DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Die Waadtländer Gemeinde Rolle hat mit den Folgen eines massiven Datendiebstahls zu kämpfen. Nun stellen die Verantwortlichen weitreichende Massnahmen in Aussicht.
Die Waadtländer Gemeinde Rolle hat mit den Folgen eines massiven Datendiebstahls zu kämpfen. Nun stellen die Verantwortlichen weitreichende Massnahmen in Aussicht.Bild: watson/Keystone
Analyse

Von watson enthüllter Ransomware-Angriff auf Gemeinde am Genfersee hat böse Folgen

Nach dem Hackerangriff auf die Stadtverwaltung von Rolle VD kommen immer mehr beunruhigende Details ans Licht. Dabei rückt vor allem auch die fragwürdige Krisenkommunikation ins Zentrum.
26.08.2021, 09:0005.11.2021, 09:30

Am 20. August berichtete watson, dass die Gemeinde Rolle VD von einem massiven Daten-Leak betroffen sei. Kriminelle hatten grosse Mengen an internen Dokumenten und vertraulichen Daten im Darknet veröffentlicht, wie unsere Recherchen zeigten. Sensible, schützenswerte Informationen über die Gemeinde und ihre Bürgerinnen und Bürger waren seit der Veröffentlichung Ende Juni im Darknet für alle interessierten Personen einsehbar und könnten zum Beispiel von anderen Kriminellen heruntergeladen worden sein, um damit personalisierte Angriffe (Spear-Phishing etc.) zu verüben.

Nachdem watson dank eigener Recherchen die Schwere des Daten-Leaks kannte, die Gemeinde-Verantwortlichen aber unter anderem auch nicht die Frage beantworten wollten, ob und wie die betroffenen Bürger gewarnt würden, entschieden wir uns, keine weiteren Details zum Leak zu nennen. Das ist nach den Berichten anderer Medien hinfällig.

Die Westschweizer Zeitung «Le Temps» bestätigte am 24. August mit eigenen Recherchen die Schwere und Besonderheit des Falles. Ein Informant und Kenner der Materie sagte:

«Ich verstehe nicht, warum die Stadtverwaltung die Einwohner nicht auf das Ausmass dieses Hackerangriffs aufmerksam gemacht hat.

Sie brauchen nur ein wenig Computerkenntnisse, um auf diese Informationen zuzugreifen. Sie sind persönlich und ausserordentlich sensibel.»
quelle: letemps.ch

Der Fall beschäftigte aber längst nicht mehr nur die beschauliche Gemeinde am Ufer des Genfersees, wie die NZZ am Mittwoch berichtete. Unbequeme Fragen müssen sich auch die IT-Sicherheitsexperten beim Bund stellen lassen. Sie standen angeblich den Betroffenen beratend zur Seite.

Das Daten-Leak ist so schlimm wie berichtet

Es sei nur eine geringe Menge Daten betroffen gewesen, hiess es zunächst, was nachweislich falsch ist. Dies zeigt eine Auswertung des Leaks durch einen Darknet-Spezialisten und Informanten der Westschweizer Zeitung «Le Temps».

Zuvor hatte die Gemeindepräsidentin von Rolle VD gegenüber 24heures.ch noch behauptet, es seien «keine sensiblen Daten» gestohlen, bzw. veröffentlicht, worden. Offensichtlich eine Fehleinschätzung, wobei nicht klar ist, was in der Krisenkommunikation genau schieflief (sieh unten).

Die Fakten: Wie watson enthüllt hat, handelt es sich um einen massiven Datendiebstahl, respektive ein Darknet-Leak. Betroffen sind die Gemeindeverwaltung, Politik und alle Bürgerinnen und Bürger des Städtchens am Genfersee.

