le Temps» beruft sich auf einen nicht namentlich genannten Darknet-Spezialisten, der das Darknet-Leak im Detail untersucht hat. Dieser Cybersecurity-Experten hat die frei zugänglichen Datensätze durchforstet und sei dabei auf noch mehr heikles Material gestossen.

  • Es seien die Daten mehrerer Kredit- und Debitkarten von Einwohnern enthalten, fasst inside-it.ch zusammen.
  • Weiter seien Bankdaten und Fotos von Ausweispapieren in den Postfächern entdeckt worden. «Diese hatten Bürgerinnen und Bürger an die Gemeindeverwaltung gemailt, um Dienstleistungen in Anspruch zu nehmen.»
  • Bei der Analyse des Inhalts der Nachrichten stiess der Cybersecurity-Fachmann zudem «auf E-Mails mit Links, Benutzernamen und Passwörtern, um auf andere externe offizielle Websites zuzugreifen».
  • Über diese Login-Daten seien Informationen in Datenbanken abrufbar, die ohne diesen privilegierten Zugang für die breite Öffentlichkeit nicht zugänglich sind.

Gemäss Bericht ermöglichen die Informationen den Zugriff auf mindestens zwei Online-Datenbanken externer Behörden. Das eine sei eine sicherheitsbezogene Website, und die andere sei eine allgemeinere Datenbank. Die Logins seien noch aktiv, heisst es in dem Bericht vom Montag.

Es handelt sich gemäss «Le Temps» um Schweizer Plattformen und beide gehörten der öffentlichen Hand. Und: «Wir werden hier keine weiteren Details zu diesen Seiten geben, um es Hackern nicht einfacher zu machen.»

Das Ausmass des Schadens lässt sich auch weiterhin nicht abschätzen. Vielmehr könnten wegen des Darknet-Leaks andere Organisationen und Personen betroffen sein.

«Bei diesen Zugriffen kann man sich im schlimmsten Fall vorstellen, dass Datenbanken verändert oder andere Angriffe durchgeführt werden können.»
quelle: letemps.ch

«Le Temps» schreibt: «Es ist möglich, dass unter den in das Darknet hochgeladenen Daten Informationen enthalten sind, die den Zugriff auf andere Informationen und Websites ermöglichen, als die vom Experten identifizierten.»

Was lief nach Bekannwerden des Leaks falsch?

Die jüngsten Enthüllungen lassen vermuten, dass die Verantwortlichen trotz des Beizugs externer Fachleute nicht in der Lage waren, alle Betroffenen in nützlicher Frist zu informieren und sie zeitnah vor allfälligen Hackerangriffen und Betrugsversuchen zu warnen.

Der von «Le Temps» beigezogene Darknet-Kenner, der die geleakten Dokumente untersucht hat, meinte kritisch:

«Die Cybersecurity-Experten, die der Stadt helfen, sollten sofort alle E-Mails scannen, solche mit diesen Zugriffen aufspüren und dafür sorgen, dass diese Zugriffe sofort gesperrt werden.»

Doch hatten es die Verantwortlichen gemäss Bericht nicht sehr eilig, das ganze Ausmass zu klären. Er habe festgestellt, dass einige der Dokumente im Darknet immer noch nicht geöffnet worden waren, wird der Experte zitiert.

«Dies zeigt, dass die Behörden und Sicherheitsdienste nicht neugierig genug waren, deren Inhalte zu erkennen und dann die von diesen Informationen betroffenen Personen zu alarmieren.»

Die Verantwortlichen von Rolle VD habe sich auf Anfrage noch nicht zu den neuen Enthüllungen geäussert.

Zuvor hatte die Stadtverwaltung am Sonntag, 29. August, mit einer weiteren, relativ ausführlichen Medienmitteilung über den Stand der Arbeiten informiert, der Taskforce, die zur Bewältigung des Cyberangriffs eingesetzt wurde.

In der am Sonntagabend verschickten Mitteilung heisst es, es würden nun «zunächst die gestohlenen Daten analysiert», um die betroffenen Bürgerinnen und Bürger persönlich informieren zu können. Dies solle «mit Hilfe des Security Operations Centre (SOC) des Kantons Waadt» und von nicht namentlich genannten «Cybersecurity-Experten» geschehen. Ein zeitlicher Rahmen wird in der Mitteilung nicht genannt.

