Schweiz
Digital

Xplain-Leak: Hacker stehlen heikle Daten zu Bundesräten und Botschaften

Screenshot der Website der IT-Dienstleisterin Xplain AG, die von einer gravierenden Cyberattacke betroffen ist. (Juli 2023)
Die Berner IT-Firma hat sich auf die Entwicklung von «Homeland Security»-Software spezialisiert.Screenshot: xplain.ch

Hacker konnten angeblich heikle Daten zu Bundesräten und den Botschaften stehlen

Der Angriff der Ransomware-Bande Play gegen die Schweizer IT-Dienstleisterin Xplain AG betrifft laut Medienberichten unter anderem auch vertrauliche Dokumente des Bundessicherheitsdienstes.
01.07.2023, 22:5203.07.2023, 09:23
Mehr «Schweiz»

Bei dem von watson publik gemachten Hackerangriff auf die Berner IT-Firma Xplain wurden übereinstimmenden Medienberichten zufolge vertrauliche Dokumente des Bundessicherheitsdienstes erbeutet und veröffentlicht – darunter Dispositive für Staatsgäste und Magistraten.

Unter den Daten, die im Darknet zugänglich gemacht wurden, ist laut einem Vorabbericht der «NZZ am Sonntag» auch ein Dokument von 2018 zu Sicherheitsmassnahmen für ausländische Diplomaten und Botschaften sowie vom Bund geschützte Personen und Objekte. Die Adressen von Bundesrätinnen und Bundesräten seien aufgelistet sowie die Residenzen von unter Schutz stehenden Top-Kadern.

In die Hände der Hacker fielen laut «Sonntagsblick» überdies Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen in Fällen von mutmasslichen Schwerverbrechern.

Von den Behörden lag zunächst keine Stellungnahme vor. Es laufen bereits Untersuchungen, wie sensitive Daten der Eidgenossenschaft auf dem Server der privaten Firma lagern und schliesslich bei Cyberkriminellen landen konnten.

Update: Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte am Sonntag auf Anfrage der Nachrichtenagentur Keystone-SDA weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, «um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen».

Seitens des Nationalen Zentrums für Cybersicherheit (NCSC) hiess es am Sonntag, die gestohlenen Bundes-Daten seien wieder aus dem Darknet verschwunden. Dies deckt sich jedoch nicht mit den Recherchen von watson: Die entsprechenden Darknet-Links funktionierten. Allerdings waren die Verbindungen, die über die Anonymisierungs-Software Tor zustande kommen, zeitweise beeinträchtigt.

Der IT-Sicherheitsforscher Marc Ruef bestätigt, dass die Leak-Sites trotz gewisser Probleme erreichbar sind.
Der IT-Sicherheitsforscher Marc Ruef bestätigt, dass die Leak-Sites trotz gewisser Probleme erreichbar sind.screenshot: twitter

Was ist bislang passiert?

Zu einem bis dato unbekannten Zeitpunkt nutzten Hacker eine Schwachstelle beim Schweizer IT-Dienstleister Xplain aus und stahlen auf den Firmen-Servern gespeicherte Daten, darunter Daten der Bundesverwaltung und diverser Polizeibehörden. Dann starteten die Cyberkriminellen eine Verschlüsselungs-Malware (Ransomware).

Auf der Leak-Site der Ransomware-Bande «Play» im Darknet wurde in der Nacht auf den 23. Mai ein Drohschreiben veröffentlicht und watson machte den Angriff publik.

Am 1. Juni machten die mutmasslich russischen Cyberkriminellen wenige Gigabyte (GB) an gestohlenen Daten auf der entsprechenden Leak-Site im Darknet zugänglich.

Am 8. Juni kommunizierte das Nationale Zentrum für Cybersicherheit (NCSC), dass auch operative Daten des Bundes von dem Cyberangriff betroffen sein könnten.

Am 14. Juni wurden auf der Leak-Site mutmasslich alle gestohlenen Xplain-Daten («907 GB») zugänglich gemacht. Die Cyberkriminellen bezeichnen dies als «Full Dump».

Das NCSC informierte am selben Tag, dass nach «vertieften Datenanalysen» Handlungsbedarf bestehe. Da tatsächlich operative Daten der Bundesverwaltung vom Angriff betroffen seien, hätten verschiedene Stellen Strafanzeige erstattet.

Millionen Dateien gestohlen

Am 28. Juni informierte der Bundesrat, dass er einen Krisenstab mit dem Namen «Datenabfluss» mandatiert habe. An dem Gremium beteiligt sind alle Departemente, die Bundeskanzlei sowie eine Vertretung der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD).

Zudem lässt der Bundesrat ein Mandat für eine Administrativuntersuchung erarbeiten. Damit solle von einer unabhängigen Stelle untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind, hiess es. Es ist unklar, wie es möglich war, dass ein privater IT-Anbieter über die heiklen Daten verfügen konnte.

Fachleute des Bundes sind daran, den Vorfall und das Daten-Leak auszuwerten und zu analysieren. Der Bundesrat geht davon aus, dass dies mehrere Wochen bis Monate dauern könnte. Das Leak umfasse mehrere Millionen Dateien.

Bis jetzt gibt es laut NCSC keine Hinweise darauf, dass sich jemand mithilfe gestohlener Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen. Ausserdem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.

(dsc/sda)

Eine Cyberattacke mit weitreichenden Folgen

Der Xplain-Hackerangriff und seine weitreichenden Folgen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
Bald keine Handwerker mehr? Dieser Roboter könnte zur Konkurrenz werden
Video: watson
Das könnte dich auch noch interessieren:
Hast du technische Probleme?
Wir sind nur eine E-Mail entfernt. Schreib uns dein Problem einfach auf support@watson.ch und wir melden uns schnellstmöglich bei dir.
53 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Dazool68
01.07.2023 23:07registriert Juni 2016
Warum traute ich unserem Staat gerade kein Patientendossier zu?
1194
Melden
Zum Kommentar
avatar
Sauäschnörrli
01.07.2023 23:06registriert November 2015
Die Ironie an der ganzen Sache ist ja, dass die Behörde die gerade so vorgeführt wird, diejenige sein sollte, die diesen Hackern das Handwerk legen sollte.
1152
Melden
Zum Kommentar
avatar
Neruda
01.07.2023 23:36registriert September 2016
Das ist super. Alle Politiker sollten mal von Datenklau betroffen sein und unangenehme Erfahrungen machen müssen. Nur so würden sie endlich den Finger raus nehmen und etwas für den Datenschutz tun. Traurig aber wahr.
939
Melden
Zum Kommentar
53
Satanic Panic: Was es mit den falschen Erinnerungen auf sich hat
Patienten, die sich in Psychotherapiesitzungen an grässliche Kindheitserlebnisse erinnern - solche Fälle von ritueller Gewalt wurden in den letzten Jahren verschiedentlich publik. Nun distanziert sich der Berufsverband der Schweizer Psychologinnen und Psychologen.

Der letzte Fall wurde im Sommer dieses Jahr publik: Der «Beobachter» berichtete von Zwillingsschwestern und ihren Eltern, deren Beziehung nach schlimmen Vorwürfen in die Brüche ging: Eine der beiden Zwillingsschwestern begann 2019 eine Psychotherapie. Wenige Wochen später zeigte sie ihren Vater wegen sexuellen Missbrauchs in acht Fällen an. Die Zwillingsschwester sei dabei gewesen und auch die Mutter habe alles gewusst. Diese verneinten dies.

Zur Story