Richtige Schlüsse gezogen

Update: GPK lobt Reaktion des Bundes auf Xplain-Vorfall

Uhr
von Maximilian Schenner und Yannick Züllig und Yannick Chavanne und René Jaun und Coen Kaat und Marc Landis und Tanja Mettauer und Joël Orizet und lha, cka, yzu, rja, tme, cla, msc

Nach einem Ransomwareangriff auf den Schweizer IT-Dienstleister Xplain haben Cyberkriminelle schützenswerte Daten mehrerer Behörden veröffentlicht. Die parlamentarische Geschäftsprüfungskommission, die den Vorfall untersuchte, ist mit den im Nachgang vom Bund ergriffenen Massnahmen zufrieden.

(Source: Ansgar Scheffold / Unsplash)
(Source: Ansgar Scheffold / Unsplash)

Update vom 07.06.2024: Im Ständerat ist man zufrieden mit den Massnahmen, die der Bund nach dem Cyberangriff auf den IT-Dienstleister Xplain ergriffen hat. "Wir haben uns davon überzeugen lassen, dass die richtigen Lehren aus dem Vorfall gezogen wurden", zitieren die Parlamentsdienste den Schwyzer SVP-Ständerat Pirmin Schwander. Er präsidiert die dafür zuständige Subkommission der Geschäftsprüfungskommission des Ständerats (GPK-S) und kommentierte die Angelegenheit im Rahmen der Beratung des Geschäftsberichts 2023 des Bundesrats.

Namentlich erwähnte Schwander, dass Xplain-Angestellte neu nur noch unter Aufsicht des Bundes und in Räumlichkeiten des Bundes mit dessen produktiven Daten arbeiten dürften. Er erwähnte auch, dass verschiedene Behörden die Aufträge an Xplain überprüft und fast alle entschieden hätten, mit dem IT-Dienstleister weiter zu arbeiten.

 

Update vom 04.06.2024:

EDÖB schliesst Verfahren gegen Xplain und zwei Bundesämter ab

Vor fast einem Jahr - Mitte Juni 2023 - hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seine Untersuchungen zum Ransomwareangriff auf Xplain eröffnet. Dabei nahm er nach dem IT-Dienstleister auch die Bundesämter für Polizei (Fedpol) und für Zoll und Grenzsicherheit (BAZG), unter die Lupe. Nun vermeldet der EDÖB, die drei Verfahren abgeschlossen zu haben.

Die Schlussberichte legte die Behörde bereits Anfang Mai 2024 vor, wie es in der Mitteilung heisst. Per Ende Mai nahmen nun sowohl die Bundesämter als auch Xplain die vom EDÖB erteilten Empfehlungen vollumfänglich an.

Die Bundesverwaltung und deren private Auftragsbearbeiter seien angehalten, ihre Zusammenarbeit in Bezug auf die Erkenntnisse der drei Untersuchungen zu überprüfen, fügt der EDÖB hinzu und behält sich vor, in der ganzen Bundesverwaltung diesbezügliche Kontrollen durchzuführen.

In der Mitteilung fasst der Beauftragte die Erkenntnisse aus den Untersuchungen in drei zentralen Vorgaben der Datenschutzgesetzgebung des Bundes zusammen:

  • Bundesorgane müssen als datenschutzrechtlich "Verantwortliche" bei der Zusammenarbeit mit privaten Unternehmen als Auftragsbearbeiter prüfen, ob es erforderlich ist, dass Personendaten die geschützte IKT-Infrastruktur der Bundesverwaltung verlassen, oder ob es erforderlich ist, dass beauftragte Private Zugang zu dieser Infrastruktur erlangen. Auch ist zu prüfen, ob Personendaten vor ihrer Übermittlung anonymisiert werden können und welche übrigen technischen Massnahmen oder organisatorischen Vorkehren zur Verhinderung von Datenschutzverletzungen zu treffen sind.

  • Nach Analyse der datenschutzrelevanten Risiken und Bestimmung der zu deren Minimierung geeigneten Massnahmen müssen die Bundesorgane und die privaten Unternehmen ihre Umsetzungsprozesse - wie Datenflüsse, Anonymisierung oder Zugriffmodalitäten - vollständig und verständlich dokumentieren. Auch müssen Bundesorgane die erforderlichen technischen und organisatorischen Massnahmen in den mit den Privaten abgeschlossenen Verträgen gegebenenfalls unter Vereinbarung von Konventionalstrafen festhalten.

