Ein Hackerangriff auf die Interlakner IT-Firma Xplain sorgt in Bundesbern für Hektik. Die Software des Unternehmens wird bei Polizei-, Gerichts- und anderen Behörden von Bund und Kantonen eingesetzt. Bei der Attacke erbeuteten die Hacker heikle Daten von Verwaltung und Behörden, inzwischen sind diese im Darknet einsehbar.

Am 28. Juni hat der Bundesrat deshalb eiligst eine Task-Force «Datenabfluss» eingesetzt. Offensichtlich ist das Ausmass des Datenklaus durch die russische Hackerbande Play wesentlich gravierender als bisher kommuniziert. Vor den Medien sagte Bundesrätin Karin Keller-Sutter konsterniert: «Das muss einen schon beunruhigen.» Die Analyse des eingesetzten Krisenstabs dürfte noch Wochen oder gar Monate dauern. 

Partnerinhalte
 
 
 
 

Der Angriff auf Xplain erfolgte bereits Ende Mai. Weil sich die Firma weigerte, Lösegeld zu bezahlen, stellte die Erpresserbande Anfang Juni die gestohlenen Daten integral ins Darknet – für technikaffine Personen sind sie mit wenigen Klicks erreichbar.

Mehrere Millionen Dateien

Die Datenmenge ist riesig. Zugänglich sind derzeit fast ein Terabyte Daten. Die Rede ist von mehreren Millionen Dateien. Das Problem dabei: Xplain ist nicht irgendeine Firma. Die IT-Firma programmiert Applikationen im Bereich der inneren Sicherheit. Laut Bundesrat ist Xplain für «nationale und kantonale Behörden ein zentraler IT-Dienstleister».

Verklausuliert hiess es zunächst vom Nationalen Zentrum für Cybersicherheit (NCSC), es seien tatsächlich «operative Daten» abgeflossen. In der Tat: Beispielsweise sind in grossem Ausmass Daten des Aargauer Amts für Migration und Integration geleakt, wie die NZZ berichtete. Darunter Listen von Tausenden in der Schweiz wohnhaften ausländischen Personen mit allen Details zu deren Aufenthaltsbewilligungen sowie mit Informationen zu Arbeitsbewilligungen.

Betroffen vom Datenklau ist auch der SBB-Sicherheitsdienst Transsicura. Enthalten sind Informationen über ausgesprochene Verwarnungen, Hausverbote, Wegweisungen – jeweils mit persönlichen Details zu den Beschuldigten. Abgeflossen sind auch Daten des Bundesamts für Polizei (Fedpol). Dort ist man mit Hochdruck daran, das Ausmass des Schadens zu sichten. 

In den Hintergrund gerückt sind weitere Erpresserangriffe auf Schweizer Unternehmen Cybercrime Hacker erpressen Bernina und fordern 1,3 Millionen . In den letzten Tagen attackierte die Erpressergruppe Cl0p gleich zwei Firmen: das Bauunternehmen Marti AG, grösste Baufirma der Schweiz, sowie die Krankenkasse ÖKK. In beiden Fällen ist unklar, welche Daten die Erpresser erbeuten konnten. Die Bauunternehmung Marti wollte gegenüber dem Beobachter keine Stellung nehmen. Ein ÖKK-Sprecher bestätigte den Angriff, versicherte aber: «Unser Kernsystem mit den Gesundheitsdaten war nicht betroffen.»

DDoS-Attacken: Russische Einschüchterungen

Seit Wochen steht die Schweiz unter digitalem Beschuss: Einen denkwürdigen Höhepunkt erreichten die Angriffe am Tag, an dem der ukrainische Präsident Wolodimir Selenski via Videoübertragung zur Bundesversammlung sprach. Innerhalb eines Tages verzeichneten Spezialisten rund 500 DDoS-Attacken (Distributed Denial of Service) auf Schweizer Websites. Wegen einer riesigen Datenflut kollabieren die Websites und sind nicht mehr erreichbar.

Hinter dieser Angriffswelle steht No Name, eine russische Hackergruppe, die offensichtlich politisch motiviert ist. Betroffen waren eine ganze Reihe von Städten, mehrere Kantone, der Flughafen Genf, die Verkehrsbetriebe Zürich, Swiss ID (Post), Schweiz Tourismus, Bank Julius Bär, Heliswiss, Ruag, die Bankiervereinigung und andere. Die Hackergruppe schrieb auf ihrem Telegram-Kanal, wenn die Schweiz weiterhin das Regime in der Ukraine unterstütze, werde man dem Land «einen Besuch abstatten und die gesamte Internet-Infrastruktur in die Luft jagen».


«Jeden Tag kommen neue Sicherheitslücken ans Licht»

Beobachter: Herr Cornelius, die Schweiz steht derzeit unter einer beispiellosen Attacke von russischen Hackern. Was passiert da gerade?
Abdelkader Cornelius:
Es ist tatsächlich erschreckend, was sich gerade abspielt. Es geschehen zwei Dinge gleichzeitig: Wir haben einerseits aufgrund des Ukrainekriegs politisch motivierte Hacker von Russland, da stecken keine finanziellen Interessen dahinter. Auf der anderen Seite haben wir ihre «Kollegen» aus der Cybercrime-Welt. Diese Angreifer sind finanziell motiviert. Diese beiden Gruppen unterstützen sich gegenseitig, eine Hand wäscht die andere. Die Ransomware-Akteure sehen anhand der Erfolge der politisch motivierten Hacker, wie einfach es ist, in der Schweiz in Infrastrukturen einzudringen.
 

