Die Bundesverwaltung hat schon wieder mit den Folgen einer Ransomware-Attacke und einem drohenden Daten-Leak zu kämpfen. Kriminelle Hacker haben ein für das Eidgenössische Departement für auswärtige Angelegenheiten (EDA) tätiges Architekturbüro angegriffen, wie die «Neue Zürcher Zeitung» (NZZ) am Donnerstag berichtete. Bei den entwendeten Dateien handle es sich unter anderem auch um «Objektpläne von Schweizer Vertretungen im Ausland».
Hinter dem Angriff steckt die Ransomware-Gruppierung Abyss, die erst seit wenigen Monaten aktiv ist und sich auf doppelte Erpressung spezialisiert hat. Sprich: Die Hacker stehlen zunächst wertvolle Daten und starten später einen Verschlüsselungs-Angriff auf die IT-Systeme des Opfers, um eine möglichst hohe Lösegeldsumme zu erpressen.
Abyss hatte im Mai mit einem Cyberangriff auf das australische Luft-, Raumfahrt- und Verteidigungsunternehmen L3Harris Technologies für Schlagzeilen gesorgt. Dabei gelang es den Hackern laut unbestätigten Berichten, Daten zu einem Kommunikationssystem der Armee zu stehlen.
Die technisch versierten Angreifer verschlüsseln neuerdings nicht nur Windows-Rechner, sondern nehmen mit einer Linux-Version ihrer Malware auch virtuelle Maschinen ins Visier, die auf der ESXi-Plattform von VMware basieren.
Auf der Darknet-Seite von Abyss sind bislang 14 Unternehmen respektive zahlungsunwillige Opfer aufgelistet. Und es wurden bis zu 700 Gigabyte (GB) an Daten geleakt.
Bei der vom jüngsten Angriff betroffenen Schweizer Firma handelt es sich um die «arb Architekten AG» mit Sitz in der Stadt Bern. Das Architekturbüro hat schon diverse Grossprojekte für die öffentliche Hand ausgeführt. Darunter sind Wohnüberbauungen und Schulneubauten, wie auch Briefverarbeitungszentren der Schweizerischen Post. Im Portfolio werden weitere bekannte Unternehmen aus der Privatwirtschaft aufgeführt, wie die Swisscom oder Mobiliar.
Die Cyberkriminellen drohen Arb nun auf ihrer «Name and Shame»-Webseite im Darknet mit der Veröffentlichung von 220 GB an «unkomprimierten Daten». Die Recherchen zeigen, dass es sich um fast 100'000 Dateien handelt.
Die Vorgehensweise der Täter weicht von anderen Ransomware-Gruppen ab: Die Daten sind bereits als verschlüsselte Archivdateien im Darknet zugänglich. Wenn das Ultimatum abläuft, wollen sie das Passwort veröffentlichen
Das zuständige Bundesamt für Bauten und Logistik (BBL) bestätigte gegenüber der NZZ, dass es am 21. Juli über den Angriff bei der Zulieferfirma informiert worden sei.
Neben dem EDA seien gemäss dem aktuellen Stand keine weiteren Bundesämter betroffen, heisst es. Auch soll es sich nur um wenige klassifizierte Unterlagen handeln.
Die NZZ hat offenbar die von den Tätern veröffentlichte «Ordnerstruktur» der entwendeten Daten gesichtet. Daraus sei ersichtlich, dass «Unterlagen von Schweizer Vertretungen und Residenzen in Asien und Südamerika» enthalten seien «sowie von einem Projekt des EDA in Bern selbst».
Das betroffene Architekturbüro habe zwar auch einen Rahmenvertrag für Bauten des Bundesamts für Zoll und Grenzsicherheit (BAZG), es sei aber gemäss den Auskünften aus Bundesbern nicht von der Attacke betroffen.
Auf der Abyss-Website im Darknet wird dem Architekturbüro ein Ultimatum bis am 1. September gestellt. Dem Vernehmen nach will sich das betroffene Unternehmen nicht erpressen lassen, sodass die Daten wohl geleakt werden.
Die Folgen sind nicht absehbar. Das zuständige Bundesamt war nicht in der Lage, auf eine am Donnerstag eingereichte Medienanfrage von watson zeitnah zu reagieren. Und auch das betroffene Architekturbüro hat nicht reagiert.
Mit dem neuen Fall erhalte die öffentliche Diskussion darüber, dass der Bund die Sicherheit seiner Partner und Lieferanten verbessern müsse, zusätzliche Dringlichkeit, schreibt die NZZ und bezieht sich dabei auf die verheerende Attacke gegen den Informatik-Dienstleister Xplain aus Interlaken.
Auch beim Architekturbüro stelle sich nun die Frage, wie gut die IT-Sicherheitsvorkehrungen waren und welche Vorgaben der Bund gemacht hatte. Aus Bern hiess es dazu, man wolle sich «aus Sicherheitsgründen» nicht äussern.
In den Standardverträgen gebe es zwar «gewisse allgemeine Klauseln zur IT-Sicherheit», hält die NZZ fest, jedoch würden diese Vertragsbedingungen «kaum je überprüft».
Im Juli hatte der Bund die externen IT-Dienstleister per Brief an ihre Cybersecurity-Pflichten erinnert. Im Schreiben des Bundesamtes für Bauten und Logistik (BBL) wurden konkrete Anforderungen bezüglich Cybersicherheit genannt.