  • Private Auftragsbearbeiter haben sich bei der Bearbeitung von Personendaten hinsichtlich deren Umfangs, Intensität und Dauer an den Rahmen der vertraglichen Pflichten und Vorgaben zu halten. Geeignete Massnahmen zur Einhaltung dieser Vorgaben sind Konzepte zur rechtzeitigen Datenlöschung, die Sensibilisierung und Schulung der Mitarbeitenden sowie periodische interne oder externe Audits.

Update vom 02.05.2024:

Bund trägt Mitschuld am Cyberangriff auf Xplain

Update vom 2.5.2024: Die Auswirkungen des Angriffs auf Xplain halten an. Anfang März wurde bekannt, dass  mehr als die Hälfte der im Darknet geleakten Bundesdokumenten sensible Inhalte enthielt.

Der Abschlussbericht der Untersuchungskommission des Bundes klärt Verantwortlichkeiten und Umstände, die es Xplain ermöglichten, überhaupt in den Besitz von Produktionsdaten der Bundesverwaltung zu gelangen.  

Die vom Bundesrat angeordnete Untersuchung ergab, dass Bundesdaten während der Testphasen, der Softwareintegration und der Wartungsdienste an Xplain weitergegeben wurden. Sowohl Mitarbeiter von Xplain als auch Mitarbeiter der Bundesverwaltung waren involviert. Darüber hinaus verursachte eine mittlerweile deaktivierte Funktion in Xplain-Anwendungen die massive Datenübertragung an das Unternehmen. Die Bericht kritisiert den Prozess der Auswahl und Überwachung des Anbieters durch die Bundesbehörden und weist auf Nachlässigkeiten im Bereich des Datenschutzes und der Informationssicherheit hin.

Massnahmenpaket zur Verhinderung künftiger Datenlecks

In der Mitteilung des Bundes wird ausserdem daran erinnert, dass seit Januar dieses Jahres die neue Gesetzgebung zur Informationssicherheit verschärfte Massnahmen zur Verhinderung von Datenlecks vorschreibt. Insbesondere werden die Verwaltungseinheiten aufgefordert, bis spätestens Ende 2026 ein Informationssicherheitsmanagementsystem (ISMS) einzurichten. 

Zur Erhöhung der Sicherheit wurden drei Hauptschwerpunkte festgelegt. Erstens werden die Standards intensiviert, insbesondere bei der Verwaltung externer Partnerschaften, mit verstärkten Audits und Kontrollen. Zweitens wird ein Schulungsprogramm entwickelt, um das Bewusstsein der Mitarbeiter zu schärfen. Drittens wird bis Ende 2024 eine umfassende Analyse der Kommunikationsmittel der Bundesbehörden erwartet.

Reaktion von Xplain

Xplain veröffentlichte seinerseits eine Stellungnahme zu den Ergebnisse der Bundesuntersuchung. Diese konzentriert sich auf die Übermittlung von Bundesdaten, wobei der Anbieter darauf hinweist, dass der Ransomware-Angriff Gegenstand separater, teilweise noch laufender Untersuchungen ist. 

Nach dem Angriff habe Xplain seine IT-Systeme gemäss den Empfehlungen des Bundesamts für Cybersicherheit (BACS) vollständig neu auf. Xplain kommentiert auch die Schlussberichte des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), die unter anderem zehn Empfehlungen enthalten. Laut Xplain befindet sich die Mehrheit dieser Empfehlungen bereits in der Umsetzung oder wurde in der zweiten Hälfte des Jahres 2023 realisiert. Wie es beim IT-Dienstleister nach dem Cyberangriff weitergehen soll, erklärte Xplain-CEO Andreas Löwinger im Februar an einer Pressekonferenz, zu der Sie hier mehr lesen.  
 

Update vom 27.2.2024:

Kanton Aargau setzt Zusammenarbeit mit Xplain fort

Der Kanton Aargau arbeitet weiterhin mit Xplain zusammen. Man habe entschieden, die bestehenden Projekte mit dem IT-Dienstleister weiterzuführen, gibt das Aargauer Departement Volkswirtschaft und Inneres (DVI) bekannt. In der Mitteilung verweist die Behörde unter anderem auf das Nationale Zentrum für Cybersicherheit (NCSC, neu Bundesamt für Cybersicherheit BACS). Dieses habe im Herbst 2023 festgehalten, dass Xplain "die notwendigen technischen und organisatorischen Anforderungen an die Cybersicherheit umgesetzt hat".

