Bei dem von watson publik gemachten Hackerangriff auf die Berner IT-Firma Xplain wurden übereinstimmenden Medienberichten zufolge vertrauliche Dokumente des Bundessicherheitsdienstes erbeutet und veröffentlicht – darunter Dispositive für Staatsgäste und Magistraten.
Unter den Daten, die im Darknet zugänglich gemacht wurden, ist laut einem Vorabbericht der «NZZ am Sonntag» auch ein Dokument von 2018 zu Sicherheitsmassnahmen für ausländische Diplomaten und Botschaften sowie vom Bund geschützte Personen und Objekte. Die Adressen von Bundesrätinnen und Bundesräten seien aufgelistet sowie die Residenzen von unter Schutz stehenden Top-Kadern.
In die Hände der Hacker fielen laut «Sonntagsblick» überdies Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen in Fällen von mutmasslichen Schwerverbrechern.
Von den Behörden lag zunächst keine Stellungnahme vor. Es laufen bereits Untersuchungen, wie sensitive Daten der Eidgenossenschaft auf dem Server der privaten Firma lagern und schliesslich bei Cyberkriminellen landen konnten.
Update: Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte am Sonntag auf Anfrage der Nachrichtenagentur Keystone-SDA weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, «um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen».
Seitens des Nationalen Zentrums für Cybersicherheit (NCSC) hiess es am Sonntag, die gestohlenen Bundes-Daten seien wieder aus dem Darknet verschwunden. Dies deckt sich jedoch nicht mit den Recherchen von watson: Die entsprechenden Darknet-Links funktionierten. Allerdings waren die Verbindungen, die über die Anonymisierungs-Software Tor zustande kommen, zeitweise beeinträchtigt.
Zu einem bis dato unbekannten Zeitpunkt nutzten Hacker eine Schwachstelle beim Schweizer IT-Dienstleister Xplain aus und stahlen auf den Firmen-Servern gespeicherte Daten, darunter Daten der Bundesverwaltung und diverser Polizeibehörden. Dann starteten die Cyberkriminellen eine Verschlüsselungs-Malware (Ransomware).
Auf der Leak-Site der Ransomware-Bande «Play» im Darknet wurde in der Nacht auf den 23. Mai ein Drohschreiben veröffentlicht und watson machte den Angriff publik.
Am 1. Juni machten die mutmasslich russischen Cyberkriminellen wenige Gigabyte (GB) an gestohlenen Daten auf der entsprechenden Leak-Site im Darknet zugänglich.
Am 8. Juni kommunizierte das Nationale Zentrum für Cybersicherheit (NCSC), dass auch operative Daten des Bundes von dem Cyberangriff betroffen sein könnten.
Am 14. Juni wurden auf der Leak-Site mutmasslich alle gestohlenen Xplain-Daten («907 GB») zugänglich gemacht. Die Cyberkriminellen bezeichnen dies als «Full Dump».
Das NCSC informierte am selben Tag, dass nach «vertieften Datenanalysen» Handlungsbedarf bestehe. Da tatsächlich operative Daten der Bundesverwaltung vom Angriff betroffen seien, hätten verschiedene Stellen Strafanzeige erstattet.
Am 28. Juni informierte der Bundesrat, dass er einen Krisenstab mit dem Namen «Datenabfluss» mandatiert habe. An dem Gremium beteiligt sind alle Departemente, die Bundeskanzlei sowie eine Vertretung der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD).
Zudem lässt der Bundesrat ein Mandat für eine Administrativuntersuchung erarbeiten. Damit solle von einer unabhängigen Stelle untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind, hiess es. Es ist unklar, wie es möglich war, dass ein privater IT-Anbieter über die heiklen Daten verfügen konnte.
Fachleute des Bundes sind daran, den Vorfall und das Daten-Leak auszuwerten und zu analysieren. Der Bundesrat geht davon aus, dass dies mehrere Wochen bis Monate dauern könnte. Das Leak umfasse mehrere Millionen Dateien.
Bis jetzt gibt es laut NCSC keine Hinweise darauf, dass sich jemand mithilfe gestohlener Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen. Ausserdem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.
(dsc/sda)