Update: Xplain-Hack betrifft auch Militärpolizei

Update vom 25.8.2023: Im Zuge der Aufklärungsarbeiten nach dem Xplain-Hack untersuchen Fachspezialisten der Gruppe Verteidigung und das NCSC jene Datensätze, welche die Armee betreffen. Die Täter entwendeten auch Fragmente von Auszügen aus dem Journal- und Rapportführungssystem "JORASYS" der Militärpolizei, wie der Bund nun mitteilt. 

Bei den im Darknet publizierten Daten handle es sich um Logdateien, mit denen Xplain Fehler im Betrieb analysiert habe. Die Fragmente sollen aus den Jahren 2018, 2022 und 2023 stammen. Sie würden Daten von Personen enthalten, die dem Militärstrafrecht unterstehen sowie von Drittpersonen, die infolge von Vorfällen im Zusammenhang mit der Armee oder Armeeangehörigen erfasst wurden. Auch eine Liste mit rund 720 aktiven und inaktiven JORASYS-Nutzenden der Armee aus dem Jahr 2020 sei publiziert worden.

Für die Betroffenen ergeben sich laut dem Bund keine Risiken. Sie werden nun informiert. Die IT-Infrastruktur der Armee sei nicht betroffen. Die Armee erstattete Anzeige gegen die Täter.

Update vom 23.8.2023:

Bundesrat gibt Xplain-Hack-Untersuchung in Auftrag 

Der Bundesrat hat das Eidgenössische Finanzdepartement (EFD) damit beauftragt, den Fall Xplain zu untersuchen. Das EFD will gemäss Mitteilung der Kanzlei Oberson Abels aus Genf das Mandat übertragen. Insbesondere gehe es darum aufzuzeigen, welche Umstände auf Seiten Bundesverwaltung es möglich gemacht hätten, dass Xplain in den Besitz von produktiven Daten der Bundesverwaltung gekommen sei. Zudem soll die Aufarbeitung des Falls klären, ob die Bundesverwaltung bei der Auswahl, Instruktion, Überwachung und in der Zusammenarbeit mit der Firma Xplain ihre Pflichten angemessen erfüllt habe. Ebenso werde überprüft, welche Prozesse und Vorgaben geändert werden müssten, um Sicherheitsrisiken künftig zu verringern. Laut Mitteilung erstreckt sich die Untersuchung auf alle Departemente und die Bundeskanzlei. 

Das EFD werde das Untersuchungsorgan bei Administrativuntersuchung unterstützen und als Koordinationsstelle agieren. Eine Kerngruppe aus Mitgliedern des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS), des Eidgenössischen Justiz- und Polizeidepartements (EJPD) und der Bundeskanzlei assistiere dem EFD. Die Leitung übernehme das EFD. 

Bis Ende März 2024 soll die Administrativuntersuchung abgeschlossen sein.

Update vom 17.7.2023:

EDÖB untersucht jetzt auch den IT-Dienstleister Xplain

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Adrian Lobsiger dehnt seine im Juni gestartete Untersuchung aus. Laut der Mitteilung ist nun auch die gehackte IT-Firma Xplain Gegenstand der Untersuchung. Der Beauftragte habe "von weiteren Informationen zu diesem Vorfall Kenntnis genommen". Diese hätten ihn bewogen, die Untersuchung auszudehnen, wie es in der kurzen Mitteilung heisst. Zunächst untersuchte er nur das Bundesamt für Polizei (Fedpol) sowie das Bundesamt Zoll- und Grenzsicherheit.

Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) (Source: Netzmedien).

Update vom 12.7.2023:

Fedpol-Daten nach Xplain-Hack im Darknet aufgetaucht

Im Zusammenhang mit dem Hackerangriff auf die Firma Xplain sind Daten des Fedpol aus dessen Hooligan-Datenbank "HOOGAN" im Darknet aufgetaucht. Die Polizeibehörde meldet, dass es sich bei dem File im Darknet um eine XML-Datei handle, die einen technischen Code mit Daten von 766 Personen enthalte, die im September 2015 in "HOOGAN" verzeichnet gewesen seien.  Dies fand das Fedpol laut Mitteilung im Zuge der eingeleiteten Abklärungen über vom Hack betroffene Daten heraus.