Tatsächlich nahm der Kanton die betriebliche Zusammenarbeit im Bereich der bereits produktiv genutzten Systeme schon im Dezember 2023 wieder auf, wie aus der Mitteilung weiter hervorgeht. Namentlich handelt es sich dabei um die Applikationen Justthis für das Amt für Migration und Integration (Mika) und Polaris für die Kantonspolizei.

Die Wiederaufnahme der Zusammenarbeit erfolgte, "nachdem sichergestellt war, dass der Quellcode der beiden Softwarelösungen nicht manipuliert wurde und Xplain ihre gesamte IT-Infrastruktur gemäss den Vorgaben des NCSC neu aufgebaut und durch eine unabhängige Firma auditieren lassen hatte", erklärt der Kanton. Er weist auch darauf hin, dass schon vor dem Cyberangriff entschieden worden sei, die Applikation Polaris abzulösen. Diese werde darum nicht mehr weiter entwickelt.

Die Geschäftsverwaltung Justthis für die Vollzugs- und Bewährungsdienste, die Staatsanwaltschaft und die Jugendanwaltschaft, befinde sich im fortgeschrittenen Projektstadium, schreibt der Kanton weiter. Auch hier habe man sich "nach einer detaillierten Prüfung der Situation sowie einer Anpassung der Richtlinien zur Informationssicherheit im Vertrag und einer Optimierung der Prozesse" für eine Fortsetzung der Projekte entschieden.

Vor wenigen Wochen erst gab die Waadtländer Polizei bekannt, ihren Vertrag mit Xplain zu kündigen. Was der Xplain-CEO zum Cyberangriff sagt, können Sie hier lesen.

Update vom 25.01.2024:

Datenschützerin kritisiert im Fall Xplain die Aargauer Kantonsverwaltung

Noch vor dem Datendiebstahl bei der Berner Softwarefirma Xplain hat die Aargauer Kantonsverwaltung gegen Datenschutzbestimmungen verstossen. Gunhilt Kersten, die im vergangenen Jahr als kantonale Beauftragte für Öffentlichkeit und Datenschutz fungiert hatte, kritisierte die kantonale Verwaltung deswegen scharf. In einem Ende Dezember publizierten Bericht (PDF) der Datenschützerin heisst es, die Herausgabe der Daten sei "unzulässig" gewesen. 

Seit Anfang Januar hat der Kanton Aargau übrigens eine neue Beauftragte für Öffentlichkeit und Datenschutz: Auf Gunhilt Kersten, die nach zwei Amtsperioden nicht mehr zur Wiederwahl angetreten war, folgte Katrin Gisler.   

Innendepartement und Kantonspolizei lieferten Daten

Der Kanton hatte dem Softwareanbieter produktive, besonders schützenswerte Personendaten geliefert. Diese Daten waren dem Bericht zufolge von Abteilungen des kantonalen Departements Volkswirtschaft und Inneres (DVI) beziehungsweise der Kantonspolizei an Xplain geliefert worden. 

Das DVI habe zwar geltend gemacht, die Daten seien nie zu Testzwecken, sondern zur Softwareentwicklung, unter anderem zur Datenmigration aus Vorgängersystemen, an Xplain übermittelt worden. "Dies ändert an der Schutzbedürftigkeit der Daten jedoch nichts", stellt die Datenschützerin in ihrem Bericht fest. 

Datenbearbeitung vertraglich nicht geregelt

Die Bearbeitung von besonders schützenswerten Personendaten ausserhalb der kantonalen IT-Infrastruktur sei in den Verträgen mit Xplain nicht vorgesehen gewesen. Dementsprechend seien Xplain auch keine Vorgaben zur Gewährleistung der Datensicherheit bei der Bearbeitung besonders schützenswerter Personendaten gemacht worden. 

Das DVI habe zudem nicht eingehender abgeklärt, ob die Übermittlung dieser Daten an Xplain erforderlich gewesen sei. Unter den Daten waren dem Bericht zufolge auch Scans und Screenshots von Kundenbeziehungen, einzelne gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide, Software-Spezifikationen, Mustervorlagen mit Personendaten, Fehlerreports und Zugangsdaten zu einzelnen Umsystemen - letzteres betrifft beispielsweise das zentrale Migrationsinformationssystem ZEMIS, das kantonale Einwohnerregister GERES sowie die Geschäftsverwaltung Strafjustiz "JustThis" und die Geschäftsverwaltung Polizei (Polaris).

