Hackerangriff auf Firma Xplain: Bericht des Bundesamtes für Cybersicherheit zur Datananalyse publiziert

Bern, 07.03.2024 - Nach dem Hackerangriff auf die Firma Xplain hat das Bundesamt für Cybersicherheit (BACS), das damalige Nationale Zentrum für Cybersicherheit (NCSC), die Koordination der Vorfallbewältigung in der Bundesverwaltung übernommen. Teil davon war die Analyse der durch die Täterschaft im Darknet publizierten Daten. Die Analyse wird im heute publizierten Bericht erläutert. Der Bericht zeigt auf, welche Art von Daten betroffen waren, und beschreibt die Herausforderungen bei der Durchführung der Datenanalyse. Er nimmt keine inhaltliche Bewertung der Daten vor. Der Bericht untersucht auch nicht, weshalb welche Daten abfliessen konnten; diese Frage wird im Rahmen der laufenden Administrativuntersuchung geklärt.

Die Hackergruppierung «Play» hat mit einem Ransomware-Angriff auf die Firma Xplain Daten gestohlen und am 14. Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet veröffentlicht. Darunter befanden sich auch klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung. Das Nationale Zentrum für Cybersicherheit (NCSC) hat die Vorfallbewältigung geleitet, Massnahmen zur Wiederherstellung der Sicherheit der Systeme definiert und eine umfassende Analyse der veröffentlichten Daten durchgeführt.

Als Beitrag zur Aufarbeitung des Vorfalls und zur Schaffung einer grösstmöglichen Transparenz publiziert es den vorliegenden Bericht über das Vorgehen und die Resultate der Datenanalyse. Ziel ist es, einen Überblick zu geben, welche Art von Daten betroffen war und die Herausforderungen bei der Datenanalyse zu beschreiben.

Relevanz der veröffentlichten Datenmenge

Das im Darknet veröffentlichte Paket umfasste ein Datenvolumen von rund 1.3 Mio. Objekten. Nach dem Download der Daten erfolgte unter Federführung des NCSC die systematische Kategorisierung und Triage aller für die Bundesverwaltung relevanten Dokumente. Daraus geht hervor, dass die für die Bundesverwaltung relevante Datenmenge rund 65'000 Dokumente und somit ca. 5% des gesamten veröffentlichten Datenbestands umfasst. Davon gehören die meisten Objekte mit einem Anteil von über 70% der Firma Xplain (47’413 Objekte) und rund 14% und somit 9’040 Objekte der Bundesverwaltung. Von den Objekten der Bundesverwaltung sind rund 95% den Verwaltungseinheiten des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) – dem Bundesamt für Justiz, Bundesamt für Polizei, Staatssekretariat für Migration und dem internen Leistungserbringer ISC-EJPD – zuzuordnen. Mit etwas mehr als 3% der Daten ist das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) leicht und die übrigen Departemente mengenmässig nur marginal betroffen.

Anteil sensitiver Daten

In 5’182 Objekten und somit in rund der Hälfte der Objekte der Bundesverwaltung wurden sensitive Inhalte wie Personendaten, technische Informationen, klassifizierte Informationen und Passwörter gefunden. Davon enthielten 4’779 Objekte, Personendaten wie Name, E-Mail, Telefonnummer, Adresse, usw. 278 Objekte fallen in die Kategorie der technischen Informationen wie Dokumentationen von IT-Systemen, Anforderungsdokumente zu Applikationen oder Architekturbeschreibungen. 121 Objekte sind gemäss Informationsschutzverordnung klassifiziert. Und vier Objekte enthalten lesbare Passwörter.

Herausforderungen der Analyse

Für die Beantwortung der Frage, von wem welche Daten in welchem Ausmass abgeflossen sind, war ein beträchtlicher Analyseaufwand nötig. Unstrukturierte Datensätze mussten mit Hilfe von geeigneten Instrumenten aufbereitet und lesbar gemacht werden. Anschliessend mussten die als relevant identifizierten Objekte manuell gesichtet und kategorisiert werden. Bei der Bewältigung des Sicherheitsvorfalls unter der Leitung des NCSC haben die verschiedenen betroffenen Bundesämter und Leistungserbringer eng zusammengearbeitet. Dadurch konnten Synergien genutzt, Ressourcen sinnvoll eingesetzt und wertvolle Zeit gewonnen werden.

Administrativuntersuchung

Um die Ereignisse rund um den Datenabfluss bei Xplain umfassend aufzuarbeiten, hat der Bundesrat am 28. Juni 2023 einen politisch-strategischen Krisenstab «Datenabfluss» (PSK-D) mandatiert und am 23. August 2023 eine Administrativuntersuchung angeordnet. Die Administrativuntersuchung soll bis Ende März 2024 abgeschlossen werden. Nach deren Durchführung wird der Bundesrat über die Ergebnisse und Empfehlungen informiert, damit er über die Folgen der Administrativuntersuchung entscheiden kann.

Adresse für Rückfragen

Kommunikation BACS
+41 58 465 04 64
media@ncsc.admin.ch