Bern – Bei dem Cyberangriff der Hackergruppierung «Play» auf die IT-Firma Xplain im Mai 2023 sind über 9000 Datenobjekte der Bundesverwaltung gestohlen und in der Folge im Darknet veröffentlicht worden. Mehr als die Hälfte der Daten enthielten sensitive Informationen, wie das Bundesamt für Cybersicherheit (BACS) am Donnerstag mitteilte.
Die insgesamt 4779 sensitiven Datenobjekte des Bundes umfassten Personendaten, technische Informationen, klassifizierte Informationen und Passwörter, wie das BACS am Donnerstag weiter mitteilte. 121 Objekte waren klassifiziert. Vier Objekte enthielten lesbare Passwörter.
95 Prozent der entwendeten Daten des Bundes entfielen laut dem BACS auf die Verwaltungseinheiten des eidgenössischen Justiz und Polizeidepartements (EJPD). Darunter waren unter anderem Daten des Bundesamtes für Polizei (Fedpol) und des Bundesamtes für Zoll und Grenzschutz (BAZG). Dabei ging es unter anderem um Personendaten der Militärpolizei sowie um Angaben zu Personen, die 2015 im Hooligan-Informationssystem aufgeführt waren, welches das Fedpol betreibt, wie das damalige Nationale Zentrum für Cybersicherheit (NCSC) im November 2023 mitteilte.
Drei weitere Prozentpunkte entfielen auf das eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS). Unter anderem tauchten Auszüge von Rapporten der Militärpolizei und Personendaten im Darknet auf. Die übrigen Departemente seien «mengenmässig nur marginal betroffen», hiess es derweil am Donnerstag weiter.
Untersuchung bis Ende März
Insgesamt umfasste das im Juni 2023 im Darknet veröffentlichte Datenpaket laut dem BACS ein Datenvolumen von rund 1,3 Millionen Objekten. Die für die Bundesverwaltung relevante Datenmenge umfasste zirka fünf Prozent des gesamten veröffentlichten Datenbestands. Über 70 Prozent der Objekte gehörten dabei der Firma Xplain, rund 14 Prozent der Bundesverwaltung. Das Vorgehen der Hacker deute auf eine «oberflächliche Prüfung des Datenbestands ohne inhaltliche Sichtung durch die Täterschaft» hin.
Der am Donnerstag veröffentlichte Bericht untersuchte indes nicht, weshalb die Daten abfliessen konnten. Letzteres werde im Rahmen der laufenden Administrativuntersuchung geklärt, die durch den Bundesrat im vergangenen August angeordnet wurde, teilte das BACS weiter mit. Bis Ende März des laufenden Jahres soll die externe Untersuchung, mit der eine Genfer Anwaltskanzlei beauftragt wurde, abgeschlossen sein.
Wegen des Ransomware-Angriffs auf Xplain leitete zudem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) im vergangenen Juli eine Untersuchung ein. In der Herbstsession überwies das Parlament eine Motion an den Bundesrat, die vom Bundesrat neue Rechtsgrundlagen zur sichereren Aufbewahrung der wichtigsten digitalen Daten der Schweiz verlangte.
Cyberattacken häufen sich
Cyberangriffe auf Dienstleister des Bundes hatten sich in den vergangenen Monaten gehäuft: Neben dem Fall von Xplain wurde im November 2023 bekannt, dass die Schweizer Softwarefirma Concevis gehackt wurde. Sie arbeitete unter anderem für das VBS, die eidgenössische Steuerverwaltung, das Bundesamt für Statistik und das Bundesamt für Zivilluftfahrt.
Anfang Januar 2024 wurde bekannt, dass ein Hackerangriff auf eine Zulieferfirma des VBS verübt worden war. Gestohlen wurden dabei auch Dokumente der Schweizer Luftwaffe. Einige der im Darknet veröffentlichten Dokumente waren klassifiziert. Zu den Kunden der Firma gehörte unter anderem auch der Rüstungskonzern Ruag.
Zum Ransomware-Angriff bekannte sich laut dem Schweizer Radio und Fernsehen (SRF) Ende Dezember 2023 die Hackergruppe ALPHV. Sie gehört zu den aktivsten Hackergruppen der Welt und könnte laut Experten aus Russland stammen. (awp/mc/ps)