Kontrolle hat versagt

Ausserdem versagte die Kontrolle der Einhaltung der Datenschutzvorschriften: Im Rahmen der internen Datenaufsicht sei nicht bemerkt worden, dass unzulässige Datenbekanntgaben durch die verantwortlichen Stellen an Xplain erfolgt seien. Zudem hätten die verantwortlichen Stellen die Einhaltung der vertraglichen Vereinbarungen mit Xplain weder direkt noch über externe Audits überprüft - und diese fehlende Kontrolle sei wiederum nicht von der internen Dienstaufsicht bemerkt worden, heisst es im Bericht weiter. 

Die Datenschutzbeauftragte gibt in ihrem Bericht auch Empfehlungen ab. Sie spricht sich dafür aus, die internen Prozesse des DVI daraufhin zu überprüfen, ob die rechtzeitige Durchführung von Datenschutz-Folgeabklärungen genügend verankert ist. Ebenfalls klärungsbedürftig seien die Verantwortlichkeiten bezüglich der Kontrolle der Einhaltung der Datenschutzvorschriften. 
 

Update vom 4.12.2023:

Kanton Aargau legt neue Xplain-Projekte auf Eis

Der Kanton Aargau entwickelt vorerst keine weiteren IT-Systeme in Zusammenarbeit mit Xplain. Dies geht aus einer Antwort des Aargauer Regierungsrates auf einen parlamentarischen Vorstoss hervor. Man habe die entsprechenden Arbeiten nach Bekanntwerden des Cyberangriffs bis auf Weiteres sistiert, teilt der Regierungsrat mit. Eine im Nachgang zum Cyberangriff gebildete Task Force plane, koordiniere und dokumentiere sämtliche Massnahmen für die Applikationen, die vom Cyberangriff auf Xplain betroffen waren.

Von den insgesamt 342 durch die Hackergruppe Play veröffentlichten Gigabyte an Daten betreffen laut dem Regierungsrat 32 Gigabyte das Aargauer Departement Volkswirtschaft und Inneres (DVI). Zu den darin gefundenen sensiblen Daten gehören etwa gescannte Verfügungen, Strafbefehle, Gerichtsentscheide und Verwaltungsentscheide. Die Task Force habe dazu festgestellt, dass einige der für den Wissensaustausch benötigten Daten auf der Infrastruktur der Verwaltung hätten belassen und Daten bei der Lieferantin auch früher wieder hätten gelöscht werden müssen, schreibt der Regierungsrat. Insgesamt habe man 23 Personen direkt über Datenschutzverletzungen informiert.

"Wir haben aus dem Vorfall gelernt. Es geht darum, die notwendigen Massnahmen zu ergreifen, um möglichst gut gegen einen Cyberangriff geschützt zu sein, aber auch die Folgen eines möglichen Cyberangriffs soweit wie möglich zu minimieren. Dabei muss auch die Informationssicherheit bei externen Lieferanten besser beachtet werden", lässt sich Andreas Bamert-Rizzo, Generalsekretär des DVI, zitieren.

Zu den produktiven Xplain-Systemen heisst es, das DVI habe "verschiedene Massnahmen zur Absicherung und Überwachung der IT-Infrastruktur sowie verschiedene organisatorische Massnahmen umgesetzt und Quellcode-Analysen durchgeführt". Ferner würden Kantonsmitarbeitende und Mitwirkende in IT-Projekten im Umgang mit sensiblen Daten verstärkt sensibilisiert und geschult. Des Weiteren überprüfe man die Verträge mit den Lieferanten bezüglich Informationssicherheit, Datenschutz und Datenaustausch und passe sie bei Bedarf an. Und schliesslich habe man verstärkte Kontrollen betreffend Löschung von Daten eingeführt.

Update vom 31.08.2023:

Sensible Daten über Strafverfahren landen im Darknet

Nach dem Xplain-Hack sind nun weitere Daten im Darknet gelandet, und zwar hochsensible. Wie die Westschweizer Tageszeitung "Le Temps" berichtet, handelt es sich um eine Excel-Datei mit vertraulichen Informationen zu Hunderten von teils laufenden Strafverfahren, die in Verbindung zu anderen Ländern stehen. Die Veröffentlichung dieser Daten könne das Leben der betroffenen Personen gefährden, heisst es im Bericht. 

