sonnig
DE | FR
burger
Digital
Schweiz

Hacker leaken fast 1 Terabyte an Daten von Schweizer IT-Firma Xplain

Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert

Die Ransomware-Bande Play hat im Darknet einen «Full Dump» angekündigt. Damit tritt für die IT-Dienstleisterin, die zahlreiche Kunden beim Bund und in den Kantonen hat, der Worst Case ein.
14.06.2023, 12:0015.06.2023, 16:35
Daniel Schurter
Daniel Schurter

Die Ransomware-Bande Play hat ihre Drohung wahr gemacht und mutmasslich alle Daten, die sie bei der Berner IT-Dienstleisterin Xplain AG erbeutete, im Darknet zugänglich gemacht. Der sogenannte «Full Dump» soll insgesamt 907 Gigabyte (GB) beinhalten. Dies geht aus einem neuen Posting auf der Leak-Site der kriminellen Vereinigung hervor.

Die Berner IT-Firma Xplain wurde erstmals am 23. Mai 2023 auf der nur über die Anonymisierungs-Software Tor erreichbaren Webseite als Opfer aufgeführt.
Die Berner IT-Firma Xplain wurde erstmals am 23. Mai 2023 auf der nur über die Anonymisierungs-Software Tor erreichbaren Webseite als Opfer aufgeführt. screenshot: watson / darknet

Was der «Full Dump» beinhaltet, ist nicht öffentlich bekannt.

Bereits am 8. Juni hatte das Nationale Zentrum für Cybersicherheit (NCSC) kommuniziert, dass auch operative Daten des Bundes von dem Angriff betroffen sein könnten.

Zahlreiche staatliche Organisationen arbeiteten in den letzten Jahren mit Xplain zusammen. Die Berner Firma entwickelt Fachapplikationen und bietet technischen Support.

Xplain hat watson am Mittwoch eine schriftliche Stellungnahme zu den jüngsten Ereignissen geschickt:

«Die Play-Gruppe hat am 1. Juni 2023 einen ersten Teil der entwendeten Daten veröffentlicht. Xplain hat diese Daten analysiert und mit den betroffenen Kunden das weitere Vorgehen besprochen.

Vorbereitend auf weitere Veröffentlichungen von gestohlenen Daten wurden die weiteren Untersuchungen in Zusammenarbeit mit den ermittelnden Behörden, dem NCSC und den betroffenen Kunden vorangetrieben.

Mit der Veröffentlichung des vermutlich gesamten gestohlenen Datenbestands vom 14. Juni 2023 werden alle Beteiligten diese Arbeiten mit hoher Intensität weiterverfolgen. Die Information von allenfalls vom Datendiebstahl betroffenen Personen erfolgt direkt durch die jeweiligen Datenherren.»

Wer ist betroffen?

Zuvor hatten unbekannte Cyberkriminelle wenige GB an gestohlenen Daten veröffentlicht, um das betroffene Unternehmen unter Druck zu setzen. Offensichtlich hat dies nicht geklappt und weil das Opfer kein Lösegeld bezahlen wollte, haben die Täter nun alle Daten veröffentlicht.

Von dem Angriff im Mai sind zahlreiche Schweizer Behörden betroffen, die in Geschäftsbeziehung mit der gehackten IT-Firma standen oder immer noch stehen. Dem Vernehmen nach enthalten die gestohlenen Daten geschäftliche Korrespondenz zwischen der Xplain AG und ihren Kundinnen.

Gemäss den Recherchen von watson sind diverse Institutionen der Bundesverwaltung tangiert:

  • Bundesamt für Bauten und Logistik (BBL)
  • Staatssekretariat für Migration SEM, früher Bundesamt für Migration
  • Bundesamt für Justiz (BJ)
  • Bundespolizei Fedpol
  • Oberzolldirektion, Bundesamt für Zoll und Grenzsicherheit
  • Generalsekretariat GS-EJPD
  • Das frühere Grenzwachkorps (GWK), heute Bundesamt für Zoll und Grenzsicherheit BAZG
  • Informatik Service Center ISC-EJPD

Betroffen ist auch das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS).

Hinzu kommen zahlreiche kantonale Behörden, aber auch andere bekannte nationale Organisationen wie die Rega, die Bahnpolizei, Securitrans (heute Transsicura). Und auch die Stadtpolizei Zürich zählt zu den Xplain-Kunden.

Die Kantonspolizei Bern bestätigt:

«Es ist so, dass wir ein System der IT-Dienstleisterin verwenden. Wir haben die Daten, die im System enthalten sind, jedoch genau unter Kontrolle und können den Zugang – falls nötig – jederzeit blockieren. Weitere Angaben können wir zum aktuellen Zeitpunkt nicht machen.»
Magdalena Rast, Mediensprecherin

Wie reagiert der Bund?

Das Eidgenössische Finanzdepartement (EFD) hat am Mittwoch in einer Mitteilung bestätigt, dass operative Daten der Bundesverwaltung entwendet wurden.