Die beigezogenen Experten hätten «alle bisher entdeckten Daten aus dem Darknet gesammelt». In einer ersten Analysephase sei die Art der verfügbaren Daten ermittelt worden («E-Mail, Dokumentenformate, Vorhandensein von Links usw.»). Nach bisherigen Schätzungen handle es sich um ca. 32 Gigabyte (GB) – rund 1,6 Prozent des gesamten Datenbestands der Stadtverwaltung, darunter 64 E-Mail-Postfächer.

Die zweite Ebene der Analyse, die mit Hilfe des Kantons Waadt durchgeführt werde, «soll es ermöglichen, die Daten nach ihrem Sensibilitätsgrad zu indexieren, um die direkt betroffenen Einwohner oder Einrichtungen zu bestimmen und ihnen die gefährdeten Informationen mitzuteilen.»

«Diese Arbeit ist kompliziert, weil nicht nur die Datenmenge, sondern auch das Format der Daten sehr heterogen ist und viel manuelle Arbeit für die einzelnen Daten erfordert. Trotz der bereitgestellten Mittel ist es daher nicht möglich, heute zu sagen, wann die Ergebnisse dieser Arbeit vorliegen werden.»
quelle: medienmitteilung von rolle, 29. august 2021

Weiter weisen die Verantwortlichen auf eine bekannte Charakteristik des Tor-Netzwerks (Darknet) hin: Es sei «leider unmöglich», die im Darknet hinterlegten Daten zu löschen oder den Zugang zu ihnen zu verhindern, «da das Darknet genau zu dem Zweck geschaffen wurde, den Standort der Server, auf denen die Daten hinterlegt wurden, nicht zu ermitteln.»

In ihrer Mitteilung vom Sonntag räumen die Verantwortlichen selbstkritisch ein, das Risiko unterschätzt zu haben.

«In Ermangelung eines Aktionsprotokolls oder von Ad-hoc-Instrumenten in den Waadtländer Gemeinden und aufgrund mangelnder Erfahrung wurde das Risiko unterschätzt, das mit nicht identifizierten Dokumenten verbunden ist, die im Darknet abgelegt werden könnten.

Die vollständige und schnelle Wiederherstellung unserer Systeme ohne Gefährdung durch Hacker trug zu dem Gefühl bei, dass das Problem gelöst war und keine Notfallmassnahmen ergriffen wurden.»

Wie gehts weiter?

In den kommenden Tagen müssen sich die Verantwortlichen zu Wort melden, um zu erklären, wie sie die Bevölkerung nach diesen neuerlichen Enthüllungen informieren wollen, hält «Le Temps» fest.

Dies sei nicht von vornherein die Aufgabe des National Center for Cybersecurity (NCSC). Das NCSC habe kein Ermittlungsmandat und suche nicht nach Datenschutzverletzungen im Darknet, wird ein Sprecher zitiert.

Wichtig sei, dass diesem Fall schnell nachgegangen werde und eine Klärung der Verantwortlichkeiten stattfinde.

Einmal mehr gilt es den allgemeinen Rat der Cybersecurity-Spezialisten des Bundes in Erinnerung zu rufen:

«Was die Kommunikation angeht, empfiehlt das NCSC, offen, transparent und ehrlich zu sein und die Fakten zu kommunizieren. Dadurch können weitere Unternehmen vor diesen Angriffen gewarnt werden. Das NCSC rät vor allem aber dazu, betroffene Kunden, Partner und Mitarbeitende proaktiv zu informieren, damit diese die Möglichkeit haben, geeignete Massnahmen zu treffen.»
Gisela Kipfer, Medienverantwortliche

In der jüngsten Medienmitteilung ruft die Gemeinde die Bevölkerung auf, gegenüber Betrugsversuchen, vor allem per Mail oder Telefon, «äusserst wachsam» zu sein.

Man solle keine unüberlegten Klicks auf Links oder zweifelhafte Attachments tätigen und Dritten keine Informationen wie Passwörter oder Kreditkartendaten preisgeben.

