Ein auf das Jahr 2015 zurückgehender Auszug aus dem Schweizer Hooligan-Informationssystem Hoogan ist im Darknet aufgetaucht. Die Daten zu gut 760 Personen sind dem Bundesamt für Polizei (Fedpol) beim Hackerangriff auf die IT-Dienstleisterin Xplain entwendet worden.
Gefunden wurden die Daten bei Abklärungen, die nach dem von watson publik gemachten Ransomware-Angriff auf die IT-Dienstleisterin Xplain im Juni aufgenommen wurden.
Das Fedpol informiert laut Mitteilung am Mittwoch von sich aus, weil «Daten zahlreicher Personen in gleichem Masse betroffen sind und gesicherte Fakten vorliegen».
Unter den von der Ransomware-Bande Play entwendeten und später im Darknet veröffentlichten Daten war eine acht Jahre alte XML-Datei mit Auszügen aus dem Hoogan-Informationssystem. Darin erfasst werden Personen, die an Sportanlässen im In- und Ausland mit Gewalttaten in Erscheinung getreten sind und gegen die der zuständige Kanton oder das Fedpol eine Massnahme verhängt haben.
Betroffen vom Daten-Leak sind 766 Personen, die im September 2015 im Hoogan-System aufgeführt waren. Informationen zu Delikten oder verfügten Massnahmen seien in der Datei nicht enthalten, hält das Fedpol fest. XML sei ein gängiges Dateiformat, das für den Austausch von Daten zwischen Computersystemen eingesetzt werde.
Das Fedpol hat laut eigenen Angaben bereits begonnen, die vom Datenklau und Leak Betroffenen direkt und schriftlich zu informieren, wie es am Mittwoch mitteilte. Für jene Personen, die selbst nachfragen wollen, ob sie im entwendeten Auszug von Hoogan aufgeführt sind, hat das Bundesamt ein Formular auf seiner Webseite aufgeschaltet.
Wieso die bald zehn Jahre alte Datei nie gelöscht wurde, darüber gebe das Fedpol keine Auskunft, hielt inside-it.ch in einem Bericht fest. Hier ist zu betonen, dass es sich um eine einzelne XML-Datei handelt, die gewisse Daten enthielt, und nicht um die Hoogan-Datenbank insgesamt.
Update: In einer früheren Artikel-Version war ein Tweet eingebettet, in dem es heisst, die Daten aus der Hoogan-Datenbank seien «nicht wie versprochen gelöscht» worden. Dies trifft laut Fedpol nicht zu. In der Hoogan-Datenbank seien die Einträge korrekt gelöscht worden. Hingegen bleibt das Problem, dass die IT-Fachleute der Bundespolizei offenbar nicht wussten, dass bei Xplain die XML-Datei mit den sensitiven Daten weiterhin auf dem Server vorhanden war.
Unter welchen Umständen und mit welchen Auflagen die Datei an die Firma Xplain gelangten, wird gemäss der Fedpol-Medienmitteilung vom Mittwoch abgeklärt. Bereits im Juni sei Strafanzeige gegen Unbekannt erstattet worden.
Gegenüber watson sagte der stellvertretende Fedpol-Kommunikationschef am Donnerstag, dass die Daten «mutmasslich zu Testzwecken» zu Xplain gelangt seien.
Auf den aktuellen, operativen Einsatz des Hoogan-Informationssystems habe die Veröffentlichung des Auszuges keinen Einfluss, hält das Fedpol fest. Informationssysteme des Bundesamtes würden in einer gesicherten Infrastruktur des Bundes laufen. Die Daten seien dort geschützt.
Der Ransomware-Angriff auf den IT-Dienstleister Xplain war am 23. Mai durch watson publik gemacht geworden. Die Hacker hatten zuvor eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain ausgenutzt und dort unter anderem Daten der Bundesverwaltung gestohlen, bevor sie eine Verschlüsselungsattacke (Ransomware) starteten.
Weil sie kein Lösegeld erhielten, machten die Cyberkriminellen Anfang Juli auf der Darknet-Seite der Ransomware-Bande Play Daten von Fedpol und des Bundesamtes für Zoll und Grenzschutz (BAZG) zugänglich. Später veröffentlichten sie angeblich alle gestohlenen Dateien, über 900 Gigabyte (GB).
Der Bundesrat will mit einem Krisenstab namens «Datenabfluss» die umfangreichen Untersuchungen und Aufräumarbeiten nach dem gravierenden Cyberangriff koordinieren. Es müsse sichergestellt werden, dass der Datenabfluss nicht weitergehe und dass so etwas in Zukunft nicht mehr möglich sei, sagte Bundesrätin Karin Keller-Sutter.
fedpol.admin.ch: Hackerangriff auf die Firma Xplain: Auszug aus Informationssystem «HOOGAN» von 2015 im Darknet publiziert – Betroffene werden informiert
(dsc/sda)
