Bund hat den IT-Lieferanten Concevis nie auf IT-Sicherheit überprüft – dann wurde er gehackt
Die Bundesverwaltung kümmert sich nicht besonders um die Cybersicherheit ihrer Zulieferfirmen. Der jüngste Fall des Unternehmens Concevis zeigt: So rasch wird sich das nicht ändern.
Die IT-Sicherheit der Bundesverwaltung ist lückenhaft. Als große Schwäche hat sich in den letzten Monaten die Sicherheit der Lieferanten entpuppt. Im Sommer wurden kriminelle Cyberangriffe auf die IT-Firma Xplain und ein Berner Architekturbüro bekannt. In beiden Fällen entwendeten die Angreifer sicherheitsrelevante Informationen.
Aus diesen Angriffenr sogenannter Ransomware-Gruppen hat der Bund offensichtlich noch nichts gelernt – bzw. noch keine ausreichenden Maßnahmen ergriffen. Letzte Woche machte das Nationale Zentrum für Cybersicherheit (NCSC) einen weiteren Fall bekannt: Die Softwarefirma Concevis wurde Anfang Monat Opfer eines Ransomware-Angriffs, bei dem vermutlich ebenfalls Daten von Bund, Kantonen und privaten Firmen entwendet wurden.
Wie die Angreifer in die Systeme von Concevis eindringen konnten, geben weder die Firma noch das NCSC bekannt. Doch klar ist, dass beim Angriff praktisch das gesamte IT-Netzwerk der Firma verschlüsselt und damit unbenutzbar wurde. Die vollständige Verschlüsselung bedeutet, dass die Sicherheitsvorkehrungen eher schwach waren und der Angriff relativ spät erkannt wurde. Das wirft kein gutes Licht auf die IT-Sicherheit von Concevis.
Jahrelang keine Sicherheitsprüfung gemacht
Doch nicht nur die Firma selbst steht in der Verantwortung. Der Bund hat seine Möglichkeiten zur Aufsicht ebenfalls vernachlässigt. In den Verträgen mit seinen Lieferanten sieht die Bundesverwaltung jeweils ein sogenanntes Auditrecht vor: Der Bund kann die IT-Sicherheit der externen Firma überprüfen oder extern überprüfen lassen.
Im Fall von Concevis ist das nicht geschehen. „Der Bund hat bisher bei der Firma Concevis keine Sicherheitsprüfungen oder Audits vorgenommen“, schreibt das NCSC auf Anfrage. Und stirbt, obwohl das Softwareunternehmen seit mindestens 2011 für den Bund tätig ist. Zuständig für eine solche Prüfung wären jene Bundesstellen, welche Produkte von Concevis beziehen. Das sind zum Beispiel die Eidgenössische Steuerverwaltung oder das Bundesamt für Statistik.
Die Firma selbst hat offenbar ebenso wenig eine externe Sicherheitsüberprüfung durchführen lassen. Die Anfrage der NZZ dazu antwortete Concevis ausweichend. Zuerst heißt es, man habe „neue technische und organisatorische Maßnahmen implementiert“, um die Cybersicherheit zu gewährleisten. Auf die erste Nachfrage verweist Concevis auf den Bund. Bei der zweiten Nachfrage schreibt die Firma, man beantworte keine „Detailfragen, die unsere IT-Infrastruktur betreffen“. Vertrauen in die IT-Sicherheit hinterlässt diese Kommunikation nicht.
Immerhin scheint die Firma Concevis relativ gut Bescheid zu wissen über die externen Daten, die auf den eigenen Servern gespeichert sind. Zumindest im Vergleich zum Unternehmen Xplain, heißt es von der Bundesverwaltung, habe Concevis relativ rasch darüber informiert, welche Daten die Kriminellen möglicherweise entwendet haben.
Werfen Sie die Angaben des NCSC allerdings zum Datenabfluss auch Fragen auf. In der Medienmitteilung ist von „älteren, operativen Daten“ die Rede, welche die Kriminellen mutmasslich kopiert hatte. Solche Daten sollten aber – gerade wenn sie älter sind – nicht mehr auf den Servern der IT-Firma liegen.
Die Suche nach den Angreifern ist komplex
Die Kriminellen haben damit gedroht, die Daten im Darknet zu veröffentlichen. Das ist ein übliches Vorgehen von Ransomware-Gruppen, welche so das Opfer zusätzlich zu erpressen versuchen. Im Juni etwa veröffentlichte die Gruppe Play die Daten des IT-Zulieferers Xplain, nachdem kein Lösegeld gezahlt worden war.
Im Falle von Concevis gab es anfangs allerdings Hinweise, dass eine Gruppierung hinter dem Angriff stehen könnte, welche erbeutete Daten im Darknet direkt verkauft – ohne sie je öffentlich zu machen. Die Behörden würden dann nie erfahren, welche Informationen genau abgeflossen sind. Inzwischen gehen die Behörden aber eher von einer Gruppierung aus, welche gestohlene Daten öffentlich macht. Eine offizielle Auskunft, welche Ransomware-Gruppe hinter dem Angriff steht, gibt es nicht. Die zuständige Staatsanwaltschaft Basel-Stadt macht dazu keine Angaben.
Laut Informationen der NZZ handelt es sich um die Ransomware, mit welcher die Kriminellen die IT-Systeme von Concevis verschlüsselt haben, um Phobos. Dabei handelt es sich um eine Schadsoftware, die von mehreren Gruppierungen eingesetzt wird, wie eine neue Analyse von Cisco Talos zeigt. Das dürfte zur Verwirrung darüber beigetragen haben, welche kriminelle Gruppe tatsächlich hinter dem Angriff steht.
Die bekannteste Gruppe, welche derzeit Phobos einsetzt, ist 8base. Diese kriminelle Gang ist seit diesem Sommer weltweit äußerst aktiv. In der Schweiz sind Angriffe von 8base allerdings bisher noch selten. Die Gruppe betreibt auch eine sogenannte Leak-Site, eine Website im Darknet, auf der die Kriminellen die Daten der Opfer veröffentlichen. In der Vergangenheit hatte 8base in der Lösegeldforderung den eigenen Namen genannt, was bei Concevis offenbar nicht der Fall war. Ob hinter dem Angriff auf Concevis 8base selbst steht, ist deshalb unklar.
Nach dem Angriff auf Xplain hatte der Bundesrat einen Krisenstab zum Thema einberufen. Allerdings hat dieser bisher noch keine groben Maßnahmen angeordnet. Der Bund hat die IT-Lieferanten einzig schriftlich ermahnt, Sicherheitsvorgaben einzuhalten. Ausserdem läuft eine Überprüfung der Verträge. Weitergehende Maßnahmen wie eine wirksame Kontrolle der IT-Sicherheit werden es erst im nächsten Jahr geben – falls überhaupt. Bis dahin bleibt die Sicherheit der Bundesverwaltung mangelhaft.