Hacker leaken fast 1 Terabyte an Daten von IT-Firma Xplain – Bund reagiert
Die Ransomware-Bande Play hat im Darknet einen «Full Dump» angekündigt. Damit tritt für die IT-Dienstleisterin, die zahlreiche Kunden beim Bund und in den Kantonen hat, der Worst Case ein.
Die Ransomware-Bande Play hat ihre Drohung wahr gemacht und mutmasslich alle Daten, die sie bei der Berner IT-Dienstleisterin Xplain AG erbeutete, im Darknet zugänglich gemacht. Der sogenannte «Full Dump» soll insgesamt 907 Gigabyte (GB) beinhalten. Dies geht aus einem neuen Posting auf der Leak-Site der kriminellen Vereinigung hervor.
Die Berner IT-Firma Xplain wurde erstmals am 23. Mai 2023 auf der nur über die Anonymisierungs-Software Tor erreichbaren Webseite als Opfer aufgeführt. screenshot: watson / darknet
Was der «Full Dump» beinhaltet, ist nicht öffentlich bekannt.
Bereits am 8. Juni hatte das Nationale Zentrum für Cybersicherheit (NCSC) kommuniziert, dass auch operative Daten des Bundes von dem Angriff betroffen sein könnten.
Zahlreiche staatliche Organisationen arbeiteten in den letzten Jahren mit Xplain zusammen. Die Berner Firma entwickelt Fachapplikationen und bietet technischen Support.
Xplain hat watson am Mittwoch eine schriftliche Stellungnahme zu den jüngsten Ereignissen geschickt:
«Die Play-Gruppe hat am 1. Juni 2023 einen ersten Teil der entwendeten Daten veröffentlicht. Xplain hat diese Daten analysiert und mit den betroffenen Kunden das weitere Vorgehen besprochen.
Vorbereitend auf weitere Veröffentlichungen von gestohlenen Daten wurden die weiteren Untersuchungen in Zusammenarbeit mit den ermittelnden Behörden, dem NCSC und den betroffenen Kunden vorangetrieben.
Mit der Veröffentlichung des vermutlich gesamten gestohlenen Datenbestands vom 14. Juni 2023 werden alle Beteiligten diese Arbeiten mit hoher Intensität weiterverfolgen. Die Information von allenfalls vom Datendiebstahl betroffenen Personen erfolgt direkt durch die jeweiligen Datenherren.»
Wer ist betroffen?
Zuvor hatten unbekannte Cyberkriminelle wenige GB an gestohlenen Daten veröffentlicht, um das betroffene Unternehmen unter Druck zu setzen. Offensichtlich hat dies nicht geklappt und weil das Opfer kein Lösegeld bezahlen wollte, haben die Täter nun alle Daten veröffentlicht.
Von dem Angriff im Mai sind zahlreiche Schweizer Behörden betroffen, die in Geschäftsbeziehung mit der gehackten IT-Firma standen oder immer noch stehen. Dem Vernehmen nach enthalten die gestohlenen Daten geschäftliche Korrespondenz zwischen der Xplain AG und ihren Kundinnen.
Gemäss den Recherchen von watson sind diverse Institutionen der Bundesverwaltung tangiert:
Bundesamt für Bauten und Logistik (BBL)
Staatssekretariat für Migration SEM, früher Bundesamt für Migration
Bundesamt für Justiz (BJ)
Bundespolizei Fedpol
Oberzolldirektion, Bundesamt für Zoll und Grenzsicherheit
Generalsekretariat GS-EJPD
Das frühere Grenzwachkorps (GWK), heute Bundesamt für Zoll und Grenzsicherheit BAZG
Betroffen ist auch das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS).
Hinzu kommen zahlreiche kantonale Behörden, aber auch andere bekannte nationale Organisationen wie die Rega, die Bahnpolizei, Securitrans (heute Transsicura). Und auch die Stadtpolizei Zürich zählt zu den Xplain-Kunden.
Die Kantonspolizei Bern bestätigt:
«Es ist so, dass wir ein System der IT-Dienstleisterin verwenden. Wir haben die Daten, die im System enthalten sind, jedoch genau unter Kontrolle und können den Zugang – falls nötig – jederzeit blockieren. Weitere Angaben können wir zum aktuellen Zeitpunkt nicht machen.»
Magdalena Rast, Mediensprecherin
Wie reagiert der Bund?
Das Eidgenössische Finanzdepartement (EFD) hat am Mittwoch in einer Mitteilung bestätigt, dass operative Daten der Bundesverwaltung entwendet wurden.
«Die Aktualität der Daten und ob ihre Publikation weiterreichende Auswirkungen haben könnte, muss in den verschiedenen betroffenen Behörden und Organisationen nun geklärt werden.»
quelle: efd.admin.ch
Erste Massnahmen seien getroffen worden, um ein Sicherheitsrisiko für die Bundesverwaltung zu minimieren. Die betroffenen Stellen seien informiert worden.
Es handle sich mutmasslich um den gesamten entwendeten Datensatz, so das EFD. Im Moment werde das publizierte Datenmaterial gesichert und analysiert.
«Nach wie vor gibt es keine Hinweise darauf, dass Bundessysteme direkt angegriffen wurden. Da operative Daten vom Angriff betroffen sind, haben verschiedene Stellen der Bundesverwaltung Strafanzeige erstattet oder prüfen ähnliche Schritte. Mit diesem Vorgehen soll geklärt werden, unter welchen Umständen die Daten aus der Bundesverwaltung auf das System der Firma Xplain gelangt sind.»
Angeblich keine sensitiven Daten
Auch die Liechtensteiner Landespolizei ist vom Hackerangriff betroffen, wie sie am Dienstag mitteilte. Bei den gestohlenen Daten handle es sich aber nur um Projektinformationen.
Falldaten seien schlimmstenfalls in Einzelfällen betroffen, zitierte die Nachrichtenagentur Keystone-SDA aus einer Mitteilung der Landespolizei. Falldaten und Personendaten seien nicht auf Xplain-Servern gespeichert worden.
In einer früheren Stellungnahme von Xplain hiess es, man habe «keine Personen- und Fall-Daten aus Kundensystemen» auf den eigenen Servern gespeichert.
Die Ransomware-Bande Play zeichnete zuvor auch für Hackerangriffe auf die Walliser Gemeinde Saxon VS (Mai 2023), die Medienhäuser CH Media und NZZ (April), Energie Pool Schweiz (Feb.) und H-Hotels (Dez. 2022) verantwortlich. Dies sind jedoch nur die öffentlich bekannten Opfer. IT-Sicherheitsfachleute gehen von einer hohen Dunkelziffer aus.
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Das ist die stärkste Taschenlampe der Welt. Spoiler: Sie ist HELL!
Video: watson
Das könnte dich auch noch interessieren:
Abonniere unseren Newsletter
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt.
Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
Elmas Lento
14.06.2023 14:11registriert Mai 2017
Da wird aber jemand Mühe haben, das seinen Kunden zu xplainen 🙈
Jedes System kann gehackt werden, die Frage ist nur, wie viel Aufwand man dafür aufwenden will. Oftmals reicht eine Person, die in einer schwachen Stunde den falschen E-Mail-Anhang anklickt.
Diese Hacker haben es auf die Schweiz abgesehen und verfügen über immense Ressourcen. Das wird also nicht der letzte grosse Angriff auf unsere Organisationen sein. Seien wir froh, dass sie bisher nur Datensysteme knacken konnten und sich an den Systemen der Energieversorger und Atomkraftwerke bisher die Zähne ausbeissen.
Eigentlich schade dass der Bund keine vertikale Integration der Behordenverwaltung anstrebt. Weil die Werkzeuge welche benotigt werden, ein sehr elementarer Bestandteist ohne dass es nicht mehr Funktionieren kann. Es geht mir einfach nicht in den Kopf dass jeder Kanton, Stadt, Gemeinde usw. das gleiche X-mal bei jemanden anderen Einkauft, Entwikelt, Supportet etc. lässt. Beispiel: Gemende- und Kantonswebseite, Logo, Onlineschalter, MFK, Steuern usw. Ev. wäre da gut Geld gespaart. Wenn ich eine Analogie zum Auto wagen darf: Der Bund sollte nicht Autohändler sein, sondern Ingenieur.
Wie Google, Meta, Telegram und Co. den russischen Terror-Staat unterstützen
Die grossen Techkonzerne müssen auf ihren Plattformen in Europa gegen russische Propaganda und Desinformation vorgehen. Eine unabhängige Untersuchung zeigt jedoch ein weitreichendes Versagen.
Die schärfsten Sanktionen bringen nichts, wenn sie nicht durchgesetzt werden. Dies illustriert ein aktueller Fall, der sich um einige der einflussreichsten und mächtigsten Techkonzerne der Welt dreht.
