Bisher war unbekannt, was für Daten die Hacker durch den Angriff auf die Basler Softwarefirma Concevis erbeutet haben. Nun sollen Recherchen von Tamedia zeigen: Die Hacker erbeuteten möglicherweise sensible Personendaten.
Ein Insider, der nicht mit Namen in die Öffentlichkeit treten will, stiess laut Bericht darauf und teilte Auszüge davon mit Journalisten. Sie zeigen angeblich hochsensible Informationen von US-Kunden bei Schweizer Banken. Dazu gehörten deren Name, Wohnsitzland, Pass- und Kontonummer.
Concevis soll für sieben Stellen beim Bund tätig gewesen sein, ausserdem für mehr als ein Dutzend Kantone und Gemeinden, ebenso für viele Banken und Versicherungen sowie zahlreiche private Unternehmen, darunter eine Klinik.
Zu den Bundesstellen gehörten das Verteidigungsdepartement und die Eidgenössische Steuerverwaltung (ESTV). Von der Steuerverwaltung sind nun offenbar erste Fragmente aus dem Datenklau im Darknet aufgetaucht. Die Authentizität der darin abgebildeten Informationen lasse sich nicht überprüfen. Doch sie passten zum Profil von Concevis und ihren Arbeiten für die Eidgenössische Steuerverwaltung.
Auf den einschlägigen Leak-Seiten im Darknet, die von Ransomware-Banden betrieben werden, ist bislang kein Posting aufgetaucht. Deshalb ist öffentlich nicht bekannt, wer hinter der potenziell verheerenden Cyberattacke steckt.
Marc Lauber, Co-Gründer und Mitinhaber der Concevis AG, bestätigt auf Anfrage nur, dass die Angreifer eine Lösegeldforderung gestellt haben. Auf den Erpressungsversuch werde man aber nicht eingehen.
Und weiter:
Die NZZ will erfahren haben, dass die Angreifer eine Malware namens «Phobos» einsetzten. Dabei handle es sich um eine Schadsoftware, die schon von verschiedenen Gruppierungen eingesetzt wurde. Die bekannteste Ransomware-Gruppe, die Phobos für Angriffe nutze, nenne sich 8base.
Nach aktuellem Kenntnisstand sei bei der Cyberattacke «das gesamte Netzwerk verschlüsselt» worden, teilte die Staatskanzlei des Kantons Basel-Stadt am 16. November mit.
Die komplette Verschlüsselung bedeute, dass die Sicherheitsvorkehrungen eher schwach waren und der Angriff relativ spät erkannt wurde, konstatierte die NZZ in einem am vergangenen Mittwoch veröffentlichten Bericht. Das werfe kein gutes Licht auf die IT-Sicherheit bei Concevis.
Doch nicht nur die Firma selbst stehe in der Verantwortung. Die Bundesverwaltung habe ihre Möglichkeiten zur Aufsicht vernachlässigt, indem sie die IT-Sicherheit des externen Software-Partners nicht überprüfen liess.
Schliesslich werfen auch die Angaben des Nationalen Zentrums für Cybersicherheit, NCSC, zum Datenabfluss Fragen auf. In der nach dem Angriff veröffentlichten Medienmitteilung war von «älteren, operativen Daten» die Rede, die die Kriminellen mutmasslich kopiert hätten. «Solche Daten sollten aber – gerade wenn sie älter sind – nicht mehr auf den Servern der IT-Firma liegen», hält die NZZ fest.
(dsc/sda)
