Cyberangriff auf Rolle: Sehr sensible Daten im Darknet

26. August 2021 um 10:52
  • security
  • cyberangriff
  • cybercrime
  • verwaltung
  • schweiz
image

Zuerst wiegelte die Waadtländer Gemeinde ab. Doch nun zeigt sich: Die Hacker stahlen AHV-Nummern und einiges mehr.

Am Freitag, 20. August 2021, wurde ein Ransomware-Angriff auf Rolle bekannt. Der Angriff sei bereits am 30. Mai erfolgt, erklärte die Gemeinde mit 6249 Einwohnern (Stand 2018) im Kanton Waadt. Daten seien verschlüsselt worden, es sei aber nur eine geringe Menge von Daten betroffen gewesen. Hinter dem Angriff soll eine Bande namens Vice Society stecken, wie 'Watson' meldete.
Noch am Samstag erklärte Gemeindepräsidentin Monique Choulat-Pugnale gegenüber '24 heures', es habe sich um einen "geringfügigen Angriff" gehandelt, lediglich E-Mails seien betroffen. Doch wie Recherchen von 'Le Temps' (Paywall) zeigen, war der Angriff einiges gravierender. Die Hacker hätten zahlreiche Daten der Gemeinde im Darknet veröffentlicht. Die Zeitung habe diese Datensätze von einem Spezialisten ausgehändigt bekommen und eingesehen.

Auch vertrauliche Dossier gestohlen

Es handelt sich um Angaben zu über 5000 Einwohnerinnen und Einwohner von Rolle: Namen, die Steuernummer, die AHV-Nummer, die vollständige Adresse, das Geburtsdatum, den Zivilstand, die Staatsangehörigkeit, das Datum der Niederlassung in der Gemeinde, teilweise E-Mail-Adressen und Telefonnummern, bei Ausländern der Aufenthaltsstatus.
Von Schülern wurden Zeugnisse mit Noten gefunden, auch Angaben zu einigen Kindern, die sich mit dem Coronavirus angesteckt hatten. Weiter zahlreiche Verwaltungsdaten: Daten zum kantonalen Finanzausgleich, Dossiers zu den einzelnen Verwaltungsabteilungen, Angaben zu Bussgeldern, Mitarbeitergespräche mit Kommentaren von Führungspersonen.
Nach Angaben der Gemeinde ging eine Lösegeldforderung der Hacker von Vice Society ein – man habe aber nicht bezahlt. Bereits seit Juni ist auch das Nationale Zentrum für Cybersicherheit (NCSC) eingeschaltet.

Gemeinde gibt "gewisse Naivität" zu

Erst am Mittwochabend, 25. August, veröffentlichte die Gemeindeverwaltung ein ausführliches offizielles Statement. Die Gemeinde bedauere, "die Schwere des Angriffs, die mögliche Verwendung der Daten und die Bedeutung der Transparenz für die Bevölkerung von Rolle unterschätzt zu haben". Man habe "angesichts der Herausforderungen eine gewisse Naivität an den Tag gelegt".
Zum Ablauf des Angriffs heisst es: "In der Nacht von Samstag, dem 29. Mai, auf Sonntag, den 30. Mai, wurde ein Cyberangriff auf die Computersysteme der Gemeinde Rolle verübt, bei dem alle dort gespeicherten Daten verschlüsselt und eine begrenzte Anzahl dieser Daten exfiltriert wurden. Daten, die nach den vorliegenden Informationen weniger als 1% des Gesamtvolumens ausmachen."
Mit Unterstützung des Computer Emergency Response Teams des Bundes (Govcert), der Waadtländer Kantonspolizei und einer spezialisierten Firma hätte man aufräumen können. "Die kompromittierten Daten wurden vollständig überprüft und wiederhergestellt. Die Systeme wurden innerhalb von zwei Wochen gesichert, ohne auf die Lösegeldforderung einzugehen." Die Cybersecurity-Experten hätten geraten, die Öffentlichkeit nicht über den Angriff zu informieren.

Medien: "Wir haben nur wenige Minuten gebraucht"

Am 24. Juni hätte das spezialisierte Unternehmen die Verwaltung darüber informiert, dass Daten im Darkweb gefunden worden seien. "Die Verwaltung informierte sich über die Art der gestohlenen Dokumente – hauptsächlich E-Mails und nicht identifizierte Dokumente – und informierte die Gendarmerie, um den Grad ihrer Sensibilität zu bestimmen."
Westschweizer Medien, die Einsicht in die Daten hatten, kritisieren diese Zurückhaltung: Sie hätten nur wenige Minuten gebraucht, um die Tragweite des Angriffs und die Sensibilität der Daten zu erkennen.

Arbeitsgruppe und Helpline eingerichtet

Die Behörden haben nun mehrere Massnahmen angekündigt. Es werde eine Arbeitsgruppe mit Vertretern der Gemeinde, des Kantons Waadt und des Bundes sowie IT-Experten eingesetzt, die sich mit diesem Thema befassen werde. Parallel dazu werde eine Helpline für die Bevölkerung eingerichtet und ein persönliches Schreiben mit Erklärungen zur Situation und praktischen Informationen verschickt.

Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

EU-Datenschützer büssen Meta mit 91 Millionen Euro

Der Social-Media-Konzern speicherte Passwörter im Klartext. Nach einer Untersuchung der irischen Datenschutzbehörde wird Meta gebüsst.

publiziert am 30.9.2024
image

Zürcher Finanzhaus von Ransomware-Gruppe Play angegriffen

Nach einem Datenklau sind Bundes­anwalt­schaft und Finanz­markt­aufsicht Finma aktiv.

publiziert am 27.9.2024