Bei ihrem Angriff auf die Bundesverwaltung haben Hacker vertrauliche Dokumente zu Bundesräten und Staatsgästen erbeutet. Diese sind mittlerweile wieder aus dem Darknet verwschwunde.

Nach Angaben des Nationalen Zentrums für Cybersicherheit (NCSC) wurden die heiklen Daten in der Nacht auf den 14. Juni von der Gruppierung Play im Darknet aufgeschaltet. In der Zwischenzeit seien sie aber wieder entfernt worden, schrieb das NCSC auf Anfrage der Nachrichtenagentur Keystone-SDA. Warum die Daten nicht mehr verfügbar sind, entziehe sich seiner Kenntnis.

Login-Daten geändert

Gemäss NZZ am Sonntag und Sonntagsblick wurden der Berner IT-Firma Xplain neben vertraulichen Dokumenten des Bundessicherheitsdienstes auch Angaben zu den Adressen von Bundesrätinnen und Bundesräten gestohlen sowie zu den Residenzen von unter Schutz stehender Top-Kadern.

In die Hände der Hacker fielen demnach überdies Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen in Fällen von mutmasslichen Schwerverbrechern. Ausserdem könnten auch Login-Daten von Bundesämtern veröffentlicht worden sein, hiess es.

Bis jetzt gebe es jedoch keinen Hinweis darauf, dass sich jemand mit den Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen, schrieb dazu das NCSC. Ausserdem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.

Kein Kommentar vom Fedpol

Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte am Sonntag auf Anfrage weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen.

Fedpol wolle nun geklärt haben, unter welchen Umständen die operativen Daten auf die Server von Privaten gelangt seien. Deshalb habe es auch Strafanzeige gegen Unbekannt eingereicht.

Krisenstab eingesetzt

Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie erste Daten von Fedpol und des Bundesamtes für Zoll und Grenzschutz (BAZG) am 3. Juni im Darknet. Weitere operative Daten der Bundesverwaltung stellten sie dann vor rund zwei Wochen ins Darknet. Die Bundesanwaltschaft eröffnete ein Verfahren.

Millionen von Dateien betroffen

Zudem lässt der Bundesrat ein Mandat für eine Administrativuntersuchung erarbeiten. Damit solle von einer unabhängigen Stelle untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind, hiess es. Es ist unklar, wie es möglich war, dass ein privater IT-Anbieter über die heiklen Daten verfügen konnte.

Zuletzt war der Bund daran, den Vorfall und das betroffene Datenpaket auszuwerten und zu analysieren. Der Bundesrat ging davon aus, dass dies mehrere Wochen bis Monate dauern könnte. Es handle sich um mehrere Millionen Dateien, hiess es. (sda/lab)