DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

Sensible Daten im Darknet: Swissport-Hack wohl schlimmer als das Unternehmen sagte

Vor zwei Wochen wurde der weltweit grösste Gepäckabfertiger Swissport gehackt. Nun zeigt sich, dass mit grösster Wahrscheinlichkeit sensible Daten abgeflossen sind. Diese werden von Kriminellen im Darknet zum Kauf angeboten.
15.02.2022, 12:3915.02.2022, 14:21
Swissport ist unter anderem für die Gepäckabfertigung an weltweit über 230 Flughäfen zuständig.
Swissport ist unter anderem für die Gepäckabfertigung an weltweit über 230 Flughäfen zuständig. Bild: sda

Ein Hackerangriff auf Swissport sorgte Anfang Februar weltweit für Schlagzeilen. Da einige Systeme vorübergehend nicht mehr verfügbar waren, kam es zu Verspätungen im Luftverkehr. Swissport ist der weltgrösste Serviceanbieter für Fluggesellschaften und Flughäfen mit Sitz in Opfikon, Kanton Zürich. Gegenüber watson sagte Swissport-Sprecher Stefan Hartung letzten Donnerstag. «Erste Analysen haben gezeigt, dass mit extrem hoher Wahrscheinlichkeit keine sensiblen Daten abgeflossen sind.» Das ist ein Irrtum, wie neue watson-Recherchen zeigen.

Hinter der Attacke steckt die Ransomware-Gang BlackCat, in der Szene auch als ALPHVM bekannt. Auf ihrer Darknet-Site bieten die Erpressungs-Hacker seit Dienstag sämtliche erbeuteten Daten zum Verkauf an. Nach eigenen Angaben sind ihnen 1,6 Terabyte (TB) in die Hände gefallen.

Als Beweis für den Datenklau und um ihre Drohung zu unterstreichen, wurde ein kleiner Auszug aus den Daten veröffentlicht: darunter Passkopien verschiedener Nationalitäten, Bewerbungsunterlagen und ein Auszug aus einem vertraulichen Auditbericht. In einer Tabelle sind beispielsweise Name, Nationalität, Religion, Telefonnummer und die Beurteilung beim Bewerbungsgespräch zu sehen. Ob die Daten tatsächlich von Swissport stammen, was sehr wahrscheinlich scheint, oder aus einem anderen Hack, lässt sich noch nicht mit abschliessender Sicherheit sagen.

Die Hacker drohen bald weitere Beispiel-Daten zu publizieren, um das gehackte Unternehmen weiter unter Druck zu setzen.

watson hat Swissport erneut um eine Stellungnahme gebeten. Das Unternehmen schreibt:

«Für Swissport hat die Datensicherheit unserer Systeme höchste Priorität. Swissport hat auf einen Cyber-Angriff reagiert, der mehrere unserer Systeme betroffen hat. Im Rahmen unserer Analyse haben wir festgestellt, dass Unbefugte Daten online gestellt haben, welche sie angeblich von Swissport gestohlen haben. Wir nehmen diese Behauptungen ernst und analysieren die veröffentlichten Daten im Rahmen unserer laufenden Untersuchung des Vorfalls.

Als wir vom Vorfall erfuhren, haben wir umgehend die betroffenen Systeme vom Netz genommen, eine Untersuchung eingeleitet, die Strafverfolgungsbehörden informiert und führende Cybersicherheits-Experten hinzugezogen, um das Ausmass des Angriffs zu beurteilen. Zum jetzigen Zeitpunkt können wir keine weiteren Angaben machen.

Mit Kunden, Partner und Mitarbeitenden stehen wir im Austausch. Swissport bedauert die Umstände, die für unsere Kunden, Partner und Mitarbeitenden durch diesen Vorfall entstanden sind.»
Swissport

Noch letzte Woche sagte Swissport auf Anfrage von watson: «Eine Information des EDÖB (Anm. d. Red.: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist bislang noch nicht erfolgt, da es in Folge des IT-Sicherheitsvorfalles zu keinem Abfluss von Daten gekommen ist, der eine entsprechende Informationspflicht nach sich ziehen würde.»