Abklärungen zu den Auflagen und Umständen, unter denen die Datei an die Dienstleisterin übergeben wurde und dort verblieb, seien im Gang. XML ist ein gängiges Dateiformat, welches für den Austausch von Daten zwischen Computersystemen eingesetzt wird.

Das Fedpol will die Betroffenen direkt informieren.

Wer es genau wissen will, kann sich über dieses Formular beim Fedpol erkundigen.

Update vom 6.7.2023: 

Hackerbande Play hat Bundesverwaltung nicht gezielt angegriffen

Der Angriff auf den IT-Dienstleister Xplain im Mai 2023 ist keine gezielte Attacke auf die Bundesverwaltung gewesen. Dieser Meinung ist zumindest Florian Schütz, Direktor des Nationalen Zentrums für Cybersicherheit (NCSC) und designierter Direktor des neuen Bundesamtes für Cybersicherheit. "Es war nur ein Angriff von vielen", sagt Schütz gegenüber dem "Tages-Anzeiger" (Paywall). Play greife "einfach eine Firma nach der anderen an", erbeute Daten, verschlüssele sie und fordere Lösegeld. Man habe keinen Hinweis darauf, dass weitere Daten des Bundes bei Xplain gefährdet seien, sagt Schütz weiter.

Erste Priorität hat beim Bund nun die Gefahrenabwehr. Zweitens gehe es darum, zu klären, wie die Daten zu Xplain gekommen seien. Erst danach, so Schütz, könne man den entstandenen Schaden einschätzen.

Die Personen, deren Daten in Folge des Cyberangriffs im Darknet gelandet sind, informiert die zuständige Behörde per Post oder E-Mail. Schütz empfiehlt nicht, auf eigene Faust die geleakten Daten zu analysieren.

Update vom 29.6.2023:

Bundesrat zieht Konsequenzen aus Xplain-Hack

Der Bundesrat hat sich am 28. Juni mit dem Xplain-Hack befasst und verschiedene Massnahmen definiert. So mandatierte der Bundesrat etwa einen departementsübergreifenden, politisch-strategischen Krisenstab "Datenabfluss". 

Der Krisenstab soll die laufenden Arbeiten zur Bewältigung des Ransomware-Angriffes auf die Firma Xplain koordinieren und Massnahmen vorschlagen, heisst es in einer Mitteilung. Der Bundesrat lasse zudem ein Mandat erarbeiten für eine Administrativuntersuchung.

Ferner will der Bundesrat auch bestehende Verträge mit IT-Dienstleistern überprüfen. Sofern nötig, sollen die Verträge so angepasst werden, dass es die Cybersicherheit der Dienstleister verbessert. Ausserdem sollen die Anpassung es dem Bund ermöglichen, im Fall eines erfolgreichen Angriffs rasch zu reagieren.

Schliesslich lässt der Bundesrat auch Massnahmen prüfen, um sicherzustellen, dass die derzeit von Xplain für die Polizei sowie für Sicherheits- und Migrationsbehörden erbrachten Leistungen in jedem Fall gewährleistet werden können.

Update vom 26.6.2023: 

Xplain-Hack betrifft auch Aargauer Behörden

Im Zuge des Hackerangriffs auf das Unternehmen Xplain sind auch Daten des Aargauer Departements für Volkswirtschaft und Inneres (DVI) im Darknet gelandet. Das Departement habe vergangene Woche zusammen mit dem Bund eine vertiefte Analyse der veröffentlichten Daten gestartet, heisst es in einer Aussendung. Erste Erkenntnisse daraus würden zeigen, dass vor allem das Amt für Migration und Integration (MIKA) betroffen ist. Dieses arbeite seit Jahren für Applikationen im Bereich der inneren Sicherheit mit Xplain zusammen.

Bei den gestohlenen Daten handle es sich teilweise um fiktive Datensätze, die zu Testzwecken erstellt wurden, aber auch um operative Daten, etwa zu Kunden des MIKA. Derzeit sei es nicht möglich, zu sagen, welche der betroffenen Daten aus den operativen Datensätzen stammen, schreibt das DVI. Man müsse aber davon ausgehen, dass dies auf eine grosse Menge an Daten zutreffe.

Das Department habe die betroffenen Abteilungen informiert und die nötigen Massnahmen getroffen, heisst es weiter. Der Betrieb der Abteilungen sei durch den Angriff nicht beeinträchtigt worden.

