Die Ransomware-Bande ALPHV kennt keine Gnade gegenüber ihren zahlungsunwilligen Opfern. Das musste nun die Schweizer Vermögensverwalterin Finaport herausfinden.
Am 5. Februar veröffentlichten die Internet-Erpresser auf ihrer Leak-Seite im Darknet eine grosse Menge an Daten, die sie mutmasslich bei einem Hackerangriff erbeutet haben: Laut den Angaben im Darknet sind es 1,2 Terabyte.
Als watson den Hackerangriff und das damit verbundene Leak am 7. Februar publik machte, schrieben wir von einer potenziell gravierenden Ransomware-Attacke. Unsere Recherchen zeigen, dass für die vermögenden Kundinnen und Kunden, aber auch für Geschäftspartner und Banken im Inland und Ausland Grund zur Sorge besteht.
watson hat juristischen Rat eingeholt und verzichtet auf eine detaillierte Berichterstattung zum Leak. Denn seit 2015 droht Schweizer Journalistinnen und Journalisten ein Strafverfahren, wenn sie über geleakte Bankdaten schreiben.
Im Folgenden geht der watson-Redaktor auf die wichtigsten Fragen ein, die für die Öffentlichkeit relevant sind. Und das betroffene Unternehmen nimmt Stellung.
Wegen der potenziellen Tragweite.
Auf der LinkedIn-Seite von Finaport heisst es:
Der Internetauftritt der Firma ist über eine Woche nach Bekanntwerden des Cyberangriffs nicht öffentlich erreichbar. Und weder bei LinkedIn noch auf einer anderen Plattform informiert das Unternehmen über den Datenabfluss.
Für watson stellte sich die Frage, ob die von dem Leak betroffenen Personen und Institutionen im In- und Ausland gewarnt wurden. Ob sie sich der Risiken und Gefahren bewusst sind, die nun bestehen: Heikle Informationen könnten schnell in falsche Hände fallen – und es ist zu befürchten, dass sie für weitere, gezielte Angriffe eingesetzt werden.
Wie der Geschäftsführer von Finaport, der frühere UBS-Banker Fabian Jenny, gegenüber watson erklärt, hat das Unternehmen seine Krisenkommunikation hochgefahren.
In einer ersten Stellungnahme hatte es geheissen, «die zentralen Kundendatenbanken der Schweizer und Liechtensteiner Geschäftseinheiten» seien nicht betroffen. An dieser Darstellung hält das Unternehmen fest.
Auf Nachfrage erklärt der Finaport-CEO:
Die Ransomware-Bande, die hinter dem «erfolgreichen» Hackerangriff auf Finaport steht, hat wegen ihres perfiden Vorgehens wiederholt für Schlagzeilen gesorgt.
ALPHV zählt zu den aktivsten und gefährlichsten Gruppierungen, die «Ransomware as a Service» (RaaS) anbieten. Die Anführer werden in Russland vermutet, sie kooperieren angeblich nur mit russischsprachigen «Partnern», wie ein hochrangiges Mitglied in einem früheren Interview erklärte.
Im Mai 2022 legten die Hacker das österreichische Bundesland Kärnten fast komplett lahm. Sämtliche IT-Systeme der öffentlichen Verwaltung mussten heruntergefahren werden und es herrschte während Tagen Notbetrieb, um die unverzichtbaren Dienstleistungen zu erbringen.
ALPHV verfügt aber nicht nur über das Know-how und die Tools, um sich über längere Zeit unbemerkt in fremden Netzwerken zu bewegen, möglichst viele wertvolle Daten zu stehlen und anschliessend die Systeme mit Malware lahmzulegen. Die Bande versucht auch, zahlungsunwilligen Opfern den grösstmöglichen Schaden zuzufügen.
Erbeutete Daten werden nicht einfach als komprimierte Dateien über einen Link im Darknet zugänglich gemacht: Vielmehr betreiben die Kriminellen neben der normalen Leak-Seite, wo sie ihre Opfer an den Pranger stellen, ein eigentliches Online-Archiv mit einer mächtigen Suchfunktion. Dort lässt sich gezielt nach Dateitypen und Inhalten suchen.
Die Kriminellen selbst liessen 2022 verlauten, dass sie diese erweiterte Suchfunktion eingeführt hätten, um die von fremden Servern gestohlenen Daten «für die Gemeinschaft der Cyberkriminellen besser nutzbar zu machen».
Dazu darf watson wegen des oben erwähnten «Maulkorb-Artikels» des Schweizer Bankengesetzes nichts sagen. Nur schon das Recherchieren ist juristisch heikles Terrain.
Finaport bestätigte gegenüber watson, dass neben dem Hauptsitz in Zürich auch die Niederlassung in Singapur betroffen sei. Unsere Recherchen zeigen, dass der «Datenabfluss» zahlreiche weitere Länder tangieren dürfte.
Anzumerken ist, dass die Hacker beim «Plündern» der Finaport-Server auch Outlook-Postfächer von aktuellen und früheren Angestellten erbeutet haben. Die geleakten Mail-Backups könnten ebenfalls sensible Daten enthalten.
Was die vermögenden Kundinnen und Kunden des Unternehmens betrifft, können wir nicht ins Detail gehen. Nur so viel: Es geht um Finanzinstitute in aller Welt, aber auch um renommierte Privatbanken und Grossbanken hierzulande.
Alle Kundinnen und Kunden seien über den Cyberangriff informiert worden, versichert Finaport. Aber:
Mitarbeitende, Geschäftspartner und Kunden seien «im direkten, persönlichen Kontakt» informiert worden.
Gegenüber watson präzisiert Finaport:
Hingegen habe man sich dagegen entschieden, die Öffentlichkeit über die eigene LinkedIn-Firmen-Seite oder über eine andere, vergleichbare Plattform zu informieren.
Dazu erklärt Finaport:
Man werde die Lehren daraus «mit den betroffenen Personen, Geschäftspartnern und Aufsichtsträgern teilen».
Das bisherige Abwehrdispositiv für Cyberangriffe sei in zahlreichen Punkten verändert und ergänzt worden.
Die Auswirkungen des Cyberangriffs sind nicht absehbar.
Die Aufsichtsbehörde des Bundes, die Eidgenössische Finanzmarktaufsicht (FINMA), kann sich nicht zu Einzelfällen äussern, wie ein Sprecher gegenüber watson sagte.
Geschäftsführer Fabian Jenny erklärt:
Finaport habe den Angriff zwar hinter sich und sei – mit Ausnahme der Firmenwebsite – «auf allen Ebenen wieder uneingeschränkt operabel». Aber die Bewältigung des Vorfalls werde noch einige Zeit in Anspruch nehmen.