Die Ransomware-Attacke auf die IT-Infrastruktur des Gepäckabfertigers begann am frühen Donnerstagmorgen vor zwei Wochen und wurde laut Darstellung des betroffenen Unternehmens sofort entdeckt. «Unsere IT-Security-Systeme haben den Vorfall in einem sehr frühen Stadium entdeckt, so dass wir unmittelbar wirksame und damit erfolgreiche Abwehrmassnahmen ergreifen konnten», sagte ein Mediensprecher gegenüber watson.

Betroffen waren IT-Systeme zur Planung von Personen, Flugzeugen und Fracht. Swissport konnte die Systeme (teils) relativ rasch wieder herstellen, der Datenabfluss hingegen konnte entgegen der ursprünglichen Annahme offenbar nicht oder nicht vollständig verhindert werden.

Swissport war 2021 für die Bodenabfertigung von rund 97 Millionen Fluggästen verantwortlich und bietet Dienste wie Check-in, Cargo-Services oder Betankung von Flugzeugen an.

Diese Cybercrime-Bande steckt hinter dem Hack

Swissport hat es mit einer überaus gefährlichen Ransomware-Bande zu tun. BlackCat nimmt aktuell unter anderem Unternehmen aus den USA, der Ukraine und der Schweiz ins Visier und greift die in Unternehmen verbreiteten Windows- und Linux-Systeme an.

In Deutschland beispielsweise sorgte die Ransomware-Gruppe Anfang Jahr für Wirbel, als Hacker die Tanklager von Oiltank-ing, der unter anderem den Grosskonzern Shell beliefert, landesweit lahmlegten.

BlackCat ist erst seit Kurzem aktiv und sorgte mit einer augenscheinlich sehr aufwändigen und fortschrittlichen Verschlüsselungs-Software für Aufsehen. BlackCat verschlüsselt und stiehlt Daten, um ein zusätzliches Druckmittel in der Hand zu halten, wenn das Opfer die Daten mit Backups wieder herstellen kann.

Hinter BlackCat, bislang auch als BlackMatter oder DarkSide bekannt, stecken sehr wahrscheinlich die gleichen Kriminellen, die zuvor bei der besonders aktiven Ransomware-Gruppen REvil tätig waren. REvil war 2021 für einen der bislang grössten erpresserischen Hackerangriffe verantwortlich, bei dem weltweit 800 bis 1500 Unternehmen infiltriert und wertvolle Daten gestohlen wurden. Anfang Juni 2021 attackierte REvil den weltgrössten Fleischkonzern JBS mit Ransomware und legte grosse Teile der Produktion in Nordamerika und Australien lahm.

Kurz gesagt: Beim Swissport-Hack waren höchstwahrscheinlich erfahrene und professionelle Angreifer am Werk.

Diese Schweizer Firmen und Behörden wurden 2021 Opfer von Hackern

Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab und warnt: «Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus machen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»

Sollten Opfer dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.

Auf der Webseite https://www.nomoreransom.org/ gibt es Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Für diesen Mega-Flieger macht sogar der Nebel Platz

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

15 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
15
Sexuelle Belästigung: Vorwürfe gegen Elon Musk

SpaceX- und Tesla-Chef Elon Musk wird sexuelle Belästigung vorgeworfen. Das schrieb gestern Abend spät der «Business Insider». Demnach geht es um einen Vorfall, der bereits 2016 stattgefunden haben soll. Dem Business Insider liegen Dokumente vor, die beweisen sollen, dass SpaceX einer Flugbegleiterin 250'000 Dollar bezahlte, um eine Anklage zu verhindern. SpaceX ist ein von Tech-Milliardär Musk gegründetes Raumfahrtunternehmen.

Zur Story