  • Gemäss NZZ findet man «etwa persönliche Daten zu den gut 6200 Einwohnern – neben Namen und Vornamen auch ihre AHV-Nummern, Adressen, Geburtstage, Zivilstandsangaben und manchmal Handy-Nummern oder sogar Angaben zur religiösen Zugehörigkeit. Bei Ausländern ist der Aufenthaltsstatus veröffentlicht.»
  • Auch die Schülerinnen und Schüler seien nicht verschont geblieben, konstatiert die NZZ. So gebe es zum Beispiel «Zeugnisse mit Schulnoten oder Informationen von Kindern, die sich mit dem Coronavirus infiziert hatten. Von den Gemeindeangestellten sind die Jahresbeurteilungen mitsamt Kommentaren ersichtlich».
  • Auf weiteren Dokumenten figurieren gemäss NZZ die Bankangaben der Gemeinde sowie die Unterschriften des Kaderpersonals – was Betrüger auf den Plan rufen könnte. Nicht zuletzt könne auch nachgelesen werden, «dass sich die Behörden mit einer grossen Immobilienfirma in den Haaren liegen und dass eine multinationale Firma eine massive Steuererleichterung über zehn Jahre fordert.»

Die Gemeinde versagte komplett bei der Krisenkommunikation

Die Gemeindepräsidentin wollte konkrete Fragen von watson zum Angriff nicht beantworten, später verwies sie lediglich auf ein dürres Statement, in dem die Verantwortlichen die Schwere des Datendiebstahls zu relativieren versuchten.

screenshot: watson

In der am Samstag, 21. August, von der Gemeinde veröffentlichten Stellungnahme hiess es, man habe auf Rat der Informatiker des Bundes entschieden, nicht auf Forderungen (der Erpresserbande Vice Society) einzugehen und auch nicht öffentlich über den Fall zu informieren. Und: Man habe sich an die geltenden Sicherheitsbestimmungen gehalten.

Als der Journalist von «Le Temps» nachhakte und die Gemeindepräsidentin auf das gravierende Darknet-Leak hinwies, änderte diese ihre Verteidigungsstrategie und sagte, sie wisse nichts über das Ausmass des Hackerangriffs.

«Uns wurde gesagt, dass nur die Postfächer gehackt worden seien. Wir werden uns sofort wieder mit den eidgenössischen und kantonalen Behörden in Verbindung setzen, um eine Bestandsaufnahme zu machen.»
Monique Choulat Pugnale, Gemeindepräsidentinquelle: letemps.ch

Die widersprüchlichen Angaben und das anfängliche Schweigen nach der Attacke lassen vermuten, dass die Direktbetroffenen die Situation massiv unterschätzten. Aber warum?

Wie es zum Totalversagen bei der Krisenkommunikation kam, ist nicht öffentlich bekannt.

Das Nationale Zentrum für Cybersicherheit (NCSC), das Kompetenzzentrum des Bundes, war gemäss NZZ-Bericht schon im Juni von den Betroffenen eingeschaltet worden. Auf Anfrage hiess es da, dass man seit Juni mit den Behörden von Rolle in Kontakt sei. Man habe diese «direkt unterstützt und Empfehlungen abgegeben». Was diese beinhalten, gebe das NCSC aus Gründen der Vertraulichkeit nicht bekannt.

watson hat beim NCSC nachgefragt.

Was rät der Bund?

Die Medienverantwortliche Gisela Kipfer betont, das NCSC habe klare Empfehlungen, was nach einem (festgestellten) Datenabfluss zu tun sei, und sie verweist auf eine Webseite des Cybersecurity-Zentrums mit entsprechenden Tipps.

Die NCSC-Sprecherin sagt:

«Was die Kommunikation angeht, empfiehlt das NCSC, offen, transparent und ehrlich zu sein und die Fakten zu kommunizieren. Dadurch können weitere Unternehmen vor diesen Angriffen gewarnt werden. Das NCSC rät vor allem aber dazu, betroffene Kunden, Partner und Mitarbeitende proaktiv zu informieren, damit diese die Möglichkeit haben, geeignete Massnahmen zu treffen.»

Die Entscheidung, ob ein Opfer eines Cyberangriffs an die breite Öffentlichkeit treten wolle, liege in dessen Kompetenz, betont Gisela Kipfer. Das geplante Vorgehen müsse jedoch vorgängig im Krisenkommunikationskonzept festgehalten werden, damit dieses im Krisenfall verfügbar sei und danach gehandelt werden könne.

Was sagt die Polizei?