Xplain hätte eigentlich keinen Zugriff auf diese Daten haben dürfen. Gemäss "Le Temps" landete die Datei aber dennoch auf den Servern der IT-Firma, als das Fedpol ein Update seiner Case-Management-Software durchführte. Das Fedpol hätte die Daten allerdings vorab anonymisieren müssen. Warum dies nicht erfolgte, bleibt unklar. Xplain erhielt den Zuschlag für die Wartung der Software 2015 nach einer freihändigen Vergabe des Auftrags im Wert von rund 9 Millionen Franken, wie "Inside-IT" damals berichtete. 

Update vom 25.8.2023: 

Xplain-Hack betrifft auch Militärpolizei

Im Zuge der Aufklärungsarbeiten nach dem Xplain-Hack untersuchen Fachspezialisten der Gruppe Verteidigung und das NCSC jene Datensätze, welche die Armee betreffen. Die Täter entwendeten auch Fragmente von Auszügen aus dem Journal- und Rapportführungssystem "JORASYS" der Militärpolizei, wie der Bund nun mitteilt. 

Bei den im Darknet publizierten Daten handle es sich um Logdateien, mit denen Xplain Fehler im Betrieb analysiert habe. Die Fragmente sollen aus den Jahren 2018, 2022 und 2023 stammen. Sie würden Daten von Personen enthalten, die dem Militärstrafrecht unterstehen sowie von Drittpersonen, die infolge von Vorfällen im Zusammenhang mit der Armee oder Armeeangehörigen erfasst wurden. Auch eine Liste mit rund 720 aktiven und inaktiven JORASYS-Nutzenden der Armee aus dem Jahr 2020 sei publiziert worden.

Für die Betroffenen ergeben sich laut dem Bund keine Risiken. Sie werden nun informiert. Die IT-Infrastruktur der Armee sei nicht betroffen. Die Armee erstattete Anzeige gegen die Täter.

Update vom 23.8.2023:

Bundesrat gibt Xplain-Hack-Untersuchung in Auftrag 

Der Bundesrat hat das Eidgenössische Finanzdepartement (EFD) damit beauftragt, den Fall Xplain zu untersuchen. Das EFD will gemäss Mitteilung der Kanzlei Oberson Abels aus Genf das Mandat übertragen. Insbesondere gehe es darum aufzuzeigen, welche Umstände auf Seiten Bundesverwaltung es möglich gemacht hätten, dass Xplain in den Besitz von produktiven Daten der Bundesverwaltung gekommen sei. Zudem soll die Aufarbeitung des Falls klären, ob die Bundesverwaltung bei der Auswahl, Instruktion, Überwachung und in der Zusammenarbeit mit der Firma Xplain ihre Pflichten angemessen erfüllt habe. Ebenso werde überprüft, welche Prozesse und Vorgaben geändert werden müssten, um Sicherheitsrisiken künftig zu verringern. Laut Mitteilung erstreckt sich die Untersuchung auf alle Departemente und die Bundeskanzlei. 

Das EFD werde das Untersuchungsorgan bei Administrativuntersuchung unterstützen und als Koordinationsstelle agieren. Eine Kerngruppe aus Mitgliedern des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), des Eidgenössischen Justiz- und Polizeidepartements (EJPD) und der Bundeskanzlei assistiere dem EFD. Die Leitung übernehme das EFD. 

Bis Ende März 2024 soll die Administrativuntersuchung abgeschlossen sein.

Update vom 17.7.2023:

EDÖB untersucht jetzt auch den IT-Dienstleister Xplain

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Adrian Lobsiger dehnt seine im Juni gestartete Untersuchung aus. Laut der Mitteilung ist nun auch die gehackte IT-Firma Xplain Gegenstand der Untersuchung. Der Beauftragte habe "von weiteren Informationen zu diesem Vorfall Kenntnis genommen". Diese hätten ihn bewogen, die Untersuchung auszudehnen, wie es in der kurzen Mitteilung heisst. Zunächst untersuchte er nur das Bundesamt für Polizei (Fedpol) sowie das Bundesamt Zoll- und Grenzsicherheit.

EDÖB Adrian LobsigerAdrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) (Source: Netzmedien).

Update vom 12.7.2023:

Fedpol-Daten nach Xplain-Hack im Darknet aufgetaucht

Im Zusammenhang mit dem Hackerangriff auf die Firma Xplain sind Daten des Fedpol aus dessen Hooligan-Datenbank "HOOGAN" im Darknet aufgetaucht. Die Polizeibehörde meldet, dass es sich bei dem File im Darknet um eine XML-Datei handle, die einen technischen Code mit Daten von 766 Personen enthalte, die im September 2015 in "HOOGAN" verzeichnet gewesen seien.  Dies fand das Fedpol laut Mitteilung im Zuge der eingeleiteten Abklärungen über vom Hack betroffene Daten heraus.