Update vom 19.6.2023: 

Sensible Daten von Bundesverwaltung und Fedpol landen im Darknet

Unter den Daten der Bundesverwaltung, die infolge des Hackerangriffs auf den IT-Dienstleister Xplain im Darknet gelandet sind, befinden sich wohl auch sensible Personendaten. Dies berichtet "20 Minuten" unter Berufung auf anonyme Quellen mit Einblick in die Datensätze. Darunter seien demnach Offerten, Kundendaten, Mail-Korrespondenzen, Projekte, Namen und Ordner von Mitarbeitenden, wie die Namen der Ordner zeigen sollen. 

Auch Daten des Bundesamts für Polizei (Fedpol) seien geleakt worden. Dabei seien Polizeiliche Daten wie Personendaten, Polizeiüberfälle und Ermittlungen einsehbar. Der volle Umfang der Daten sei nicht bekannt. "Um einem allfälligen Strafverfahren nicht vorzugreifen, machen wir keine Angaben zur Art der operativen Daten", gab das Fedpol auf Anfrage von "20 Minuten" an.

Ausserdem seien unter den Dateien auch Ordner mit Bezeichnungen rund um die folgenden Begriffe:

• Elon Musk, Tesla und Cybertruck
• Migration
• Immobilien
• Lieferscheine
• Kaufmännische Berufsmaturität
• Terminbestätigungen/E-Mail-Verläufe
• Betriebshandbücher
• Fehlermeldungen von IT-Systemen
• Personalverordnungen

Das Nationale Zentrum für Cybersicherheit (NCSC) habe erste Massnahmen getroffen, um das Sicherheitsrisiko zu minimieren und die betroffenen Stellen zu informieren, heisst es weiter. Bis alle Datensätze heruntergeladen und analysiert werden können, kann es jedoch noch Wochen oder Monate dauern, sagt der IT-Sicherheitsexperte Marc Ruef gegenüber "20 Minuten".  

Update vom 15.6.2023:

Xplain-Hack betrifft auch operative Daten der Bundesverwaltung

Unter den Daten, die im Zuge des Angriffs auf Xplain gestohlen und verschlüsselt worden sind, sind auch operative Daten der Bundesverwaltung. Dies hätten vertiefte Analysen nun bestätigt, schreibt der Bund in einer Mitteilung. "Die Aktualität der Daten und ob ihre Publikation weiterreichende Auswirkungen haben könnte, muss in den verschiedenen betroffenen Behörden und Organisationen nun geklärt werden", heisst es darin weiter.

Die Verwaltung habe erste Massnahmen getroffen, um das Sicherheitsrisiko zu minimieren, und die betroffenen Stellen entsprechend informiert. Verschiedene Stellen der Bundesverwaltung hätten Strafanzeige erstattet oder würden ähnliche Schritte prüfen. So wolle man auch klären, wie die Daten auf das System von Xplain gelangt sind. Es gebe nach wie vor keine Hinweise darauf, dass die Bundessysteme direkt angegriffen wurden, betont der Bund.

In der Nacht auf den 14 Juni seien weitere Datenpakete im Darknet gelandet, die im Zusammenhang mit dem Angriff auf Xplain stehen sollen. Dabei handle es sich wohl um den gesamten erbeuteten Datensatz, schreibt die Bundesverwaltung. Das Material werde aktuell gesichert und analysiert.

Erneut weist der Bund darauf hin, dass es keine Zusammenhänge zwischen dem Xplain-Hack und den aktuell laufenden DDoS-Attacken auf Bundeswebsites gibt. Zu den DDoS-Angriffen bekannte sich mittlerweile die Gruppe "NoName", zum Ransomware-Angriff auf Xplain die Gruppe "Play".

Update vom 14.6.2023:

Auch Landespolizei Liechtenstein von Xplain-Hack betroffen

Unter den Opfern des Cyberangriffs auf den IT-Dienstleister Xplain befindet sich eine weitere Behörde: die Landespolizei des Fürstentums Liechtenstein. Xplain liefere der Landespolizei Fachapplikationen, Software-Entwicklung sowie Support, heisst es in einer Mitteilung der Behörde. Bei den beim IT-Dienstleister hinterlegten Daten handle es sich ausschliesslich um Projektinformationen, keine Falldaten oder Personendaten. Es könnten jedoch nach aktuellem Erkenntnisstand vereinzelt operative Daten betroffen sein, etwa aus Fehlerprotokollen, schreibt die Landespolizei.