Warum ist die Schweiz als Ziel interessant?
Betroffen sind auch andere westliche Länder. Alle, die in irgendeiner Weise die Ukraine unterstützen, werden von russischen Hackern ins Visier genommen. Aber die Schweiz ist eben auch aus finanzieller Sicht ein besonders lukratives Ziel.
 

Warum?
Weil hier viele namhafte und damit wertvolle Unternehmen ihren Sitz haben. Die Hacker wissen, dass hier auch viel Geld zu holen ist. In den Augen der Angreifer ist die Schweiz definitiv ein Topziel.

«Ein Hacker namens Broker bietet gerade Zugänge zu vier Firmen aus der Schweiz an.»

Abdelkader Cornelius, IT-Security-Experte

Es scheint, die Angriffe werden intensiver, aggressiver.
Das lässt sich am Beispiel der Erpresserbande Play darstellen. Auf ihr Konto gehen unter anderem die Angriffe auf die Mediengruppe der NZZ sowie auf den Softwareanbieter Xplain. Hier sehen wir eine ganz neue Dimension dieser Angriffe: Die Hacker konnten Daten von den Kunden der erpressten Unternehmen erbeuten. Das ist fatal.
 

Man hat den Eindruck, es tauchen immer neue Erpresserbanden auf.
Ja, die Szene der Angreifer verändert sich laufend. Banden verschwinden, schliessen sich zusammen, bilden Allianzen oder konkurrieren einander. Kürzlich ist in der russischsprachigen Szene ein neuer Akteur aufgetaucht. Er nennt sich Broker und hat im Darknet einen Onlineshop eröffnet: Er verkauft sogenannten Initial Access – also nichts anderes als Benutzernamen und Passwörter von ganzen Firmennetzwerken. Aktuell hat dieser Händler 38 Firmen aus aller Welt im Angebot – jeden Tag kommen neue dazu. Er bietet gerade auch Zugänge zu vier Firmen aus der Schweiz an.

Zur Person
Mehr zu Abdelkader Cornelius

Was kostet ein Zugang zu einer Schweizer Firma?
Für 700 Dollar kann man den Zugang zum Netzwerk einer Schweizer Bauunternehmung mit 200 Mitarbeitenden kaufen. Damit erhält man Zugriff auf über 100 Firmencomputer.
 

Wo hat dieser Händler die Firmenzugänge her?
Zum einen gibt es zurzeit eine sehr grosse Anzahl von Sicherheitslücken in Produkten der weltweit führenden Softwareunternehmen. Ausgenutzt werden beispielsweise sogenannte Remote-Zugänge, also Anwendungen, über die Nutzer etwa im Homeoffice auf Firmennetzwerke zugreifen können. In diesem Bereich herrscht ein grosser Missstand. Es gibt sogar Hersteller, die ihren Kunden empfohlen haben, neue Geräte zu kaufen, weil die im Einsatz stehenden Produkte nicht mehr wirksam geschützt werden können. Zum anderen gibt es Tausende von Schwachstellen in Geräten mit Software von Microsoft. Das Problem hier: Leider werden viele Netzwerke nicht oder nur mit grosser Verspätung aktualisiert.
 

Warum werden kritische Sicherheitslücken in Firmennetzwerken nicht sofort behoben?
Es fehlt vielerorts an der nötigen fachlichen Expertise und an Personal. Die IT-Abteilungen vieler Unternehmen sind so mit Arbeit überflutet, dass sie gar nicht mehr nachkommen. Jeden Tag kommen neue Sicherheitslücken ans Licht. Aber es fehlt nicht nur an Ressourcen, sondern auch an Kompetenzen und Verantwortlichkeiten.

«Gegen DDoS-Attacken kann man sich wappnen. Aber das ist mit Kosten verbunden.»

Abdelkader Cornelius, IT-Security-Experte

Gibt es einen Unterschied zwischen Unternehmen und Behörden?
Ja, bei staatlichen Stellen und im behördlichen Umfeld sieht es noch viel schlimmer aus als in der Privatwirtschaft. Allerdings unterscheiden die Angreifer ohnehin nicht zwischen ihren Zielen. Wo immer sie eindringen können, tun sie es. Sei es bei Unternehmen oder bei Behörden. 
 

Kürzlich haben russische Hacker innert weniger Stunden Dutzende von Städten, mehrere Kantone und andere Behörden angegriffen. Müssen wir solchen Attacken einfach hilflos zusehen?
Nein, wir sind nicht hilflos. Bei solchen Angriffen handelte es sich um «Distributed Denial of Service»-Attacken. Dabei werden Unmengen an Datenanfragen an Server geschickt, bis diese kollabieren. Es gibt Massnahmen, um solche DDoS-Attacken abzuwehren. Man kann sich dagegen wappnen. Aber das ist mit Kosten verbunden. Viele Behörden sind leider schlecht auf solche Angriffe vorbereitet.
 

Wiegen wir uns in der Schweiz in einer falschen Sicherheit, weil wir glauben, Hacker würden sich nicht für die Schweiz interessieren?
Ich glaube, es ist eine Mischung aus Unwissenheit und dem Denken, dass man als Stadt oder als Kanton zu unwichtig Sicherheit im Internet Jeder Nutzer ist für Hacker interessant sei für einen Hackerangriff. Die Cyberkriminellen sehen die Schweiz nicht als neutrales Land und auch nicht als Rückzugsort, den man nicht angreifen soll, weil man vielleicht selbst mal davon profitieren könnte. Für die Kriminellen ist die Schweiz ein ebenso attraktives Ziel wie Deutschland, Österreich, die USA oder andere westliche Länder.

Buchtipp
IT-Sicherheit für KMU
IT-Sicherheit für KMU