Am 20. August berichtete watson, dass die Gemeinde Rolle VD von einem massiven Daten-Leak betroffen sei. Kriminelle hatten grosse Mengen an internen Dokumenten und vertraulichen Daten im Darknet veröffentlicht, wie unsere Recherchen zeigten. Sensible, schützenswerte Informationen über die Gemeinde und ihre Bürgerinnen und Bürger waren seit der Veröffentlichung Ende Juni im Darknet für alle interessierten Personen einsehbar und könnten zum Beispiel von anderen Kriminellen heruntergeladen worden sein, um damit personalisierte Angriffe (Spear-Phishing etc.) zu verüben.
Nachdem watson dank eigener Recherchen die Schwere des Daten-Leaks kannte, die Gemeinde-Verantwortlichen aber unter anderem auch nicht die Frage beantworten wollten, ob und wie die betroffenen Bürger gewarnt würden, entschieden wir uns, keine weiteren Details zum Leak zu nennen. Das ist nach den Berichten anderer Medien hinfällig.
Die Westschweizer Zeitung «Le Temps» bestätigte am 24. August mit eigenen Recherchen die Schwere und Besonderheit des Falles. Ein Informant und Kenner der Materie sagte:
Der Fall beschäftigte aber längst nicht mehr nur die beschauliche Gemeinde am Ufer des Genfersees, wie die NZZ am Mittwoch berichtete. Unbequeme Fragen müssen sich auch die IT-Sicherheitsexperten beim Bund stellen lassen. Sie standen angeblich den Betroffenen beratend zur Seite.
Es sei nur eine geringe Menge Daten betroffen gewesen, hiess es zunächst, was nachweislich falsch ist. Dies zeigt eine Auswertung des Leaks durch einen Darknet-Spezialisten und Informanten der Westschweizer Zeitung «Le Temps».
Zuvor hatte die Gemeindepräsidentin von Rolle VD gegenüber 24heures.ch noch behauptet, es seien «keine sensiblen Daten» gestohlen, bzw. veröffentlicht, worden. Offensichtlich eine Fehleinschätzung, wobei nicht klar ist, was in der Krisenkommunikation genau schieflief (sieh unten).
Die Fakten: Wie watson enthüllt hat, handelt es sich um einen massiven Datendiebstahl, respektive ein Darknet-Leak. Betroffen sind die Gemeindeverwaltung, Politik und alle Bürgerinnen und Bürger des Städtchens am Genfersee.
Die Gemeindepräsidentin wollte konkrete Fragen von watson zum Angriff nicht beantworten, später verwies sie lediglich auf ein dürres Statement, in dem die Verantwortlichen die Schwere des Datendiebstahls zu relativieren versuchten.
In der am Samstag, 21. August, von der Gemeinde veröffentlichten Stellungnahme hiess es, man habe auf Rat der Informatiker des Bundes entschieden, nicht auf Forderungen (der Erpresserbande Vice Society) einzugehen und auch nicht öffentlich über den Fall zu informieren. Und: Man habe sich an die geltenden Sicherheitsbestimmungen gehalten.
Als der Journalist von «Le Temps» nachhakte und die Gemeindepräsidentin auf das gravierende Darknet-Leak hinwies, änderte diese ihre Verteidigungsstrategie und sagte, sie wisse nichts über das Ausmass des Hackerangriffs.
Die widersprüchlichen Angaben und das anfängliche Schweigen nach der Attacke lassen vermuten, dass die Direktbetroffenen die Situation massiv unterschätzten. Aber warum?
Das Nationale Zentrum für Cybersicherheit (NCSC), das Kompetenzzentrum des Bundes, war gemäss NZZ-Bericht schon im Juni von den Betroffenen eingeschaltet worden. Auf Anfrage hiess es da, dass man seit Juni mit den Behörden von Rolle in Kontakt sei. Man habe diese «direkt unterstützt und Empfehlungen abgegeben». Was diese beinhalten, gebe das NCSC aus Gründen der Vertraulichkeit nicht bekannt.
watson hat beim NCSC nachgefragt.
Die Medienverantwortliche Gisela Kipfer betont, das NCSC habe klare Empfehlungen, was nach einem (festgestellten) Datenabfluss zu tun sei, und sie verweist auf eine Webseite des Cybersecurity-Zentrums mit entsprechenden Tipps.
