Wohnadressen des Bundesrates und lahmgelegte Websites: 2023 war ein erfolgreiches Jahr – für Hacker

Wer bei Bundesräten nachts an der Haustüre klingeln möchte, findet die Adressen im Darknet. Von Hackern veröffentlicht. Sitzungsprotokolle der Vormundschaftsbehörde Saxon – von Hackern veröffentlicht. Adresslisten von NZZ- und CH-Media-Journalisten – von Hackern veröffentlicht.

2023 haben kriminelle Hacker wöchentlich Schweizer Unternehmen und Behörden angegriffen. 40 mehr oder weniger erfolgreiche Hackerangriffe hat die NZZ aufgezeichnet. Die meisten Fälle wurden wohl aber nie öffentlich.

Das Ziel des Angreifers ist in den meisten Fällen das gleiche: Lösegeld erpressen. Dazu verschlüsseln die als Ransomware-Gruppen bezeichneten Hacker die Daten der Opfer. Wer für die Entschlüsselung nicht zahlt, dessen Daten werden zusätzlich im Darknet veröffentlicht. Wir präsentieren eine Auswahl der folgenreichsten Angriffe der letzten 12 Monate.

Februar: Angriff auf die SBB

Im Februar schalten bei der SBB alle Ampeln auf Rot. Mittels E-Mail hatten kriminelle Angreifer versucht, Schadsoftware in die IT-Systeme einzuschleusen. Teilweise sei das gelungen. Der Angriff sei aber abgewendet worden, Kundendaten seien keine gestohlen worden, heisst es.

März: Journalisten im Visier

Hacker der Ransomware-Gruppe Play dringen in die IT-Infrastruktur der «Neuen Zürcher Zeitung» ein, die gemeinsam mit jenem von CH Media betrieben wird. Die Kriminellen stehlen vertrauliche Daten, verschlüsseln Dateien und erpressen das Unternehmen. Die internen Systeme bleiben teilweise über Wochen beeinträchtigt. Die Zeitungen können trotzdem noch erscheinen. Geld an den Drucker fliegt nichts. Später landen jedoch heikle Informationen über Mitarbeitende und Kunden im Darknet.

April: Heikle Daten einer Vormundschaftsbehörde

6000 Einwohner zählt die Gemeinde Saxon im Unterwallis. Hacker stehlen Daten der Vormundschaftsbehörde und veröffentlichen sie schon bald darauf. Die Dokumente enthalten äußerst wichtige Informationen über Kunden der Behörde.

April: Traditionsunternehmen Bernina

Hacker schiessen sich auf ziemlich jedes Ziel ein, solange sie eine Lücke im System finden. So trifft es auch den Nähmaschinenhersteller Bernina. 1,3 Millionen Dollar fordert die Gruppe Alphv. 10 Dollar überweist das Unternehmen – wohl um sie hinzuhalten. Kurz vor Weihnachten dann die Revanche: Behörden gelingt es, 946 Darknet-Adressen und 400 Verschlüsselungscodes von Alphv zu konfiszieren.

Mai: Basler Lehrpersonen und betroffene Schüler

Unterrichtspläne, Briefe, Prüfungen: Alle diese Daten stehlen Kriminelle vom Netzwerk EduBS. Dort speichern zum Beispiel die Lehrpersonen von Basel-Stadt ihre persönlichen Dokumente. Von 761 Personen wurden Dateien «mit potenziell sensiblem persönlichem Inhalt» gestohlen und veröffentlicht. Stichproben bestätigen das.

Mai: IT-Zulieferer des Bundes

Der Angriff der Ransomware-Gruppe Play wird zur Schuld für die Bundesverwaltung. Die IT-Firma Xplain stellt Sicherheitssoftware für zahlreiche Behörden her: Bundesamt für Polizei, Transportpolizei der SBB, kantonale Migrationsämter oder Zoll. Gestochen werden Projektdaten: Pflichtenhefte, Offerten oder Korrespondenzen. Aber auch echte Daten aus den produktiven IT-Systemen finden sich, darunter Adressen von Bundesräten und Polizisten, Hooligan-Listen oder persönliche Daten über Einwanderer im Kanton Aargau.

Der Bund stellt in seinen Verträgen Anforderungen an die Sicherheit seines IT-Zulieferers. Doch geprüft wurde das im Fall von Xplain nie. Der Vorfall löst in der Bundesverwaltung eine Untersuchung aus, die noch läuft.

