Am 2. April hat sich die berüchtigte Ransomware-Bande Play zu einem Angriff auf die Regionalen Verkehrsbetriebe Baden-Wettingen (RVBW) bekannt. Der ÖV-Betrieb wird von den Aargauer Gemeinden Baden, Ennetbaden, Killwangen, Neuenhof, Obersiggenthal, Spreitenbach, Wettingen und Würenlos getragen. Bei den RVBW sind 227 Mitarbeitende beschäftigt. 2023 benutzten 15 Millionen Fahrgäste die Busse des Unternehmens.

Auf Anfrage von inside-it.ch zum Vorfall reagierten die Verkehrsbetriebe mit einer offiziellen Medienmitteilung. Am Freitag, 21. März 2025, seien auffällige Aktivitäten in der IT-Infrastruktur festgestellt geworden, heisst es darin. "Unmittelbar nach der Feststellung wurde die komplette IT-Infrastruktur isoliert und die externen Verbindungen gekappt. Auf allen Computern wurde eine Sicherheitsüberprüfung durchgeführt. Die genaue Eintrittsquelle des Angriffs wird derzeit analysiert."

Teilweise sei es zu einer Verschlüsselung von Daten gekommen. "Es sind jedoch keine Kundendaten betroffen – insbesondere keine Abonnentendaten, da diese nicht auf RVBW-Systemen gespeichert werden", betont die Medienstelle. Der Cyberangriff habe auch keine Auswirkungen auf den Fahrbetrieb gehabt. Die Busse verkehrten durchgehend planmässig.

Der Verkauf von Tickets und Abonnements im Kundencenter sei nicht beeinträchtigt gewesen. Hingegen funktionierten die digitalen Anzeigen an einigen Haltestellen vorübergehend nicht. Auch im Büro- und Leit­stellen­betrieb kam es zu Systemeinschränkungen, "welche innert 24 Stunden behoben werden konnten".

Die Cyberkriminellen hätten eine Lösegeldforderung gestellt und haben auch telefonisch Kontakt aufgenommen, heisst es weiter. "Die RVBW sind nicht auf diese Forderung eingegangen und lehnen jegliche Form von Erpressung kategorisch ab." Der ÖV-Betreiber gilt als kritische Infrastruktur und untersteht damit der Meldepflicht für Cyberangriffe, die am 1. April in Kraft getreten ist. Man stehe bereits im Austausch mit der Bundeskriminalpolizei. "Die RVBW werden die Ursachenanalyse gemeinsam mit Fachstellen weiter vertiefen und die IT-Sicherheitsmassnahmen entsprechend weiterentwickeln."

Die Ransomware-Bande Play gehört zu den weltweit aktivsten. In der Schweiz sorgte sie in der Vergangenheit mit Angriffen auf die Security-Firma Xplain sowie die Medienhäuser NZZ und CH Media für Aufsehen. Die Grösse des erbeuteten Datenpakets haben die Cyberkriminellen noch nicht bekannt gegeben. Sie behaupten in ihrem Darkweb-Eintrag, vertrauliche Daten, Kundendokumente, Buchhaltung, Ausweise, Finanzinformationen und mehr gestohlen zu haben. Das Ultimatum bis zu einer Veröffentlichung der Daten läuft noch.