Xplain-Hack beim Bund immer schlimmer

Auch Daten der Militärpolizei landeten im Darknet

Der Cyberangriff auf die Berner IT-Firma Xplain wird für den Bund zum GAU. Nachdem bereits geheime Dokumente des Bundesamts für Polizei sowie des Bundesamts für Zoll und Grenzsicherheit oder auch heikle Auszüge aus der Hooligan-Datenbank in die Hände von Cyberkriminellen geraten sind, sind nun auch Daten der Militärpolizei im Darknet aufgetaucht.

Wie das Verteidigungsdepartement (VBS) am Donnerstag mitteilte, hätten Analysen nach dem Hackerangriff gezeigt, dass die Täter Auszüge aus dem Journal- und Rapportführungssystem «JORASYS» gestohlen haben. Dieses wird von der Militärpolizei und weiteren Sicherheitsorganen verwendet. Abgezapft worden seien zudem «unvollständige und teils veraltete Nutzerprofile» von Angehörigen der Militärpolizei.

4:11

Experte für Cyber-Security:«Schutz vor Hacker-Angriffen ist extrem aufwendig»

Sicherheitskontrollen verstärkt

Betroffen seien keine vollständigen Datensätze, sondern sogenannte Logdaten, mit denen Xplain Fehler im Betrieb analysiert habe. Diese Teil-Datensätze stammten aus den Jahren 2018, 2022 und 2023. Sie enthielten Angaben zu Personen, die dem Militärstrafrecht unterstehen sowie von Drittpersonen, die nach Vorfällen im Zusammenhang mit der Armee oder mit Angehörigen der Armee erfasst werden.

Zudem veröffentlichte die Täterschaft im Darknet eine Liste aus dem Jahr 2020 mit rund 720 aktiven und inaktiven JORASYS-Nutzern der Armee.

Mehr zu dem Cyberangriff auf den Bund

Nach Hacker-Angriff auf Xplain

Bund hält IT-Dienstleistern eine Standpauke

Ukraine-Krieg und Corona

Darum nehmen Cyberangriffe derzeit zu

Mit Video

Geld für IT-Schwachstellen

Bund zahlt «ethischen Hackern» 14'000 Fr

Hooligan-Daten im Darknet

Jetzt droht dem Bund eine Klagewelle

Nicht betroffen vom Hackerangriff sei die IT-Infrastruktur der Armee, versichert das VBS. Das von der Militärpolizei betriebene System laufe wie die zugehörige Datenaufbewahrung über eine gesicherte IT-Infrastruktur der Armee. Die Militärpolizei setzt das Programm weiterhin ein, wobei die Sicherheitsüberwachung zusätzlich verstärkt worden sei.

Strafanzeige eingereicht

Die Betroffenen seien informiert. Für die betroffenen Personen auf der entwendeten Liste der JORASYS-Nutzer sei die Veröffentlichung der Daten aber kein Risiko, versichert das VBS: «Vergleichbare Informationen sind über öffentliche Verzeichnisse wie den Staatskalender des Bundes oder weitere öffentliche Quellen verfügbar, zudem hat die Armee die Personen sensibilisiert.» Auch hätten die Informationen im Darknet keinen Einfluss auf Einsätze der Armee. Sie stellten kein Risiko dar, sagt das VBS und versucht so den Ball flach zu halten.

4:19

Experte für Cyber-Security rät:«Bei Daten-Erpressung sollte man nicht bezahlen»

Um abzuklären, wie die gestohlenen Daten überhaupt auf ein Dateisystem der privaten IT-Firma gelangen und dort angegriffen werden konnten, haben VBS und Armee Strafanzeige gegen Unbekannt eingereicht. Näher wollen sich die Behörden zu dem Fall nicht äussern, um die laufenden Ermittlungen nicht zu gefährden.

Zulieferer müssen Sicherheit verbessern

Hinter dem Cyberangriff wird die russische Gruppierung Play vermutet. Weil sich Xplain in Absprache mit dem Bund weigerte, Lösegeld zu zahlen, veröffentlichten die Hacker Daten in mehreren Tranchen im Darknet. Ende Juni verabschiedete der Bundesrat das Mandat für einen Krisenstab namens «Datenabfluss», der die Arbeiten nach dem Angriff koordinieren soll.

Dieser Angriff habe zwar nicht die IT-Infrastruktur von Bund und Kantonen betroffen, er «zeigt aber deutlich auf, dass die Cybersicherheit im Lieferantenmanagement verbessert werden muss», schreibt der Bundesrat nun auch in seiner Antwort auf eine Interpellation von FDP-Nationalrätin Doris Fiala (66). «Bund und Kantone müssen stärker darauf achten, dass die Sicherheitsstandards des Bundes auch bei Zulieferern eingehalten werden.» (dba)