Abklärungen zu den Auflagen und Umständen, unter denen die Datei an die Dienstleisterin übergeben wurde und dort verblieb, seien im Gang. XML ist ein gängiges Dateiformat, welches für den Austausch von Daten zwischen Computersystemen eingesetzt wird.

Das Fedpol will die Betroffenen direkt informieren.

Wer es genau wissen will, kann sich über dieses Formular beim Fedpol erkundigen.

Update vom 6.7.2023: 

Hackerbande Play hat Bundesverwaltung nicht gezielt angegriffen

Der Angriff auf den IT-Dienstleister Xplain im Mai 2023 ist keine gezielte Attacke auf die Bundesverwaltung gewesen. Dieser Meinung ist zumindest Florian Schütz, Direktor des Nationalen Zentrums für Cybersicherheit (NCSC) und designierter Direktor des neuen Bundesamtes für Cybersicherheit. "Es war nur ein Angriff von vielen", sagt Schütz gegenüber dem "Tages-Anzeiger" (Paywall). Play greife "einfach eine Firma nach der anderen an", erbeute Daten, verschlüssele sie und fordere Lösegeld. Man habe keinen Hinweis darauf, dass weitere Daten des Bundes bei Xplain gefährdet seien, sagt Schütz weiter.

Erste Priorität hat beim Bund nun die Gefahrenabwehr. Zweitens gehe es darum, zu klären, wie die Daten zu Xplain gekommen seien. Erst danach, so Schütz, könne man den entstandenen Schaden einschätzen.

Die Personen, deren Daten in Folge des Cyberangriffs im Darknet gelandet sind, informiert die zuständige Behörde per Post oder E-Mail. Schütz empfiehlt nicht, auf eigene Faust die geleakten Daten zu analysieren.

Update vom 29.6.2023:

Bundesrat zieht Konsequenzen aus Xplain-Hack

Der Bundesrat hat sich am 28. Juni mit dem Xplain-Hack befasst und verschiedene Massnahmen definiert. So mandatierte der Bundesrat etwa einen departementsübergreifenden, politisch-strategischen Krisenstab "Datenabfluss". 

Der Krisenstab soll die laufenden Arbeiten zur Bewältigung des Ransomware-Angriffes auf die Firma Xplain koordinieren und Massnahmen vorschlagen, heisst es in einer Mitteilung. Der Bundesrat lasse zudem ein Mandat erarbeiten für eine Administrativuntersuchung.

Ferner will der Bundesrat auch bestehende Verträge mit IT-Dienstleistern überprüfen. Sofern nötig, sollen die Verträge so angepasst werden, dass es die Cybersicherheit der Dienstleister verbessert. Ausserdem sollen die Anpassung es dem Bund ermöglichen, im Fall eines erfolgreichen Angriffs rasch zu reagieren.

Schliesslich lässt der Bundesrat auch Massnahmen prüfen, um sicherzustellen, dass die derzeit von Xplain für die Polizei sowie für Sicherheits- und Migrationsbehörden erbrachten Leistungen in jedem Fall gewährleistet werden können.


Update vom 26.6.2023: 

Xplain-Hack betrifft auch Aargauer Behörden

Im Zuge des Hackerangriffs auf das Unternehmen Xplain sind auch Daten des Aargauer Departements für Volkswirtschaft und Inneres (DVI) im Darknet gelandet. Das Departement habe vergangene Woche zusammen mit dem Bund eine vertiefte Analyse der veröffentlichten Daten gestartet, heisst es in einer Aussendung. Erste Erkenntnisse daraus würden zeigen, dass vor allem das Amt für Migration und Integration (MIKA) betroffen ist. Dieses arbeite seit Jahren für Applikationen im Bereich der inneren Sicherheit mit Xplain zusammen.

Bei den gestohlenen Daten handle es sich teilweise um fiktive Datensätze, die zu Testzwecken erstellt wurden, aber auch um operative Daten, etwa zu Kunden des MIKA. Derzeit sei es nicht möglich, zu sagen, welche der betroffenen Daten aus den operativen Datensätzen stammen, schreibt das DVI. Man müsse aber davon ausgehen, dass dies auf eine grosse Menge an Daten zutreffe.

Das Department habe die betroffenen Abteilungen informiert und die nötigen Massnahmen getroffen, heisst es weiter. Der Betrieb der Abteilungen sei durch den Angriff nicht beeinträchtigt worden.

