Bundesrat setzt Krisenstab ein nach Angriff durch Ransomware-Bande Play

Die Schweizer Landesregierung zeigt sich nach der Attacke der mutmasslich russischen Hacker und der Veröffentlichung gestohlener Daten im Darknet beunruhigt.

28.06.2023, 16:2629.06.2023, 06:49

Der Bundesrat hat einen Krisenstab mit dem Namen «Datenabfluss» mandatiert. Dieser soll die Arbeiten nach dem von watson publik gemachten Hackerangriff auf die Firma Xplain koordinieren. Von dem Angriff sind zahlreiche Institutionen beim Bund und in den Kantonen betroffen.

Die Cyberattacke, bei der über 900 Gigabyte an gestohlenen Daten im Darknet geleakt wurden, geht auf das Konto der mutmasslich russischen Ransomware-Bande Play.

Was tut der Krisenstab?

Der Krisenstab soll die strategische Lage fortlaufend analysieren und beurteilen, die bundesinternen Arbeiten koordinieren, die Information nach innen und aussen sicherstellen und Grundlagen für weitere Entscheide des Bundesrates erarbeiten, wie die Landesregierung am Mittwoch mitteilte.

Bundesraetin Karin Keller-Sutter, rechts, spricht neben Sabine D'Amelio-Favez, Direktorin Eidgenoessische Finanzverwaltung (EFV), links, an einer Medienkonferenz ueber das Thema "Eckwerte Vo ...

Bundesrätin Karin Keller-Sutter bezeichnet den Datenabfluss als «beunruhigend».Bild: keystone

«Es muss sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist», sagte Finanzministerin Karin Keller-Sutter vor den Medien in Bern. Das sei eigentlich Sinn und Zweck dieses Krisenstabs. Den Abfluss der Daten bezeichnete Keller-Sutter als «beunruhigend».

Bereits Mitte Juni hat sich der Bundesrat dazu entschieden, den Krisenstab einzusetzen, wie es hiess. Ziel sei gewesen, die umfangreichen Arbeiten auf operativer Seite zu ergänzen. Seither habe der Krisenstab bereits zwei Mal getagt und dem Bundesrat Vorschläge für das weitere Vorgehen unterbreitet.

Am Mittwoch hat der Bundesrat nun das Mandat an den Krisenstab verabschiedet. Am Krisenstab beteiligt sind alle Departemente, die Bundeskanzlei sowie eine Vertretung der Kantonalen Justiz- und Polizeidirektorinnen und -direktoren (KKJPD). Geführt wird er von der Generalsekretärin des Eidgenössischen Finanzdepartements (EFD).

Was war passiert?

Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain ausgenutzt und dort unter anderem Daten der Bundesverwaltung gestohlen. Dann starteten sie eine Verschlüsselungs-Software (Ransomware).

Ende Mai veröffentlichten die unbekannten Cyberkriminellen auf der Darknet-Site der «Play»-Bande eine erste Drohung und watson machte den Angriff publik.

Anfang Juni veröffentlichten die mutmasslich russischen Cyberkriminellen wenige Gigabyte (GB) an gestohlenen Daten auf der entsprechenden Leak-Site im Darknet.

Die Ransomware-Bande Play droht auf ihrer Leak-Site mit der Veröffentlichung von Daten, die der Schweizer Software-Firma Xplain AG gestohlen wurden.

Das erste Posting der Cyberkriminellen zur Berner IT-Dienstleisterin. Bild: Screenshot: watson

Am 8. Juni kommunizierte das Nationale Zentrum für Cybersicherheit (NCSC), dass auch operative Daten des Bundes von dem Angriff betroffen sein könnten.

Am 14. Juni machten die Cyberkriminellen mutmasslich alle gestohlenen Daten (über 900 GB) zugänglich. Eine solche Veröffentlichung wird als «Full Dump» bezeichnet.

Die Bundesanwaltschaft eröffnete ein Verfahren.

Was ist mit der unabhängigen Untersuchung?

Der Bundesrat lässt ein Mandat für eine Administrativuntersuchung erarbeiten. Damit solle von einer unabhängigen Stelle untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind, hiess es. «Wir können heute nicht beantworten, wie es möglich war, dass ein solcher Anbieter überhaupt über solche Daten verfügen konnte», sagte Keller-Sutter.

Weiter hat der Bundesrat entschieden, bestehende Verträge mit Informatikdienstleistern des Bundes zu überprüfen. Die Cybersicherheit solle verbessert und so angepasst werden, dass der Bund im Fall eines Hackerangriffs rasch reagieren könne. Zudem will er sicherstellen, dass die heute von Xplain erbrachten Leistungen für den Bund in jedem Fall gewährleistet werden können.

Aktuell ist der Bund daran, den Vorfall und das betroffene Datenpaket auszuwerten und zu analysieren. Der Bundesrat geht davon aus, dass dies noch einige Wochen bis zu Monate dauern kann. Denn es handle sich um mehrere Millionen Dateien, hiess es.

Die «Play»-Ransomware wurde erstmals im Juni 2022 entdeckt – in Lateinamerika. IT-Sicherheitsexperten nehmen an, dass die Entwickler aus Russland stammen. Die implementierten Verschlüsselungstechniken ähneln denen der russischsprachigen Ransomware-Gruppen Hive und Nokoyawa.