Die NCSC-Sprecherin sagt:
Die Entscheidung, ob ein Opfer eines Cyberangriffs an die breite Öffentlichkeit treten wolle, liege in dessen Kompetenz, betont Gisela Kipfer. Das geplante Vorgehen müsse jedoch vorgängig im Krisenkommunikationskonzept festgehalten werden, damit dieses im Krisenfall verfügbar sei und danach gehandelt werden könne.
Im online zugänglichen Ratgeber der Sicherheitsexperten des NCSC, der sich an die Opfer einer Ransomware-Attacke richtet, heisst es bezüglich Kommunikation:
Welche Rolle die Waadtländer Kantonspolizei bei der Bewältigung der Ransomware-Attacke spielte, ist nicht bekannt. watson hat nachgefragt. Eine Antwort steht aus.
Ob die Behörden von Rolle die Einwohnerinnen und Einwohner persönlich über den Angriff informieren werden und allfällige Sicherheitsvorkehrungen empfehlen, bleibe vorderhand offen, schrieb die NZZ am Mittwoch. Die Verwaltung verweise auf die Gemeindepräsidentin, die ihrerseits nicht auf Anfragen reagiere. Die Exekutive gebe aber bekannt, dass sie eine Strafanzeige eingereicht habe.
watson hat auch hier nachgefragt.
26. August, 10.55 Uhr: Die Stadtverwaltung von Rolle hat watson eine 2-seitige Medienmitteilung zugestellt. Darin entschuldigen sich die Verantwortlichen für Versäumnisse:
Ausserdem werden der Bevölkerung weitreichende Massnahmen in Aussicht gestellt:
Weiter wird in der Medienmitteilung auf die Chronologie der Ransomware-Attacke eingegangen und versucht, die oben erwähnten kommunikativen Versäumnisse zu erklären.
Der Schaden lässt sich nicht beziffern.
Sicher ist: Die Bürgerinnen und Bürger von Rolle müssen ab sofort noch vorsichtiger sein bei der Computernutzung. Ihnen drohen massgeschneiderte Phishing-Attacken (sogenanntes Spear-Phishing), aber auch Identitätsdiebstahl.
Der massive Hackerangriff auf Rolle VD habe die Behörden in der ganzen Westschweiz alarmiert, schreibt «Le Temps.» Die Erkenntnis ist nicht neu: Es kann jeden treffen.
Einige Verantwortliche in der Politik waren wohl noch längere Zeit davon ausgegangen, dass kleine und mittlere Kommunen kein lohnendes Ziel sein würden für Hacker. Das hat sich spätestens mit den grossangelegten Phishing-Attacken von Ransomware-Gruppierungen wie Vice Society geändert. Die Banden nehmen alle möglichen Ziele ins Visier.
Und hier kommt einmal mehr der Föderalismus zum Tragen: Die IT-Ausrüstung der Gemeindeverwaltungen – und damit auch die Datensicherheit der Bürgerinnen und Bürger – liegt in der Verantwortung der einzelnen Gemeinden.
Im Verband der Waadtländer Gemeinden (UCV) werden die Mitglieder nun «auf die Notwendigkeit aufmerksam gemacht, ihr Schutzniveau zu erhöhen», erklärte die Präsidentin Claudine Wyssa gegenüber «Le Temps».
In einigen Kantonen laufen Bestrebungen, die kommunalen Online-Dienste noch häufiger über speziell abgesicherte kantonale Plattformen abzuwickeln. Hier kann die Datensicherheit erhöht werden – doch gleichzeitig steigt aus Angreifer-Perspektive natürlich die Attraktivität solcher Ziele.
Die Folgen werden uns noch Jahre lange verfolgen.
Es gibt keine rechtliche Vorgabe, wie Datenpannen kommuniziert werden müssen, der EU-Raum hat diese.
Es wird zunehmend schwierig, gute Leute zu finden, welche sich für politische Ämter zur Verfügung stellen. Personen ohne die nötigen Kompetenzen finden sich in Positionen mit Verantwortung.
Das Mantra des: "der Staat muss sparen" führt insbesondere bei Kaderstellen zu immer weniger attraktiven Arbeitsbedingungen. Gemeinden finden kaum qualifiziertes Personal für wichtige Positionen. Extrem ist es in der IT. Mit den Löhnen sind kaum gute Fachpersonen zu finden, wenn dann ist die Stelle ein Sprungbrett, 2-3 Jahre und fähige IT-Profis sind weg (abgeworben)