Im online zugänglichen Ratgeber der Sicherheitsexperten des NCSC, der sich an die Opfer einer Ransomware-Attacke richtet, heisst es bezüglich Kommunikation:

«Die Polizei berät Sie bezüglich weiterem Vorgehen insbesondere in Bezug auf die Kommunikation mit der Täterschaft und das Verhalten dieser gegenüber.»
quelle: ncsc.admin.ch

Welche Rolle die Waadtländer Kantonspolizei bei der Bewältigung der Ransomware-Attacke spielte, ist nicht bekannt. watson hat nachgefragt. Eine Antwort steht aus.

Ob die Behörden von Rolle die Einwohnerinnen und Einwohner persönlich über den Angriff informieren werden und allfällige Sicherheitsvorkehrungen empfehlen, bleibe vorderhand offen, schrieb die NZZ am Mittwoch. Die Verwaltung verweise auf die Gemeindepräsidentin, die ihrerseits nicht auf Anfragen reagiere. Die Exekutive gebe aber bekannt, dass sie eine Strafanzeige eingereicht habe.

watson hat auch hier nachgefragt.

Update: Gemeinde kündigt weitreichende Massnahmen an

26. August, 10.55 Uhr: Die Stadtverwaltung von Rolle hat watson eine 2-seitige Medienmitteilung zugestellt. Darin entschuldigen sich die Verantwortlichen für Versäumnisse:

«Die Stadtverwaltung von Rolle hat heute die Konsequenzen aus der Ransomware-Cyberattacke gezogen, der sie am 29. Mai zum Opfer fiel. Sie bedauert, die Schwere des Angriffs, die mögliche Verwendung der Daten und die Bedeutung der Transparenz für die Bevölkerung von Rolle unterschätzt zu haben. Sie räumt bescheiden eine gewisse Naivität angesichts der Herausforderungen ein, die das Dark Web und der Umgang mit böswilligen Piraterieakten mit sich bringen.»

Ausserdem werden der Bevölkerung weitreichende Massnahmen in Aussicht gestellt:

  • «Die Einsetzung einer Arbeitsgruppe, die sich mit der sorgfältigen Überwachung dieses Dossiers befasst und sich aus Vertretern der Gemeinde, des Kantons Waadt und der Eidgenossenschaft sowie aus Informatikern» zusammensetze.
  • «Die Einrichtung einer der Taskforce nahestehenden und für alle zugänglichen Helpline für die Dauer von einem Jahr.»
  • Ein «Präventionsprogramm zur Bekämpfung von Internetkriminalität» für die eigenen Mitarbeiterinnen und Mitarbeiter und «die Aktualisierung unserer IT-Charta».
  • «Informations- und Unterstützungsveranstaltungen für die Bevölkerung.»
  • «Ein persönliches Schreiben an unsere Bürger mit Erläuterungen zur Situation und praktischen Informationen.»
  • «Regelmässige Audits der Cybersicherheit (zusätzlich zu allen Massnahmen, die wir zur Sicherung und Wiederherstellung unserer Systeme ergreifen)».

Weiter wird in der Medienmitteilung auf die Chronologie der Ransomware-Attacke eingegangen und versucht, die oben erwähnten kommunikativen Versäumnisse zu erklären.

  • Am 14. Juni sei «eine Strafanzeige gegen X» eingereicht worden. Und: «Das Problem schien gelöst zu sein.»
  • «In Ermangelung präziser Informationen und um die Anfälligkeit der Gemeinde nicht zu erhöhen», sei «auf Anraten von Cybersicherheitsexperten keine Mitteilung an die breite Öffentlichkeit »gemacht worden.
  • Am 24. Juni informierte eine von der Gemeinde beauftragte Spezialfirma die Verwaltung darüber, dass die während des Cyberangriffs exfiltrierten Daten im Dark Web aufgetaucht seien.
  • Die Verwaltung habe von der Art der gestohlenen Dokumente erfahren – «hauptsächlich E-Mails und nicht identifizierte Dokumente» – und die Polizei informiert, um zu bestimmen, ob es sich um sensitive Daten handelt.
  • Da «keine deutliche Warnung erging», seien auch keine Sofortmassnahmen ergriffen worden.
  • Anfang Juli habe die Verwaltung alle von den gehackten E-Mails betroffenen Mitarbeitenden gewarnt, «um sie zu sensibilisieren und zur Vorsicht aufzurufen».