Update vom 19.6.2023: 

Sensible Daten von Bundesverwaltung und Fedpol landen im Darknet

Unter den Daten der Bundesverwaltung, die infolge des Hackerangriffs auf den IT-Dienstleister Xplain im Darknet gelandet sind, befinden sich wohl auch sensible Personendaten. Dies berichtet "20 Minuten" unter Berufung auf anonyme Quellen mit Einblick in die Datensätze. Darunter seien demnach Offerten, Kundendaten, Mail-Korrespondenzen, Projekte, Namen und Ordner von Mitarbeitenden, wie die Namen der Ordner zeigen sollen. 

Auch Daten des Bundesamts für Polizei (Fedpol) seien geleakt worden. Dabei seien Polizeiliche Daten wie Personendaten, Polizeiüberfälle und Ermittlungen einsehbar. Der volle Umfang der Daten sei nicht bekannt. "Um einem allfälligen Strafverfahren nicht vorzugreifen, machen wir keine Angaben zur Art der operativen Daten", gab das Fedpol auf Anfrage von "20 Minuten" an.

Ausserdem seien unter den Dateien auch Ordner mit Bezeichnungen rund um die folgenden Begriffe:

  • Elon Musk, Tesla und Cybertruck
  • Migration
  • Immobilien
  • Lieferscheine
  • Kaufmännische Berufsmaturität
  • Terminbestätigungen/E-Mail-Verläufe
  • Betriebshandbücher
  • Fehlermeldungen von IT-Systemen
  • Personalverordnungen

Das Nationale Zentrum für Cybersicherheit (NCSC) habe erste Massnahmen getroffen, um das Sicherheitsrisiko zu minimieren und die betroffenen Stellen zu informieren, heisst es weiter. Bis alle Datensätze heruntergeladen und analysiert werden können, kann es jedoch noch Wochen oder Monate dauern, sagt der IT-Sicherheitsexperte Marc Ruef gegenüber "20 Minuten".  

Update vom 15.6.2023:

Xplain-Hack betrifft auch operative Daten der Bundesverwaltung

Unter den Daten, die im Zuge des Angriffs auf Xplain gestohlen und verschlüsselt worden sind, sind auch operative Daten der Bundesverwaltung. Dies hätten vertiefte Analysen nun bestätigt, schreibt der Bund in einer Mitteilung. "Die Aktualität der Daten und ob ihre Publikation weiterreichende Auswirkungen haben könnte, muss in den verschiedenen betroffenen Behörden und Organisationen nun geklärt werden", heisst es darin weiter.

Die Verwaltung habe erste Massnahmen getroffen, um das Sicherheitsrisiko zu minimieren, und die betroffenen Stellen entsprechend informiert. Verschiedene Stellen der Bundesverwaltung hätten Strafanzeige erstattet oder würden ähnliche Schritte prüfen. So wolle man auch klären, wie die Daten auf das System von Xplain gelangt sind. Es gebe nach wie vor keine Hinweise darauf, dass die Bundessysteme direkt angegriffen wurden, betont der Bund.

In der Nacht auf den 14 Juni seien weitere Datenpakete im Darknet gelandet, die im Zusammenhang mit dem Angriff auf Xplain stehen sollen. Dabei handle es sich wohl um den gesamten erbeuteten Datensatz, schreibt die Bundesverwaltung. Das Material werde aktuell gesichert und analysiert.

Erneut weist der Bund darauf hin, dass es keine Zusammenhänge zwischen dem Xplain-Hack und den aktuell laufenden DDoS-Attacken auf Bundeswebsites gibt. Zu den DDoS-Angriffen bekannte sich mittlerweile die Gruppe "NoName", zum Ransomware-Angriff auf Xplain die Gruppe "Play".

Update vom 14.6.2023:

Auch Landespolizei Liechtenstein von Xplain-Hack betroffen

Unter den Opfern des Cyberangriffs auf den IT-Dienstleister Xplain befindet sich eine weitere Behörde: die Landespolizei des Fürstentums Liechtenstein. Xplain liefere der Landespolizei Fachapplikationen, Software-Entwicklung sowie Support, heisst es in einer Mitteilung der Behörde. Bei den beim IT-Dienstleister hinterlegten Daten handle es sich ausschliesslich um Projektinformationen, keine Falldaten oder Personendaten. Es könnten jedoch nach aktuellem Erkenntnisstand vereinzelt operative Daten betroffen sein, etwa aus Fehlerprotokollen, schreibt die Landespolizei.

