Ein Hackerangriff auf Swissport sorgte Anfang Februar weltweit für Schlagzeilen. Da einige Systeme vorübergehend nicht mehr verfügbar waren, kam es zu Verspätungen im Luftverkehr. Swissport ist der weltgrösste Serviceanbieter für Fluggesellschaften und Flughäfen mit Sitz in Opfikon, Kanton Zürich. Gegenüber watson sagte Swissport-Sprecher Stefan Hartung letzten Donnerstag. «Erste Analysen haben gezeigt, dass mit extrem hoher Wahrscheinlichkeit keine sensiblen Daten abgeflossen sind.» Das ist ein Irrtum, wie neue watson-Recherchen zeigen.
Hinter der Attacke steckt die Ransomware-Gang BlackCat, in der Szene auch als ALPHV bekannt. Auf ihrer Darknet-Site bieten die Erpressungs-Hacker seit Dienstag sämtliche erbeuteten Daten zum Verkauf an. Nach eigenen Angaben sind ihnen 1,6 Terabyte (TB) in die Hände gefallen.
Als Beweis für den Datenklau und um ihre Drohung zu unterstreichen, wurde ein kleiner Auszug aus den Daten veröffentlicht: darunter Passkopien verschiedener Nationalitäten, Bewerbungsunterlagen und ein Auszug aus einem vertraulichen Auditbericht. In einer Tabelle sind beispielsweise Name, Nationalität, Religion, Telefonnummer und die Beurteilung beim Bewerbungsgespräch zu sehen. Ob die Daten tatsächlich von Swissport stammen, was sehr wahrscheinlich scheint, oder aus einem anderen Hack, lässt sich noch nicht mit abschliessender Sicherheit sagen.
Die Hacker drohen bald weitere Beispiel-Daten zu publizieren, um das gehackte Unternehmen weiter unter Druck zu setzen.
watson hat Swissport erneut um eine Stellungnahme gebeten. Das Unternehmen schreibt:
Noch letzte Woche sagte Swissport auf Anfrage von watson: «Eine Information des EDÖB (Anm. d. Red.: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist bislang noch nicht erfolgt, da es in Folge des IT-Sicherheitsvorfalles zu keinem Abfluss von Daten gekommen ist, der eine entsprechende Informationspflicht nach sich ziehen würde.»
Die Ransomware-Attacke auf die IT-Infrastruktur des Gepäckabfertigers begann am frühen Donnerstagmorgen vor zwei Wochen und wurde laut Darstellung des betroffenen Unternehmens sofort entdeckt. «Unsere IT-Security-Systeme haben den Vorfall in einem sehr frühen Stadium entdeckt, so dass wir unmittelbar wirksame und damit erfolgreiche Abwehrmassnahmen ergreifen konnten», sagte ein Mediensprecher gegenüber watson.
Betroffen waren IT-Systeme zur Planung von Personen, Flugzeugen und Fracht. Swissport konnte die Systeme (teils) relativ rasch wieder herstellen, der Datenabfluss hingegen konnte entgegen der ursprünglichen Annahme offenbar nicht oder nicht vollständig verhindert werden.
Swissport war 2021 für die Bodenabfertigung von rund 97 Millionen Fluggästen verantwortlich und bietet Dienste wie Check-in, Cargo-Services oder Betankung von Flugzeugen an.
Swissport hat es mit einer überaus gefährlichen Ransomware-Bande zu tun. BlackCat nimmt aktuell unter anderem Unternehmen aus den USA, der Ukraine und der Schweiz ins Visier und greift die in Unternehmen verbreiteten Windows- und Linux-Systeme an.
In Deutschland beispielsweise sorgte die Ransomware-Gruppe Anfang Jahr für Wirbel, als Hacker die Tanklager von Oiltank-ing, der unter anderem den Grosskonzern Shell beliefert, landesweit lahmlegten.
BlackCat ist erst seit Kurzem aktiv und sorgte mit einer augenscheinlich sehr aufwändigen und fortschrittlichen Verschlüsselungs-Software für Aufsehen. BlackCat verschlüsselt und stiehlt Daten, um ein zusätzliches Druckmittel in der Hand zu halten, wenn das Opfer die Daten mit Backups wieder herstellen kann.
Hinter BlackCat, bislang auch als BlackMatter oder DarkSide bekannt, stecken sehr wahrscheinlich die gleichen Kriminellen, die zuvor bei der besonders aktiven Ransomware-Gruppen REvil tätig waren.
REvil war 2021 für einen der bislang grössten erpresserischen Hackerangriffe verantwortlich, bei dem weltweit 800 bis 1500 Unternehmen infiltriert und wertvolle Daten gestohlen wurden. Anfang Juni 2021 attackierte REvil den weltgrössten Fleischkonzern JBS mit Ransomware und legte grosse Teile der Produktion in Nordamerika und Australien lahm.
Kurz gesagt: Beim Swissport-Hack waren höchstwahrscheinlich erfahrene und professionelle Angreifer am Werk.