Die Folgen sind noch nicht absehbar – aber potenziell verheerend

Der Schaden lässt sich nicht beziffern.

Sicher ist: Die Bürgerinnen und Bürger von Rolle müssen ab sofort noch vorsichtiger sein bei der Computernutzung. Ihnen drohen massgeschneiderte Phishing-Attacken (sogenanntes Spear-Phishing), aber auch Identitätsdiebstahl.

Der massive Hackerangriff auf Rolle VD habe die Behörden in der ganzen Westschweiz alarmiert, schreibt «Le Temps.» Die Erkenntnis ist nicht neu: Es kann jeden treffen.

Einige Verantwortliche in der Politik waren wohl noch längere Zeit davon ausgegangen, dass kleine und mittlere Kommunen kein lohnendes Ziel sein würden für Hacker. Das hat sich spätestens mit den grossangelegten Phishing-Attacken von Ransomware-Gruppierungen wie Vice Society geändert. Die Banden nehmen alle möglichen Ziele ins Visier.

Und hier kommt einmal mehr der Föderalismus zum Tragen: Die IT-Ausrüstung der Gemeindeverwaltungen – und damit auch die Datensicherheit der Bürgerinnen und Bürger – liegt in der Verantwortung der einzelnen Gemeinden.

Im Verband der Waadtländer Gemeinden (UCV) werden die Mitglieder nun «auf die Notwendigkeit aufmerksam gemacht, ihr Schutzniveau zu erhöhen», erklärte die Präsidentin Claudine Wyssa gegenüber «Le Temps».

«Es ist ein erhebliches Risiko, die Folgen können katastrophal sein.»

In einigen Kantonen laufen Bestrebungen, die kommunalen Online-Dienste noch häufiger über speziell abgesicherte kantonale Plattformen abzuwickeln. Hier kann die Datensicherheit erhöht werden – doch gleichzeitig steigt aus Angreifer-Perspektive natürlich die Attraktivität solcher Ziele.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Wenn Google Schweizer Memes vorliest ...

Video: watson

Abonniere unseren Newsletter

65 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
ingmarbergman
26.08.2021 09:15registriert August 2017
Was haben wir gelacht als Merkel meinte, das Internet sei für viele Neuland. Nie war eine Aussage wahrer... noch schlimmer. Es fehlt oft an ganz grundlegenden IT-Kenntnissen.
Die Folgen werden uns noch Jahre lange verfolgen.
1734
Melden
Zum Kommentar
avatar
Cornholio99
26.08.2021 09:28registriert Juli 2018
Das neueste Paradebeispiel, warum Datenschutz in der Schweiz schlecht ist.
Es gibt keine rechtliche Vorgabe, wie Datenpannen kommuniziert werden müssen, der EU-Raum hat diese.
1226
Melden
Zum Kommentar
avatar
Ritiker K.
26.08.2021 09:46registriert Mai 2018
Grundlegendes Problem vieler Gemeinden:

Es wird zunehmend schwierig, gute Leute zu finden, welche sich für politische Ämter zur Verfügung stellen. Personen ohne die nötigen Kompetenzen finden sich in Positionen mit Verantwortung.
Das Mantra des: "der Staat muss sparen" führt insbesondere bei Kaderstellen zu immer weniger attraktiven Arbeitsbedingungen. Gemeinden finden kaum qualifiziertes Personal für wichtige Positionen. Extrem ist es in der IT. Mit den Löhnen sind kaum gute Fachpersonen zu finden, wenn dann ist die Stelle ein Sprungbrett, 2-3 Jahre und fähige IT-Profis sind weg (abgeworben)
967
Melden
Zum Kommentar
65
Huawei könnte die Kommunikation der US-Atomstreitkräfte aushorchen – und sogar stören

Huawei und die USA – es ist keine harmonische Geschichte. Spätestens seit 2017 ein heftiger Handelskrieg zwischen den USA und China – den beiden grössten Wirtschaftsmächten der Erde – ausbrach, ist das Verhältnis zwischen amerikanischen Regierungsbehörden und dem chinesischen Technologiekonzern höchst problematisch, um es milde auszudrücken. Im Mai 2019 setzte der damalige Präsident Donald Trump Huawei sogar auf eine schwarze Liste.

Zur Story