Juni: Selenski (und Russland) zu Besuch in der Schweiz

Der ukrainische Präsident Wolodimir Selenski spricht per Videokonferenz im Bundeshaus. Unerwünschter Besuch kommt aus Russland. Die Gruppe NoName057(16) führt eine DDoS-Attacke auf verschiedene Schweizer Websites durch. Das ist kein Hackerangriff im eigentlichen Sinne. Stattdessen werden Zehntausende Computer dazu gezwungen, bestimmte Websites aufzurufen, um so die Server in die Knie zu zwingen. Das gelingt ihnen kurzzeitig. Betroffen sind etwa die Parlaments-Website, die Websites der Post, der SBB, des Eidgenössischen Justiz- und Polizeidepartements (EJPD), der Fluggesellschaft Edelweiss, der Städte Zürich, Lausanne, St. Gallen, Montreux oder Schaffhausen.

Der Schaden ist überschaubar, die meisten Websites sind nach wenigen Stunden wieder verfügbar. Das eigentliche Ziel der gut organisierten und finanzstarken Gruppe, Angst zu verbreiten und die Bevölkerung zu verunsichern, erreicht sie in der Schweiz. Die Medienberichterstattung ist riesig.

Juli: Nur ein Architekturbüro?

Das Opfer des Angriffs ist ein Architekturbüro in Bern, wie es viele gibt. Das Besondere daran: Die Architekten arbeiten auch für das Aussendepartement und entwerfen Botschaften und Residenzen der Schweiz im Ausland. Deshalb fallen den kriminellen Angreifern auch Baupläne in die Hände, welche klassifiziert sind. Im September veröffentlicht die Ransomware-Gruppe die Informationen im Darknet. Das Beispiel zeigt, dass Cyberangriffe auch die physische Sicherheit von Gebäuden und Personen gefährden können.

November: Schon wieder ein IT-Lieferant des Bundes

Ein Déjà-vu: Nach Xplain greifen Kriminelle mit Concevis erneut einen Softwarelieferanten von Bund und Kantonen an. Dieses Mal reagiert die Verwaltung aktiv und informiert rasch. Der Angriff auf Concevis ist speziell, weil sich bis jetzt keine der bekannten Ransomware-Gruppen öffentlich dazu bekannt hat. Auch sind noch keine größeren Datenmengen im Darknet aufgetaucht. Was jedoch gleich ist wie beim Fall Xplain: Der Bund hatte auch bei Concevis nie überprüft, ob die Firma die Vorgaben zur IT-Sicherheit einhält.

Dezember: Baden im Darknet

Ein Teil der Verwaltungsdatenbank der Stadt Baden wird in einem Forum im Darknet angeboten. Darin enthalten sind Rechnungen, aber auch Adressen von Bürgern. Die Stadt sagt selbst, sie habe kein Erklärungsschreiben erhalten. Später bekennt sich die neue Hackergruppe DragonForce zum Angriff.

Dezember: Schwyzer Bezirk offline

Noch sind Hacker nicht in den Weihnachtsferien. Mitte Dezember fielen Telefonie, E-Mail und Internet beim Bezirk March im Kanton Schwyz aus. Die Behörde informiert mit drei Sätzen, die sich wie folgt paraphrasieren lassen: Cyberangriff, EDV heruntergefahren, unklar, was passiert ist. Anscheinend hat das Nationale Zentrum für Cybersicherheit (NCSC) den Bezirk auf den Angriff aufmerksam gemacht.

Was kommt 2024?

Für das neue Jahr ist bei den kriminellen Cyberangriffen keine Besserung in Sicht. Zwar gibt es immer wieder Erfolge der Strafverfolgungsbehörden, die in internationalen Aktionen kriminelle Netzwerke und ihre Infrastruktur ausheben – wie im Dezember mit dem Schlag gegen die Ransomware-Gruppe Alphv. Doch im Vergleich zu den gesamten kriminellen Aktivitäten im Cyberraum sind das einzelne Nadelstiche. Zudem haben die Cyberkriminellen in der Vergangenheit darauf hingewiesen, dass sie äußerst anpassungsfähig sind. Die Pressungsmethoden werden laufend verändert.

Die Schweiz ist als Land mit zahlreichen technologisch fortschrittlichen KMU ein attraktives Ziel für Erpresser – und wird es auch bleiben. Gerade kleine und mittlere Unternehmen sind oft digitalisiert, haben aber nur eine unzureichende IT-Sicherheit. Sie sind das ideale Opfer für Hacker. Dass die Schäden solcher Angriffe nicht nur die Wirtschaft betreffen, haben die Fälle von Xplain und Concevis gezeigt. Kriminelle Cyberangriffe werden rasch zum Problem für die Sicherheit der Schweiz.

Es ist für den Staat deshalb von größter Wichtigkeit, dass die gesamte Wirtschaft gut vor Hackern geschützt ist. Die IT-Sicherheit der Wirtschaft muss 2024 oberste Priorität haben. Das sollten nicht nur die Unternehmen erkennen, sondern auch die Behörden. Sonst wird es ein schmerzvoller Lernprozess – mit vielen weiteren Cyberangriffen.