Die Behörde habe nach Bekanntwerden des Vorfalls das NCSC sowie die Regierung informiert und die notwendigen Massnahmen ergriffen sowie bei der Kantonspolizei Bern Strafanzeige erstattet. Man sei darüber hinaus in regelmässigem Austausch mit der Stabsstelle Cyber-Sicherheit der Regierung, dem Amt für Informatik, der Firma Xplain und den Schweizer Behörden.

Update vom 12.6.2023:

Mehr und mehr Unternehmen von Cyberangriff auf Xplain betroffenen

Der Cyberangriff auf den IT-Dienstleister Xplain zieht immer weitere Kreise. Wie "Watson" unter Berufung auf die NZZ berichtet, gaben inzwischen die Schweizerischen Bundesbahnen (SBB) bekannt, ebenfalls davon betroffen zu sein. Laut den SBB seien Daten abgeflossen. Und auch der Kanton Aargau gab eine Stellungnahme ab: "Gemäss heutigem Wissensstand gehen wir davon aus, dass neben der Geschäftskorrespondenz auch ein kleines Volumen von operativen Daten aus Fehlerprotokollen betroffen ist, die zur Analyse bei Xplain lagen", lässt sich eine Sprecherin zitieren. Wie Watson anfügt, hat der IT-Dienstleister Applikationen für die kantonalen Vollzugsdienste entwickelt.

Insgesamt, schreibt Watson, sollen die Cyberkriminellen angeblich fast ein Terabyte an Daten von den Xplain-Servern gestohlen haben. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) besteht kein Zusammenhang zum DDoS-Angriff auf die Websites des Bundesparlaments, über den Sie hier mehr lesen können.
 

Update vom 9.6.2023:

Cyberangriff auf Xplain betrifft vielleicht doch operative Bundesdaten

Die ersten Informationen über den Cyberangriff, der kürzlich Fedpol, Kantonspolizeien, die Armee und den Zoll betraf, schlossen aus, dass Daten von in Produktion befindlichen Projekten kompromittiert worden waren. Aber laut einer Stellungnahme des Nationalen Zentrums für Cybersicherheit (NCSC) "könnten nach den jüngsten eingehenden Analysen auch operative Daten betroffen sein". Das NCSC fügt jedoch hinzu, dass die Bundesverwaltung davon ausgeht, dass ihre Systeme nicht direkt über die Systeme von Xplain, dem IT-Anbieter, auf den der Angriff abzielte, zugänglich sind.
 

Originalmeldung vom 7.6.2023: 

Ransomware-Angriff auf IT-Dienstleister Xplain trifft auch Bundesstellen

Im Darknet stehen derzeit Daten des Berner IT-Dienstleisters Xplain zum Download bereit. Das Unternehmen wurde am 23. Mai Opfer einer Ransomware-Attacke, wie "SRF" berichtet. Unter den gestohlenen Daten befindet sich unter anderem Korrespondenz mit Kunden von Xplain.

Das ist insofern brisant, als Xplains Kundenliste diverse Bundes- und Kantonsstellen umfasst. Betroffen seien die Armee, der Zoll, das Bundesamt für Polizei (Fedpol) sowie "mehrere Kantonspolizeien", aber auch private Unternehmen.

Das Bundesamt für Polizei bestätigt, dass ein Cybervorfall stattgefunden habe. "Nach aktuellem Kenntnisstand sind keine Fedpol-Projekte betroffen. Die Softwaredienstleisterin hat keinen Zugriff auf operative Daten", erklärte das Amt gegenüber "SRF".

Nur ein Bruchteil der Daten

Hinter dem Angriff auf Xplain steckt die Ransomware-Bande Play, die in den vergangenen Wochen unter anderem auch Cyberattacken auf die Walliser Gemeinde Saxon und die Medienhäuser NZZ und CH Media verübte.

Wie in diesen Fällen veröffentlichte Play zunächst ein 5 Gigabyte grosses Datenpaket mit der Drohung, den gesamten Datensatz zu veröffentlichen, wenn weiterhin keine Zahlung erfolge. In einer Stellungnahme schreibt Xplain, dass sich das Unternehmen von den Kriminellen nicht erpressen lasse.

(Source: Screenshot)

Xplain betont zudem, dass es sich bei den verschlüsselten und gestohlenen Daten nicht um Personen- und Falldaten der Kundschaft handle.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.