Die Behörde habe nach Bekanntwerden des Vorfalls das NCSC sowie die Regierung informiert und die notwendigen Massnahmen ergriffen sowie bei der Kantonspolizei Bern Strafanzeige erstattet. Man sei darüber hinaus in regelmässigem Austausch mit der Stabsstelle Cyber-Sicherheit der Regierung, dem Amt für Informatik, der Firma Xplain und den Schweizer Behörden.

Update vom 12.6.2023:

Mehr und mehr Unternehmen von Cyberangriff auf Xplain betroffenen

Der Cyberangriff auf den IT-Dienstleister Xplain zieht immer weitere Kreise. Wie "Watson" unter Berufung auf die NZZ berichtet, gaben inzwischen die Schweizerischen Bundesbahnen (SBB) bekannt, ebenfalls davon betroffen zu sein. Laut den SBB seien Daten abgeflossen. Und auch der Kanton Aargau gab eine Stellungnahme ab: "Gemäss heutigem Wissensstand gehen wir davon aus, dass neben der Geschäftskorrespondenz auch ein kleines Volumen von operativen Daten aus Fehlerprotokollen betroffen ist, die zur Analyse bei Xplain lagen", lässt sich eine Sprecherin zitieren. Wie Watson anfügt, hat der IT-Dienstleister Applikationen für die kantonalen Vollzugsdienste entwickelt.

Insgesamt, schreibt Watson, sollen die Cyberkriminellen angeblich fast ein Terabyte an Daten von den Xplain-Servern gestohlen haben. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) besteht kein Zusammenhang zum DDoS-Angriff auf die Websites des Bundesparlaments, über den Sie hier mehr lesen können.
 

Update vom 9.6.2023:

Cyberangriff auf Xplain betrifft vielleicht doch operative Bundesdaten

Die ersten Informationen über den Cyberangriff, der kürzlich Fedpol, Kantonspolizeien, die Armee und den Zoll betraf, schlossen aus, dass Daten von in Produktion befindlichen Projekten kompromittiert worden waren. Aber laut einer Stellungnahme des Nationalen Zentrums für Cybersicherheit (NCSC) "könnten nach den jüngsten eingehenden Analysen auch operative Daten betroffen sein". Das NCSC fügt jedoch hinzu, dass die Bundesverwaltung davon ausgeht, dass ihre Systeme nicht direkt über die Systeme von Xplain, dem IT-Anbieter, auf den der Angriff abzielte, zugänglich sind.
 

Originalmeldung vom 7.6.2023: 

Ransomware-Angriff auf IT-Dienstleister Xplain trifft auch Bundesstellen

Im Darknet stehen derzeit Daten des Berner IT-Dienstleisters Xplain zum Download bereit. Das Unternehmen wurde am 23. Mai Opfer einer Ransomware-Attacke, wie "SRF" berichtet. Unter den gestohlenen Daten befindet sich unter anderem Korrespondenz mit Kunden von Xplain.

Das ist insofern brisant, als Xplains Kundenliste diverse Bundes- und Kantonsstellen umfasst. Betroffen seien die Armee, der Zoll, das Bundesamt für Polizei (Fedpol) sowie "mehrere Kantonspolizeien", aber auch private Unternehmen.

Das Bundesamt für Polizei bestätigt, dass ein Cybervorfall stattgefunden habe. "Nach aktuellem Kenntnisstand sind keine Fedpol-Projekte betroffen. Die Softwaredienstleisterin hat keinen Zugriff auf operative Daten", erklärte das Amt gegenüber "SRF".

Nur ein Bruchteil der Daten

Hinter dem Angriff auf Xplain steckt die Ransomware-Bande Play, die in den vergangenen Wochen unter anderem auch Cyberattacken auf die Walliser Gemeinde Saxon und die Medienhäuser NZZ und CH Media verübte.

Wie in diesen Fällen veröffentlichte Play zunächst ein 5 Gigabyte grosses Datenpaket mit der Drohung, den gesamten Datensatz zu veröffentlichen, wenn weiterhin keine Zahlung erfolge. In einer Stellungnahme schreibt Xplain, dass sich das Unternehmen von den Kriminellen nicht erpressen lasse.

(Source: Screenshot)

Xplain betont zudem, dass es sich bei den verschlüsselten und gestohlenen Daten nicht um Personen- und Falldaten der Kundschaft handle.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
qmsqZH7i

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter