Ob die Daten noch im Internet zu finden sind, darüber bestand vorübergehend Verwirrung. Am Wochenende wollte das Nationale Zentrum für Cybersicherheit (NCSC) zwischenzeitlich Entwarnung geben. Die Bundesbehörde liess verlauten, die gestohlenen Bundesdaten seien wieder von der betroffenen Darknet-Seite verschwunden. Dies widersprach allerdings den von watson getätigten Recherchen.
Die NCSC-Meldung wurde in der Folge dementiert: Nach Angaben von zwei mit der Angelegenheit vertrauten IT-Sicherheitsexperten waren die Daten am Abend wieder abrufbar, wie sie nach Tests gegenüber der Nachrichtenagentur Keystone-SDA erklärten. Auch IT-Sicherheitsexperte Marc Ruef schrieb am Montagmorgen auf Twitter, die Daten seien zwar nur umständlich erreichbar, aber nach wie vor online.
Media claims that web site of ransomware gang #Play is not reachable and leaked data of #Xplain can't be downloaded anymore. Sites were always slow and unreliable, but they are still up and running. pic.twitter.com/xcFiCsapKM
— Marc Ruef 𖢥 (@mruef) July 3, 2023
Wie CH Media schreibt, kam es vermutlich zu technischen Problemen, weil zu viele Leute die Daten gleichzeitig downloaden wollten. Die vielen Anfragen zwangen den Server dann sehr wahrscheinlich vorübergehend in die Knie.
Gemäss Angaben eines Beobachters waren die Server am Montagmorgen wieder «down». Es bleibt unklar, ob es der Bund selbst schafft, den Server der Hacker durch Anfragen so unter Druck zu setzen, dass er kollabiert.
Als der Bundesrat sich zum Datenraub äusserte, war von «mehreren Millionen Dateien» die Rede, welche entwendet wurden. Am Wochenende lieferten Medienberichte detailliertere Hinweise zum Fall: Wie die «NZZ am Sonntag» und der «Sonntagsblick» berichteten, wurden unter anderem auch hochsensible Dokumente der Bundespolizei Fedpol entwendet. Konkret handle es sich um als «vertraulich» klassifizierte Dokumente des Bundessicherheitsdienstes.
Zu den gestohlenen Dokumenten gehöre etwa eines aus dem Jahr 2018, bei welchem es um Sicherheitsmassnahmen für ausländische Diplomaten und Botschaften sowie vom Bund geschützte Personen und Objekte geht.
Darauf aufgelistet seien nicht nur Adressen von Bundesrätinnen und Bundesräten, sondern auch von Privatresidenzen von einzelnen unter Schutz stehenden Top-Kadern der Schweizer Sicherheitsbehörden.
Ebenfalls geleakt wurden angeblich sogenannte «Red Notices» von Interpol, zu welchen Haft- und Auslieferungsversuche sowie Fahndungsausschreibungen gehören, bei welchen es wohl um Schwerverbrecher geht.
Ausserdem könnten auch Login-Daten von Bundesämtern veröffentlicht worden sein, hiess es. Bis jetzt gebe es jedoch keinen Hinweis darauf, dass sich jemand mit den Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen, schrieb dazu das NCSC. Ausserdem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.
Weitere Dokumente beinhalten unter anderem Sicherheitsdispositive von hochkarätigen Diplomatenbesuchen und Handynummern von Fedpol-Angestellten. All diese Angaben sind zwar schon älter, reichen nach Angaben der «NZZ am Sonntag» aber dazu aus, um sich ein konkretes Bild der Sicherheitsdispositive der Schweizer Bundespolizei zu machen.
Am Sonntag wollte das Bundesamt für Polizei auf Anfrage weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, «um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen».
Das Fedpol wolle nun geklärt haben, unter welchen Umständen die operativen Daten auf die Server von Privaten gelangt seien. Deshalb habe es auch Strafanzeige gegen Unbekannt eingereicht.
Das Datenleck sorgte in der Politik ebenfalls für Aufruhr. Dabei gab es viele kritische Worte. «Es fehlt nach wie vor einfach ein Gesamtkonzept im Bund», so SVP-Nationalrat Alfred Heer, Präsident der Geschäftsprüfungskommission des Nationalrats, gegenüber SRF. Der Bund stecke grundsätzlich bei der Cybersicherheit in den Kinderschuhen, sagt er. Deshalb ruft er den Bundesrat zum Handeln auf: «Man muss endlich eine Strategie umsetzen, welche für alle Departemente gilt. Wir stellen fest, dass die Verwaltungseinheiten – salopp gesagt – jede für sich etwas basteln.»
Auch FDP-Nationalrätin und Sicherheitspolitikerin Maja Riniker zeigte sich gegenüber SRF beunruhigt. Die Daten seien heikel, auch wenn sie schon älter seien, sagt sie. «Dieser Umstand sollte und darf nicht stattfinden», kritisiert Riniker und fordert deshalb, es solle in einem ersten Schritt genau aufgearbeitet werden, wie es überhaupt zum Datenklau kommen konnte.
Gerhard Andrey, Grüne-Nationalrat und Sicherheitspolitiker, fordert als Folge des Angriffs derweil mehr Geld für die Cybersicherheit. Armeeressourcen sollten lieber in die Cyberabwehr statt in schweres Kriegsmaterial investiert werden, fordert der Freiburger. Denn die Schweiz sei als Land mit vielen zahlungskräftigen Unternehmen ein speziell attraktives Ziel für solche Cyberangriffe. «Aber auch als Sitz der UNO-Organisationen ist die Schweiz stärker exponiert als andere.»
Zu einem bis dato unbekannten Zeitpunkt nutzten Hacker eine Schwachstelle beim Schweizer IT-Dienstleister Xplain aus und stahlen auf den Firmen-Servern gespeicherte Daten, darunter Daten der Bundesverwaltung und diverser Polizeibehörden. Dann starteten die Cyberkriminellen eine Verschlüsselungs-Malware (Ransomware).
Am 28. Juni verabschiedete der Bundesrat das Mandat für einen Krisenstab mit dem Namen «Datenabfluss». Dieser soll die Arbeiten nach dem Hackerangriff koordinieren. «Es muss sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist», sagte Bundesrätin Karin Keller-Sutter am Mittwoch. Den Abfluss der Daten bezeichnete sie als «beunruhigend».
Noch immer sind zahlreiche Fachleute damit beschäftigt, den Vorfall und das betroffene Datenpaket auszuwerten und zu analysieren. Der Bundesrat geht laut eigenen Angaben davon aus, dass dies mehrere Monate dauern könnte.
(dab, mit Material von Keystone-sda)