«Die Aktualität der Daten und ob ihre Publikation weiterreichende Auswirkungen haben könnte, muss in den verschiedenen betroffenen Behörden und Organisationen nun geklärt werden.»
quelle: efd.admin.ch

Erste Massnahmen seien getroffen worden, um ein Sicherheitsrisiko für die Bundesverwaltung zu minimieren. Die betroffenen Stellen seien informiert worden.

Es handle sich mutmasslich um den gesamten entwendeten Datensatz, so das EFD. Im Moment werde das publizierte Datenmaterial gesichert und analysiert.

«Nach wie vor gibt es keine Hinweise darauf, dass Bundessysteme direkt angegriffen wurden. Da operative Daten vom Angriff betroffen sind, haben verschiedene Stellen der Bundesverwaltung Strafanzeige erstattet oder prüfen ähnliche Schritte. Mit diesem Vorgehen soll geklärt werden, unter welchen Umständen die Daten aus der Bundesverwaltung auf das System der Firma Xplain gelangt sind.»

Angeblich keine sensitiven Daten

Auch die Liechtensteiner Landespolizei ist vom Hackerangriff betroffen, wie sie am Dienstag mitteilte. Bei den gestohlenen Daten handle es sich aber nur um Projektinformationen.

Falldaten seien schlimmstenfalls in Einzelfällen betroffen, zitierte die Nachrichtenagentur Keystone-SDA aus einer Mitteilung der Landespolizei. Falldaten und Personendaten seien nicht auf Xplain-Servern gespeichert worden.

In einer früheren Stellungnahme von Xplain hiess es, man habe «keine Personen- und Fall-Daten aus Kundensystemen» auf den eigenen Servern gespeichert.

Die Ransomware-Bande Play zeichnete zuvor auch für Hackerangriffe auf die Walliser Gemeinde Saxon VS (Mai 2023), die Medienhäuser CH Media und NZZ (April), Energie Pool Schweiz (Feb.) und H-Hotels (Dez. 2022) verantwortlich. Dies sind jedoch nur die öffentlich bekannten Opfer. IT-Sicherheitsfachleute gehen von einer hohen Dunkelziffer aus.

Quellen

Das solltest du über das grosse Tabu der Cyberkriminalität wissen
Der Xplain-Hackerangriff und seine weitreichenden Folgen
Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen
16
Nach watson-Recherche: So will sich der Bund besser vor Hackern schützen
Datenschützer sieht nach Hackerangriff Fehler bei Bund und Xplain
13
Datenschützer sieht nach Hackerangriff Fehler bei Bund und Xplain
Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
14
Chef der gehackten Softwarefirma Xplain nimmt Stellung – doch es gibt noch mehr zu klären
von Reto Wattenhofer
Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz
1
Xplain-Hack: Darum verstiess der Kanton Aargau laut Datenschützerin gegen das Gesetz
Die Ransomware-Attacke gegen Xplain (und den Bund) beschäftigt weiter die Anwälte
1
Die Ransomware-Attacke gegen Xplain (und den Bund) beschäftigt weiter die Anwälte
Xplain-Hack: Personendaten der Militärpolizei betroffen
6
Xplain-Hack: Personendaten der Militärpolizei betroffen
Bundesrat ordnet nach Xplain-Hackerangriff umfassende Untersuchung an
2
Bundesrat ordnet nach Xplain-Hackerangriff umfassende Untersuchung an
Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe
52
Gehackte IT-Firma Xplain hatte heikle Daten: Bund sitzt womöglich auf einer Zeitbombe
von Henry Habegger
Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern
17
Nach Xplain-Hack: Das fordert der Bund von tausenden IT-Dienstleistern
Geleakte Bundes-Daten: Datenschützer weitet Untersuchung auf Xplain aus
8
Geleakte Bundes-Daten: Datenschützer weitet Untersuchung auf Xplain aus
Ältere Daten aus Schweizer Hooligan-Datenbank im Darknet zugänglich
10
Ältere Daten aus Schweizer Hooligan-Datenbank im Darknet zugänglich
Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik
24
Darum steht die gehackte Software-Lieferantin des Bundes weiter in der Kritik
von Ann-Kathrin Amstutz und Florence Vuichard
Xplain-Hack war laut Bund kein gezielter Angriff auf den Bund
4
Xplain-Hack war laut Bund kein gezielter Angriff auf den Bund
Weitere Details und überlastete Server: Das Neuste zum Xplain-Datenleck in 6 Punkten
26
Weitere Details und überlastete Server: Das Neuste zum Xplain-Datenleck in 6 Punkten
Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen
52
Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen
Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play
7
Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play
So ist der Kanton Aargau vom Xplain-Hackerangriff und dem Daten-Leak betroffen
2
So ist der Kanton Aargau vom Xplain-Hackerangriff und dem Daten-Leak betroffen
Verdacht auf schwere Datenschutz-Verstösse beim Bund: Untersuchung gestartet
Verdacht auf schwere Datenschutz-Verstösse beim Bund: Untersuchung gestartet
Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
67
Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
von Daniel Schurter
Auch Liechtensteiner Landespolizei von Hackerangriff betroffen
Auch Liechtensteiner Landespolizei von Hackerangriff betroffen
Auch SBB und Kanton Aargau von Hackerangriff betroffen
4
Auch SBB und Kanton Aargau von Hackerangriff betroffen
Hacker erbeuten möglicherweise operative Daten des Bundes
Hacker erbeuten möglicherweise operative Daten des Bundes
Daten des Fedpol im Darknet veröffentlicht – Zoll auch vom Hackerangriff betroffen
17
Daten des Fedpol im Darknet veröffentlicht – Zoll auch vom Hackerangriff betroffen
Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software
10
Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software
von Daniel Schurter
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Das ist die stärkste Taschenlampe der Welt. Spoiler: Sie ist HELL!
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
67 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Elmas Lento
14.06.2023 14:11registriert Mai 2017
Da wird aber jemand Mühe haben, das seinen Kunden zu xplainen 🙈
910
Melden
Zum Kommentar
avatar
_stefan
14.06.2023 14:18registriert September 2015
Jedes System kann gehackt werden, die Frage ist nur, wie viel Aufwand man dafür aufwenden will. Oftmals reicht eine Person, die in einer schwachen Stunde den falschen E-Mail-Anhang anklickt.

