Xplain-Hack: Daten aus Darkweb verschwunden und wieder aufgetaucht

3. Juli 2023 um 08:00
  • security
  • cyberangriff
  • bund
  • ransomware
  • xplain
image
Illustration: Midjourney

Die gestohlenen und im Darkweb veröffentlichten Daten waren am Wochenende kurzzeitig "verschwunden". Warum, ist unklar. Ausserdem sind weitere heikle Informationen aufgetaucht.

Nach Angaben des Nationalen Zentrums für Cybersicherheit (NCSC) sind die Daten aus dem Xplain-Hack von der Darkweb-Site der Ransomware-Gruppe Play verschwunden – gemäss IT-Experten allerdings nur vorübergehend.
Warum Play die Daten zunächst entfernt habe, entziehe sich ihrer Kenntnis. Das NCSC könne auch nicht mit Bestimmtheit sagen, ob das Datenpaket zu einem späteren Zeitpunkt an einem anderen Ort im Darknet zu finden sei oder ob die Daten weiterverkauft würden, hiess es vom Bund.

Verschwunden oder nicht downloadbar?

Nach Angaben von zwei mit der Angelegenheit vertrauten IT-Sicherheitsexperten waren die Daten jedoch wieder abrufbar, wie sie nach Tests gegenüber der Nachrichtenagentur 'Keystone-SDA' erklärten.
Am Montag Nachmittag präzisierte das NCSC, dass die "Daten zeitweise nicht downloadbar" waren. Über das Warum habe die Behörde keine Kenntnisse. Eine Quelle sagte zu inside-it.ch, dass die Daten stets vorhanden gewesen seien, das Darkweb aber "überlastet" gewesen sei.

Weitere heikle Daten aufgetaucht

Gemäss 'NZZ am Sonntag' und 'Sonntagsblick' wurden der Berner IT-Firma Xplain neben vertraulichen Dokumenten des Bundessicherheitsdienstes auch Angaben zu den Adressen von Bundesrätinnen und Bundesräten gestohlen. Ausserdem gelangen Informationen zu den Residenzen von unter Schutz stehender Top-Kadern und ein Dokument von 2018 zu Sicherheitsmassnahmen für ausländische Diplomaten und Botschaften sowie vom Bund geschützte Personen und Objekte an die Öffentlichkeit.
In die Hände der Hacker fielen demnach auch Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen von mutmasslichen Schwerverbrechern. Ausserdem könnten auch Login-Daten von Bundesämtern veröffentlicht worden sein, hiess es.
Bis jetzt gebe es jedoch keinen Hinweis darauf, dass sich jemand mit den Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen, schrieb dazu das NCSC. Zudem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.

Kein Kommentar vom Fedpol

Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte auf Anfrage weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, "um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen".
Das Fedpol wolle nun geklärt haben, unter welchen Umständen die operativen Daten auf die Server von Privaten gelangt seien. Deshalb habe es Strafanzeige gegen Unbekannt eingereicht.

Krisenstab eingesetzt

Vergangene Woche verabschiedete der Bundesrat das Mandat für einen Krisenstab mit dem Namen "Datenabfluss". Dieser soll die Arbeiten nach dem Hackerangriff koordinieren. "Es muss sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist", sagte Bundesrätin Karin Keller-Sutter. Den Abfluss der Daten bezeichnete sie als "beunruhigend".
Update 15 Uhr: Ergänzender Abschnitt mit Präszisierung des NCSC hinzugefügt.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Iraner wollten US-Wahlkampf mithilfe von ChatGPT beeinflussen

OpenAI hat ChatGPT-Accounts von iranischen Nutzern identifiziert und gesperrt. Diese hatten Inhalte erstellt, um Wählerinnen und Wähler in den USA mit Fake News zu beeinflussen.

publiziert am 19.8.2024