Nach Angaben des Nationalen Zentrums für Cybersicherheit (NCSC) sind die Daten aus dem Xplain-Hack von der Darkweb-Site der Ransomware-Gruppe Play verschwunden – gemäss IT-Experten allerdings nur vorübergehend.

Warum Play die Daten zunächst entfernt habe, entziehe sich ihrer Kenntnis. Das NCSC könne auch nicht mit Bestimmtheit sagen, ob das Datenpaket zu einem späteren Zeitpunkt an einem anderen Ort im Darknet zu finden sei oder ob die Daten weiterverkauft würden, hiess es vom Bund.

Nach Angaben von zwei mit der Angelegenheit vertrauten IT-Sicherheitsexperten waren die Daten jedoch wieder abrufbar, wie sie nach Tests gegenüber der Nachrichtenagentur 'Keystone-SDA' erklärten.

Am Montag Nachmittag präzisierte das NCSC, dass die "Daten zeitweise nicht downloadbar" waren. Über das Warum habe die Behörde keine Kenntnisse. Eine Quelle sagte zu inside-it.ch, dass die Daten stets vorhanden gewesen seien, das Darkweb aber "überlastet" gewesen sei.

Gemäss 'NZZ am Sonntag' und 'Sonntagsblick' wurden der Berner IT-Firma Xplain neben vertraulichen Dokumenten des Bundessicherheitsdienstes auch Angaben zu den Adressen von Bundesrätinnen und Bundesräten gestohlen. Ausserdem gelangen Informationen zu den Residenzen von unter Schutz stehender Top-Kadern und ein Dokument von 2018 zu Sicherheitsmassnahmen für ausländische Diplomaten und Botschaften sowie vom Bund geschützte Personen und Objekte an die Öffentlichkeit.

In die Hände der Hacker fielen demnach auch Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen von mutmasslichen Schwerverbrechern. Ausserdem könnten auch Login-Daten von Bundesämtern veröffentlicht worden sein, hiess es.

Bis jetzt gebe es jedoch keinen Hinweis darauf, dass sich jemand mit den Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen, schrieb dazu das NCSC. Zudem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.

Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte auf Anfrage weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, "um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen".

Das Fedpol wolle nun geklärt haben, unter welchen Umständen die operativen Daten auf die Server von Privaten gelangt seien. Deshalb habe es Strafanzeige gegen Unbekannt eingereicht.

Vergangene Woche verabschiedete der Bundesrat das Mandat für einen Krisenstab mit dem Namen "Datenabfluss". Dieser soll die Arbeiten nach dem Hackerangriff koordinieren. "Es muss sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist", sagte Bundesrätin Karin Keller-Sutter. Den Abfluss der Daten bezeichnete sie als "beunruhigend".