Gestohlene Bundes-Daten sind nach Angaben des Nationalen Zentrums für Cybersicherheit (NCSC) wieder von der betroffenen Darknet-Seite verschwunden - gemäss IT-Experten allerdings nur vorübergehend. Darunter waren nach Medienberichten vom Wochenende vertrauliche Dokumente des Bundessicherheitsdienstes wie Dispositive für Staatsgäste und Magistraten.
Nach Angaben des NCSC wurden die heiklen Daten in der Nacht auf den 14. Juni von der Gruppierung Play im Darknet aufgeschaltet. In der Zwischenzeit seien sie aber wieder von dieser Seite entfernt worden, respektive nicht mehr herunterladbar, teilte das NCSC am Sonntag gegenüber der Nachrichtenagentur Keystone-SDA mit.
Warum Play die Daten zunächst entfernt habe, entziehe sich ihrer Kenntnis. Das NCSC könne auch nicht mit Bestimmtheit sagen, ob das Datenpaket zu einen späteren Zeitpunkt an einem anderen Ort im Darknet zu finden sei oder ob die Daten weiterverkauft würden, hiess es vom Bund.
Nach Angaben von zwei mit der Angelegenheit vertrauten IT-Sicherheitsexperten waren die Daten am Abend jedoch wieder abrufbar, wie sie nach Tests gegenüber der Nachrichtenagentur Keystone-SDA erklärten.
Login-Daten geändert
Gemäss NZZ am Sonntag und Sonntagsblick wurden der Berner IT-Firma Xplain neben vertraulichen Dokumenten des Bundessicherheitsdienstes auch Angaben zu den Adressen von Bundesrätinnen und Bundesräten gestohlen sowie zu den Residenzen von unter Schutz stehender Top-Kadern.
In die Hände der Hacker fielen demnach überdies Haft- und Auslieferungsgesuche von Interpol sowie Fahndungsausschreibungen in Fällen von mutmasslichen Schwerverbrechern. Ausserdem könnten auch Login-Daten von Bundesämtern veröffentlicht worden sein, hiess es.
Bis jetzt gebe es jedoch keinen Hinweis darauf, dass sich jemand mit den Informationen Zugang zu einem IT-System des Bundes hätte verschaffen wollen, schrieb dazu das NCSC. Ausserdem seien in der Bundesverwaltung gleich nach dem Ransomware-Angriff diverse Sicherheitsmassnahmen ergriffen worden, so auch die Änderung aller Zugangsdaten und Logins.
Kein Kommentar vom Fedpol
Eine der vom Datenklau betroffenen Stellen, das Bundesamt für Polizei (Fedpol), wollte am Sonntag auf Anfrage weder die Veröffentlichung einzelner Dokumente noch deren Aktualität oder Kontext bestätigen, «um den verschiedenen laufenden und angekündigten Untersuchungen nicht vorzugreifen».
Fedpol wolle nun geklärt haben, unter welchen Umständen die operativen Daten auf die Server von Privaten gelangt seien. Deshalb habe es auch Strafanzeige gegen Unbekannt eingereicht.
Krisenstab eingesetzt
Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie erste Daten von Fedpol und des Bundesamtes für Zoll und Grenzschutz (BAZG) am 3. Juni im Darknet. Weitere operative Daten der Bundesverwaltung stellten sie dann vor rund zwei Wochen ins Darknet. Die Bundesanwaltschaft eröffnete ein Verfahren.
Am Mittwoch verabschiedete der Bundesrat das Mandat für einen Krisenstab mit dem Namen «Datenabfluss». Dieser soll die Arbeiten nach dem Hackerangriff koordinieren. "Es muss sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich ist», sagte Bundesrätin Karin Keller-Sutter am Mittwoch. Den Abfluss der Daten bezeichnete sie als «beunruhigend».
Millionen von Dateien betroffen
Zudem lässt der Bundesrat ein Mandat für eine Administrativuntersuchung erarbeiten. Damit solle von einer unabhängigen Stelle untersucht werden, ob, wo und weshalb die Sicherheitsvorgaben des Bundes allenfalls mangelhaft umgesetzt worden sind, hiess es. Es ist unklar, wie es möglich war, dass ein privater IT-Anbieter über die heiklen Daten verfügen konnte.
Zuletzt war der Bund daran, den Vorfall und das betroffene Datenpaket auszuwerten und zu analysieren. Der Bundesrat ging davon aus, dass dies mehrere Wochen bis Monate dauern könnte. Es handle sich um mehrere Millionen Dateien, hiess es. (sda/yk/wid)
