Cyberangriff auf Rolle: Sehr sensible Daten im Darknet

26. August 2021, 10:52
  • security
  • cyberangriff
  • cybercrime
  • verwaltung
  • schweiz
image

Zuerst wiegelte die Waadtländer Gemeinde ab. Doch nun zeigt sich: Die Hacker stahlen AHV-Nummern und einiges mehr.

Am Freitag, 20. August 2021, wurde ein Ransomware-Angriff auf Rolle bekannt. Der Angriff sei bereits am 30. Mai erfolgt, erklärte die Gemeinde mit 6249 Einwohnern (Stand 2018) im Kanton Waadt. Daten seien verschlüsselt worden, es sei aber nur eine geringe Menge von Daten betroffen gewesen. Hinter dem Angriff soll eine Bande namens Vice Society stecken, wie 'Watson' meldete.
Noch am Samstag erklärte Gemeindepräsidentin Monique Choulat-Pugnale gegenüber '24 heures', es habe sich um einen "geringfügigen Angriff" gehandelt, lediglich E-Mails seien betroffen. Doch wie Recherchen von 'Le Temps' (Paywall) zeigen, war der Angriff einiges gravierender. Die Hacker hätten zahlreiche Daten der Gemeinde im Darknet veröffentlicht. Die Zeitung habe diese Datensätze von einem Spezialisten ausgehändigt bekommen und eingesehen.

Auch vertrauliche Dossier gestohlen

Es handelt sich um Angaben zu über 5000 Einwohnerinnen und Einwohner von Rolle: Namen, die Steuernummer, die AHV-Nummer, die vollständige Adresse, das Geburtsdatum, den Zivilstand, die Staatsangehörigkeit, das Datum der Niederlassung in der Gemeinde, teilweise E-Mail-Adressen und Telefonnummern, bei Ausländern der Aufenthaltsstatus.
Von Schülern wurden Zeugnisse mit Noten gefunden, auch Angaben zu einigen Kindern, die sich mit dem Coronavirus angesteckt hatten. Weiter zahlreiche Verwaltungsdaten: Daten zum kantonalen Finanzausgleich, Dossiers zu den einzelnen Verwaltungsabteilungen, Angaben zu Bussgeldern, Mitarbeitergespräche mit Kommentaren von Führungspersonen.
Nach Angaben der Gemeinde ging eine Lösegeldforderung der Hacker von Vice Society ein – man habe aber nicht bezahlt. Bereits seit Juni ist auch das Nationale Zentrum für Cybersicherheit (NCSC) eingeschaltet.

Gemeinde gibt "gewisse Naivität" zu

Erst am Mittwochabend, 25. August, veröffentlichte die Gemeindeverwaltung ein ausführliches offizielles Statement. Die Gemeinde bedauere, "die Schwere des Angriffs, die mögliche Verwendung der Daten und die Bedeutung der Transparenz für die Bevölkerung von Rolle unterschätzt zu haben". Man habe "angesichts der Herausforderungen eine gewisse Naivität an den Tag gelegt".
Zum Ablauf des Angriffs heisst es: "In der Nacht von Samstag, dem 29. Mai, auf Sonntag, den 30. Mai, wurde ein Cyberangriff auf die Computersysteme der Gemeinde Rolle verübt, bei dem alle dort gespeicherten Daten verschlüsselt und eine begrenzte Anzahl dieser Daten exfiltriert wurden. Daten, die nach den vorliegenden Informationen weniger als 1% des Gesamtvolumens ausmachen."
Mit Unterstützung des Computer Emergency Response Teams des Bundes (Govcert), der Waadtländer Kantonspolizei und einer spezialisierten Firma hätte man aufräumen können. "Die kompromittierten Daten wurden vollständig überprüft und wiederhergestellt. Die Systeme wurden innerhalb von zwei Wochen gesichert, ohne auf die Lösegeldforderung einzugehen." Die Cybersecurity-Experten hätten geraten, die Öffentlichkeit nicht über den Angriff zu informieren.

Medien: "Wir haben nur wenige Minuten gebraucht"

Am 24. Juni hätte das spezialisierte Unternehmen die Verwaltung darüber informiert, dass Daten im Darkweb gefunden worden seien. "Die Verwaltung informierte sich über die Art der gestohlenen Dokumente – hauptsächlich E-Mails und nicht identifizierte Dokumente – und informierte die Gendarmerie, um den Grad ihrer Sensibilität zu bestimmen."
Westschweizer Medien, die Einsicht in die Daten hatten, kritisieren diese Zurückhaltung: Sie hätten nur wenige Minuten gebraucht, um die Tragweite des Angriffs und die Sensibilität der Daten zu erkennen.

Arbeitsgruppe und Helpline eingerichtet

Die Behörden haben nun mehrere Massnahmen angekündigt. Es werde eine Arbeitsgruppe mit Vertretern der Gemeinde, des Kantons Waadt und des Bundes sowie IT-Experten eingesetzt, die sich mit diesem Thema befassen werde. Parallel dazu werde eine Helpline für die Bevölkerung eingerichtet und ein persönliches Schreiben mit Erklärungen zur Situation und praktischen Informationen verschickt.

Loading

Mehr zum Thema

image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022
image

Apple riegelt seine Cloud ab und wirft den Schlüssel weg

Der Konzern plant ein rigides Verschlüsselungssystem für den hauseigenen Cloudspeicher. Usern gefällt das, den US-Straf­verfolgungs­behörden hingegen nicht.

publiziert am 8.12.2022
image

#Security: NCSC-Entscheid hat Potenzial für Kollateralschäden

Am Freitag hat der Bundesrat entschieden, das aus dem NCSC entstehende Bundesamt für Cybersicherheit im VBS anzusiedeln. Weil der Bund daraus entstehende Interessenkonflikte verschweigt, sind jetzt schnell Tatbeweise des VBS nötig, kommentiert Martin Leuthold von der Stiftung Switch.

publiziert am 8.12.2022 1