Cyberangriff auf IT-Dienstleister Concevis: Hacker haben offenbar Daten von der Bundesverwaltung erbeutet
Im Mai ist der Lieferant Xplain angegriffen worden. Nun trifft es mit Concevis einen weiteren Software-Dienstleister des Bundes. Möglicherweise sind auch Personendaten betroffen.
Kriminelle haben erneut einen IT-Zulieferer der Bundesverwaltung angegriffen und dabei mutmasslich auch Daten des Bundes gestohlen. Das teilte am Dienstag das Nationale Zentrum für Cybersicherheit (NCSC) mit. Die Angreifer gelangten am ersten Novemberwochenende auf den Server des IT-Dienstleisters Concevis. Diese verkauften Softwarelösungen unter anderem an Bund, Kantone und Städte, den Finanzsektor sowie Industrie- und Logistikunternehmen.
Concevis hat bisher nicht bezahlt
Die Kriminellen saugen Daten ab und verschlüsseln sie danach auf sämtlichen Servern der Firma. Nun verlangen die Erpresser ein Lösegeld, um die Server wieder freizugeben. Dieses Vorgehen wird auch als Ransomware-Angriff bezeichnet.
Falls der Forderung nicht nachgekommen wird, drohen die Angreifer damit, die Daten im Darknet zu veröffentlichen. Laut NCSC hat die Firma bisher nicht bezahlt. Welche Gruppe mutmasslich hinter dem Angriff steckt, will das NCSC nicht sagen.
Welche Daten die Angreifer entwendet haben, ist noch unklar. Die Analysen laufen. Allerdings ist es sehr gut möglich, dass auch Personendaten betroffen sind. Zwar wird sich das NCSC dazu auf Anfrage nicht äußern. Aber die Firma Concevis schreibt, dass von einem «umfangreichen Datenabfluss» ausgegangen werden müsse. Und laut NCSC sind mutmaßlich auch „ältere, operative Daten der Bundesverwaltung“ abhandengekommen.
Welche Personendaten möglicherweise betroffen sind, zeigt einen Blick auf die Liste der Anwendungen, welche Concevis entwickelt hat. Dazu gehört ein IT-System des Bundesamts für Sozialversicherungen, um Subventionen zu beantragen, ein System der Eidgenössischen Steuerverwaltung für Amthilfeersuchen aus den USA oder eine Anwendung für Meldungen für die Wohneigentumsförderung.
Die Firma hat auf ihrer Website die Liste mit den Kundenprojekten gelöscht. „Für Referenzanfragen dürfen Sie uns gerne kontaktieren“, heisst es nun. Die früheren Versionen der Website sind jedoch weiterhin abrufbar.
Demnach hat Concevis zum Beispiel auch für die Polizei Basel-Landschaft eine Software zur Fallverwaltung entwickelt. Darin geht es um heikle Informationen zu Einvernahmen, erkennungsdienstlichen Tätigkeiten, Ermittlungen, Fahndungen, Kriminalfällen, zum Einzug von Nummernschildern, zum kantonalen Bedrohungsmanagement und zu Gefangenentransporten.
Zu den Kunden des Unternehmens gehören laut mittlerweile ebenfalls gelöschten Listen unter anderen die Kantonalbanken von Freiburg, Genf, Neuenburg, Wallis und Baselland sowie die Bank J. Safra Sarasin. Dazu kommen die Krankenkassen ÖKK und Sympany. Von der Bundesverwaltung sind auch die Bundesämter für Bevölkerungsschutz, für Statistik und für Zivilluftfahrt Kunde bei Concevis, ebenso das Kommando Ausbildung der Armee, das für die Ausbildung verschiedener militärischer Formationen zuständig ist.
Kundendaten könnten betroffen sein
Concevis hat für seine Kunden Softwarelösungen entwickelt. Die Anwendungen selbst werden in diesen Fällen üblicherweise auf anderen Servern betrieben. Entsprechend schreibt das NCSC auch, es sei unwahrscheinlich, dass die Systeme des Bundes selbst kompromittiert worden seien.
Daten der Kunden können trotzdem betroffen sein, weil bei der Entwicklung von Software teilweise echte Kundendaten für Tests verwendet werden oder im Zusammenhang mit Fehlermeldungen an die Softwarefirma fliegen.
Zudem bietet die Firma Concevis ihren Kunden auch „Data Management“ an. Dazu gehören laut Website etwa „die Übertragung von Daten aus den Quellsystemen in das Data Warehouse“ oder Datentransformationen. Bei diesen Vorgängen hat Concevis möglicherweise Daten auf eigenen Servern gespeichert, die jetzt vom kriminellen Ransomware-Angriff betroffen sind.
Die Firma Concevis hat ihre Kunden informiert und bei der Staatsanwaltschaft Basel-Stadt Strafanzeige erstattet. Diese hat ein Verfahren eröffnet. Darüber hinaus hat Concevis einen externen Sicherheitsdienstleister beigezogen, um den Vorfall zu bewältigen. Beim Bund leitet das NCSC die Abklärungen, die noch laufen.
Der Bund hat Probleme mit den Informationstechnologien
Die Attacke rückt einmal mehr das Problem der Lieferketten in den Fokus. Selbst wenn der Bund die Daten auf den eigenen Servern schützt, können diese betroffen sein, wenn ein Lieferant Sicherheitsprobleme hat.
Ein gleichartiger Herbst war bereits im Juni bekannt geworden. Die kriminelle Ransomware-Gruppe Play hat dem Schweizer Software-Unternehmen Xplain Daten gestohlen. Zu den Kunden von Xplain gehören etwa das Bundesamt für Polizei, der Nachrichtendienst oder das kantonale Polizeikorps.
Weil die Firma kein Lösegeld zahlte, veröffentlichte Play heikle Daten im Darknet. Darunter bemerkten sich auch Sicherheitsdispositive, geschützte Personendaten und Angaben über 800 Hooligans.
Der Vorfall rückte nicht nur den IT-Dienstleister Xplain in ein schlechtes Licht, der Kundendaten auch nach Jahren noch nicht von seinen Servern gelöscht hatte. Auch die Bundesverwaltung und kantonale Ämter machen eine schlechte Figur. Sie hatten Xplain offensichtlich heikle Daten zu Testzwecken oder im Rahmen der Fehlerbehebung weitergegeben.
Als Reaktion gab der Bundesrat eine Untersuchung im Auftrag, die klären sollte, wie heikle Daten an Xplain gelangen konnten. Sie läuft noch. Bereits heute hat der Bund in seinen Lieferverträgen Anforderungen zur IT-Sicherheit definiert. Er kann diese auch in sogenannten Audits überprüfen, machte dies jedoch zumindest im Fall Xplain nicht.