Diese Hacker haben es auf die Schweiz abgesehen und verfügen über immense Ressourcen. Das wird also nicht der letzte grosse Angriff auf unsere Organisationen sein. Seien wir froh, dass sie bisher nur Datensysteme knacken konnten und sich an den Systemen der Energieversorger und Atomkraftwerke bisher die Zähne ausbeissen.
562
Melden
Zum Kommentar
avatar
Anonymous77639578
14.06.2023 16:18registriert September 2020
Eigentlich schade dass der Bund keine vertikale Integration der Behordenverwaltung anstrebt. Weil die Werkzeuge welche benotigt werden, ein sehr elementarer Bestandteist ohne dass es nicht mehr Funktionieren kann. Es geht mir einfach nicht in den Kopf dass jeder Kanton, Stadt, Gemeinde usw. das gleiche X-mal bei jemanden anderen Einkauft, Entwikelt, Supportet etc. lässt. Beispiel: Gemende- und Kantonswebseite, Logo, Onlineschalter, MFK, Steuern usw. Ev. wäre da gut Geld gespaart. Wenn ich eine Analogie zum Auto wagen darf: Der Bund sollte nicht Autohändler sein, sondern Ingenieur.
221
Melden
Zum Kommentar
67
Meistgelesen
1
Die grosse Angst vor einem Mega-Crash
2
Alliance Swisspass dementiert Berichte über Halbtax-Aus – das musst du jetzt wissen
3
So viel Geld haben die USA dank Zöllen auf Schweizer Waren eingenommen
4
«Unmenschlich, aber legal» – so leiden Buschauffeure in der Schweiz
5
Diese Berufsgruppe macht im Kanton Zürich fast 10 Prozent der Arbeitslosen aus
Meistkommentiert
1
Mann bedroht Ukrainer im Zug in Bern: «Raus hier, bevor dein Kind verletzt wird!»
2
Healing for f*cking
3
Susanne Wille verteidigt die SRG in einer Beiz in Kriegstetten
4
Diskussion geht weiter: «Das neue System entspricht nicht mehr dem heutigen Halbtax»
5
87 Prozent eingespart: Diesen Ausgabenbereich hat Donald Trump massiv gekürzt
Meistgeteilt
1
80'000 neue Sittenwächter für Kopftuch-Kontrollen in Teheran
2
Trump empfängt Selenskyj im Weissen Haus +++ Ungarn sichert Putin Straffreiheit zu
3
Letzte weibliche Hamas-Geisel unter grosser Anteilnahme beigesetzt
4
Hochpreisinsel Schweiz: Temu, Shein und Co. stossen die nächste Billig-Welle an
5
Die Hamas drängt in Gaza zurück an die Macht – und bringt Trumps Plan bereits ins Wanken
Windows 10 ist tot – so bekommst du nun ein weiteres Jahr Gratis-Updates
Der letzte Tag von Windows 10 ist angebrochen. Doch das ist kein Grund zur Panik. Microsoft bietet einen verlängerten Support an. Mit wenigen Klicks können sich User ein weiteres Jahr mit Sicherheitsupdates sichern.
Windows 10 erschien im Juli 2015. Nach etwas mehr als zehn Jahren beendet Microsoft am 14. Oktober 2025 den Support. Das heisst: Das PC-Betriebssystem wird nicht mehr weiterentwickelt und erhält keine neuen Funktionen, da der Nachfolger Windows 11 bereits im Oktober 2021 veröffentlicht wurde. Microsoft macht es privaten Windows-10-Usern aber sehr einfach, ein weiteres Jahr Gratis-Sicherheitsupdates zu erhalten.

Wir konnten den verlängerten Update-Support bis Oktober 2026 auf zwei rund zehn Jahre alten Windows-10-Laptops in jeweils unter einer Minute aktivieren.
Zur Story