Im Auftrag der Gemeinde befragte Experten seien der Ansicht, «dass solche Datendiebstähle selten zu direkten Risiken führen». Sie stellten jedoch «ein Potenzial für böswillige Personen dar, insbesondere in Form von versuchtem Betrug und Identitätsdiebstahl. Die Stadtverwaltung werde alle erforderlichen rechtlichen Schritte unternehmen, um eine rechtswidrige oder schädliche Datenverarbeitung zu unterbinden.»

Was bislang passiert ist

  • 30. Mai 2021: In der Nacht von Samstag auf Sonntag dringen unbekannte Kriminelle in ein geschütztes Computersystem der Gemeinde Rolle VD ein. Die Sicherheitsvorkehrungen seien vom eigenen IT-Dienstleiter als ausreichend bezeichnet worden, teilt die Gemeinde später mit.
  • 14. Juni: Die Gemeine Rolle reicht gut zwei Wochen nach der Ransomware-Attacke Anzeige gegen unbekannt ein, wie die Verantwortlichen später bekannt geben.
  • 24. Juni: GovCERT informiert die Stadtverwaltung von Rolle per E-Mail, dass die während des Cyberangriffs exfiltrierten Dokumente im Darknet aufgetaucht seien. Dies geht aus einer Medienmitteilung vom 26. August hervor.
  • 24. Juni: Die Gemeinde-Verantwortlichen setzen sich mit der Waadtländer Kantonspolizei und dem kantonalen Datenschützer in Verbindung, um das Vorgehen zu besprechen. Alle von den E-Mail-Hacks betroffenen Mitarbeiter seien gebeten worden, ihre Passwörter zu überprüfen und zu ändern.
  • 20. August: watson macht den Hackerangriff publik und enthüllt, dass die Gemeinde und die gut 6200 Einwohner von einem massiven Darknet-Leak betroffen sind. Dutzende Gigabyte an vertraulichen Dokumenten, darunter viele Outlook-Postfächer, sind für Dritte frei verfügbar. Die Verantwortlichen verweigern zunächst eine Stellungnahme und antworten nicht auf konkrete Fragen.
  • 24. August: Auf dem watson-Bericht basierende Recherchen der Westschweizer Zeitung «Le Temps» bestätigen, dass es sich um ein massives Daten-Leak handelt.
  • 26. August: Die Gemeinde kommuniziert per Medienmitteilung die Einsetzung einer Taskforce. Diese bestehe aus «dem Stadtrat in corpore, dem Leiter des Informatik- und Finanzdepartements, dem Gemeindesekretär, dem Direktor für digitale Sicherheit des Waadtlandes und einem Kommunikationsspezialisten».
  • 30. August: «Le Temps» enthüllt, dass die im Darknet veröffentlichten Dateien unter anderem Login-Daten für zwei Schweizer Behörden-Plattformen enthalten. Ob Kriminelle darauf zugreifen konnten, ist nicht bekannt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russland begeht grossflächige Cyberattacke

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Anonymous versetzt Corona-Leugner Attila Hildmann den finalen Schlag

Das Hackerkollektiv Anonymous will bei einem Angriff auf den Corona-Leugner über 100'000 E-Mails und Kontakte erbeutet haben. Darunter sollen Daten von Geschäftspartnern, Mitstreitern und sogar Dominas sein. Anonymous kündigt den Hack als das «Finale Kapitel» im Kampf gegen Hildmann an.

Egal ob man am Montagmorgen die Seite attilahildmann.de, attila-hildmann.de, whattheyhide.org oder eine weitere der knapp zwei Dutzend Websites besuchte, die vom Corona-Leugner und antisemitischen Hetzer Attila Hildmann betrieben werden, das Bild war immer dasselbe: Statt der Seite sahen die Besucher das Logo von Anonymous sowie ein Video mit einem programmatischen Bekenner-Text.

Darin erklären die Verfasser, dass Hildmann ihnen unfreiwillig Zugang zu seinen Telegram-Kanälen und Gruppen, …

Artikel lesen
Link zum Artikel