Schweiz: Cyberkriminelle veröffentlichen Daten der Steuerverwaltung im Darknet
Von einem Ransomware-Angriff auf die Basler Firma Concevis sind auch Schweizer Bundesbehörden betroffen. Sensible Informationen über Bankkunden sind geleakt.
(Bild: muhammadtoqeer/Shutterstock.com)
Ein Cyberangriff auf die Basler Softwarefirma Concevis Anfang November zieht in der Schweiz immer weitere Kreise. Erste Fragmente aus dem massiven Datenleck, das unter anderem die Eidgenössische Steuerverwaltung (ESTV) betraf, sollen im Darknet aufgetaucht sein. Dies berichtet der Züricher Tagesanzeiger. Ein Insider habe auf einschlägige Auszüge hochsensibler Informationen von US-Kunden bei Schweizer Banken verwiesen. Dazu gehörten deren Name, Wohnsitzland, Pass- und Kontonummer. Die Authentizität der Daten lasse sich zwar nicht überprüfen. Bekannt sei aber, dass Concevis für die ESTV einschlägige Konteninformationen im Rahmen des US-Gesetzes zum Kampf gegen Steuerhinterziehung (FATCA) verarbeitet habe.
Concevis und das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) machten Mitte November den Ransomware-Angriff publik. Dabei seien "sämtliche Server der Firma verschlüsselt" worden. Concevis räumte ein, dass "von einem umfangreichen Datenabfluss ausgegangen werden" müsse. Die Staatsanwaltschaft Basel-Stadt habe ein Strafverfahren eröffnet. Aufgrund der aktuell laufenden Ermittlungen sowie "zum Schutz der Kunden und der potenziell betroffenen Daten" könne man sich vorerst nicht weiter dazu äußern. Auf der Kundenliste des Unternehmens standen neben kommunalen Stellen etwa auch die Bundesämter für Bevölkerungsschutz, Raumentwicklung, Statistik und Zivilluftfahrt sowie das Kommando Ausbildung der Schweizer Armee.
Kein Lösegeld gezahlt
Vorige Wochen war laut dem NCSC noch offen, welche Verwaltungen und Informationen von der Attacke berührt sind. Die bislang öffentlich nicht bekannten Angreifer hätten eine Lösegeldforderung gestellt, der Concevis nicht nachgekommen sei. Daraufhin sollen die Angreifer mit der Veröffentlichung und dem Verkauf abgegriffener Daten im Darknet gedroht haben. Die Firma teilte dem Tagesanzeiger mit, ein beauftragter IT-Sicherheitsdienstleister überwache laufend einschlägige Foren. Zurzeit habe man selbst keine Kenntnis, dass Daten aus der Attacke online gestellt worden seien. Der Neuen Zürcher Zeitung (NZZ) zufolge handelt es sich bei der eingesetzten Ransomware um Phobos, die laut dem hiesigen Bundeskriminalamt zu den Top 5 der aktuell am häufigsten verwendeten Verschlüsselungstrojaner gehört.
Phobos wird von mehreren Cyberbanden genutzt, die bekannteste davon ist 8Base. Die vor allem seit dem Sommer aktive Gruppe mit Verbindungen nach Moldawien betreibt eine eigene Leak-Seite im Tor-Netzwerk. Zur Concevis-Attacke hat sie sich bislang aber nicht bekannt. Erst vor wenigen Monaten waren nach einem Cyberangriff auf einen weiteren Schweizer Behördendienstleister, die Firma Xplain, dabei erbeutete Daten etwa der Militärpolizei im Darknet entdeckt worden. Der NZZ zufolge trägt die Eidgenössische Bundesverwaltung eine gewisse Mitverantwortung, da sie von ihrem Recht, die IT-Sicherheit externer Zulieferer zu überprüfen, in beiden Fällen keinen Gebrauch gemacht habe. Dabei seien Xplain und Concevis schon über zehn Jahre lang für den Bund tätig.
(tiw)
