Am 13. Januar veröffentlichte Yverdon-les-Bains eine Medienmitteilung mit dem Titel "Informationen über einen Cyberangriff auf einen IT-Dienstleister der Stadt". Drei Tage zuvor sei das Informatikamt von Yverdon über einen Cyberangriff informiert worden, der sich gegen einen ihrer IT-Dienstleister richtete.

Dass die Waadtländer Stadt derart schnell an die Öffentlichkeit ging, hatte vermutlich auch mit den im letzten Jahr bekannt gewordenen Angriffen auf die Gemeinden Rolle und Montreux im selben Kanton zu tun.

In Rolle waren im Sommer 2021 von Hackern sensible Daten von Einwohnerinnen und Einwohnern wie AHV- und Steuernummern gestohlen und im Darknet veröffentlicht worden. Die Gemeinde kommunizierte erst verspätet und zögerlich über die Tragweite des Vorfalls. In Montreux und umliegenden Gemeinden wurden im Oktober nach einem Ransomware-Angriff die IT-Systeme der Association Sécurité Riviera (ASR) zwischenzeitlich vom Netz genommen.

Yverdon gab nun schon in der Mitteilung Entwarnung: "Nach einer Untersuchung scheinen die Auswirkungen für die Stadt sehr begrenzt zu sein." Auf unsere Nachfrage erklärt Pierre Dessemontet, Stadtpräsident und unter anderem zuständig für die Informatikabteilung, betroffen gewesen sei ein Ftp-Dienst für den Austausch von Dateien.

Vom externen Dienstleister würden keine Daten gespeichert. "Die fragliche Plattform wurde lediglich als vorübergehende Ablage zum Senden oder Empfangen einer Datei genutzt", so Dessemontet. "Es werden darüber keine sensible Personendaten übertragen."

Für die Nutzung der Plattform sei keine Backup-Lösung erforderlich. "Die übertragenen Dateien sind bereits in unserer Infrastruktur vorhanden und werden in unserem Rechenzentrum mit allen notwendigen Vorsichtsmassnahmen gesichert." Nach einer Überprüfung sei der gesamte IT-Perimeter der Stadt intakt.

Für weitere Auskünfte müsse man sich an den betroffenen IT-Dienstleister Fastnet wenden. Dort heisst es auf unsere Anfrage: "Diese Art von Angriff ist für einen Hosting-Provider häufig, und dieser Fall wurde nur bekannt, weil eine grosse Waadtländer Gemeinde ihn publik machte." Eigentlich möchte man nicht mehr dazu sagen, aus "Gründen der Transparenz" tue man es trotzdem.

Es handle sich um einen Angriff mit der Ransomware "eChoraix". Die Verschlüsselungssoftware habe auch eine Lösegeldforderung enthalten, "aber wir haben darauf nicht reagiert". "Der Fehler wurde von unseren Kontrollsystemen bereits am Morgen nach Beginn des Angriffs festgestellt."

Betroffen gewesen sei ein einzelner NAS-Server, "zur vorübergehenden Speicherung, der einigen betroffenen Kunden zur Verfügung stand". Die dort vorhandenen Daten seien verschlüsselt worden. "Betroffen waren alle Kunden, die diesen NAS verwenden, etwa zehn."

"eChoraix im Allgemeinen geht über eine Brute-Force-Angriff auf das Admin-Konto, kann aber nicht nachgewiesen werden", erklärt Fastnet weiter. Man habe sofort Massnahmen eingeleitet: "Anwendung Programm zur Erkennung von Spyware, Firmware-Update, Änderung des Admin-Kontos und -Passworts, Löschen aller Daten, Wiederherstellung des letzten Backups."

Nach Erkenntnissen von Fastnet wurden beim Angriff keine Daten entwendet. "Der Vorfall wurde am selben Tag behoben und hatte keine Auswirkungen auf unser Geschäft."