CyberangriffBund hält trotz Daten-Super-GAU an gehackter IT-Firma Xplain fest
Spezialisten vom Bund geben grünes Licht für die weitere Zusammenarbeit mit Xplain. Diese veröffentlicht neue Details über die Hacking-Attacke vom letzten Frühjahr.
Es war ein eigentlicher Super-GAU: Nach einem Ransomware-Angriff auf den IT-Zulieferer des Bundes Xplain veröffentlichten Cyberkriminelle letzten Juni im Darknet Millionen von Dateien. Darunter waren hochsensible Informationen von verschiedenen Bundesstellen, etwa die Namen von Mitgliedern einer Spezialeinheit der Armee oder Daten aus Strafverfahren. Dennoch hält der Bund grundsätzlich an der Zusammenarbeit mit Xplain fest. Dies geht aus einer bislang unveröffentlichten Analyse des Nationalen Zentrums für Cybersicherheit NCSC (neu Bundesamt für Cybersicherheit) vom letzten November hervor.
Nach einem Sicherheitsaudit bei Xplain durch eine Drittfirma zog das NCSC das Fazit, «dass die technischen und organisatorischen Anforderungen an die Cybersicherheit erfüllt sind». Diese Einschätzung ist die Grundlage für die weitere Zusammenarbeit mit Xplain. Ob die Zusammenarbeit effektiv weitergeführt werde, müsse aber «von jedem betroffenen Bundesamt individuell beurteilt werden».
Laut Xplain haben sich bis heute keine Kunden von der Firma abgewandt, weder beim Bund noch bei den Kantonen, wo Xplain beispielsweise für verschiedene Polizeikorps arbeitet. Das gibt die Firma in einer Medienmitteilung bekannt. Das NCSC bestätigt, dass es bislang bei keiner Bundesstelle zu einem Abbruch der Geschäftsbeziehung mit Xplain kam.
Grössere Mängel vor dem Hack
Aus der Analyse des NCSC geht weiter hervor, dass Xplain vor dem Hacking-Angriff bei einer Reihe von Sicherheitsvorkehrungen Mängel aufwies. So war beispielsweise nicht bei allen Systemen und Anwendungen eine Multifaktor-Authentifizierung eingerichtet. Passwörter wurden unverschlüsselt aufbewahrt. Und offenbar hatten die Angreifer ein leichtes Spiel, sobald sie erst einmal einen Eingang ins System von Xplain gefunden hatten. Als Voraussetzung für die künftige Zusammenarbeit hält das NCSC fest: «Das Netzwerk von Xplain muss segmentiert sein – es darf einem Angreifer nicht möglich sein, so rasch zu einem so zentralen Element wie dem Build Server vordringen zu können.»
Eine weitere «wichtige Voraussetzung» sei, «dass die Geschäftsleitung von Xplain ein entsprechendes Risikobewusstsein für Cybersicherheit zeigt», so das NCSC. Im Gespräch mit dieser Redaktion wehrt sich Firmenchef Andreas Löwinger gegen den Vorwurf, seine Firma habe die Cybersicherheit vernachlässigt. «Ich sage nicht, wir hätten keine Fehler gemacht. Aber zu behaupten, wir hätten die Sicherheit vor dem Hack nicht ernst genommen, ist eine böse Unterstellung», sagt Löwinger. Seine Firma habe schon früher die üblichen Normen angewandt. «Sonst wäre es gar nicht möglich gewesen, eine Versicherung abzuschliessen», sagt Löwinger. Auch dank dieser Versicherung habe seine Firma das letzte Jahr trotz allem mit schwarzen Zahlen abschliessen können.
Angriff erfolgte via Cloud-Dienstleister
Xplain äussert sich auch erstmals detaillierter zu den Hintergründen des Angriffs. Laut Löwinger erfolgte der Angriff «gemäss Wissensstand des Unternehmens nicht direkt auf die Infrastruktur von Xplain, sondern via einen zertifizierten Schweizer Cloud-Dienstleister». Das wirft die Frage auf, ob dieser Cloud-Dienstleister eine Mitverantwortung für den Hack trägt. Dies sei «noch nicht abschliessend geklärt», sagt Löwinger. Klar sei nur, dass zwar die von den Hackern genutzte Eingangstür beim Cloud-Dienstleister lag, die gestohlenen Daten aber auf Xplain-eigenen Servern gespeichert waren.
Beim Cloud-Anbieter, mit dem Xplain bis zum Angriff zusammenarbeitete, handelt es sich um eine Firma mit Sitz in Zug. Deren Chef zeigt sich erstaunt darüber, dass seine Firma ins Spiel gebracht wird. Er sagt: «Kunden wie Xplain installieren und verwalten die Serverumgebungen selbstständig und sind auch für die Datensicherung, Updates sowie weitere Security-Aspekte zuständig. Wir haben keine Kenntnisse über die verwendeten Passwörter, Daten und Datensicherungsmassnahmen.»
Fehler gefunden?Jetzt melden.
