Cyberkriminalität Datenschützer weitet Untersuchung auf Xplain aus

SDA, smi

14.7.2023 - 13:13

Durch den Hackerangriff auf die Firma Xplain gelangten Daten des Bundes ins Darknet. (Archivbild)
Durch den Hackerangriff auf die Firma Xplain gelangten Daten des Bundes ins Darknet. (Archivbild)
KEYSTONE/PETER SCHNEIDER

Der eidgenössische Datenschutz-Beauftragte weitet seine Untersuchung wegen geklauter Daten auf den IT-Dienstleister Xplain aus. Seit Ende Juni ermittelt er gegen die Bundesämter für Polizei sowie Zoll- und Grenzsicherheit.

Seine Untersuchung läuft wegen Verletzung der Datensicherheit, wie der Edöb mitteilte. Nach der Eröffnung der Untersuchung gegen die beiden Bundesämter erhielt er inzwischen weitere Informationen zu den Vorfällen, welche ihn zur Ausweitung der Untersuchung auf Xplain bewogen. Weitere Auskünfte zum hängigen Verfahren erteilt die Datenschutzbehörde nicht.

Aktuell ist ein auf 2015 zurückgehender Auszug aus der Hooligan-Datenbank (Hoogan) im Darknet aufgetaucht. Diesen erbeuteten Hacker beim Angriff auf Xplain. Das Bundesamt für Polizei (Fedpol) informiert derzeit die betroffenen 766 Personen schriftlich. Informationen zu Delikten oder verfügten Massnahmen sind in der Datei nicht enthalten.

Strafanzeige eingereicht

Für jene Personen, die selbst nachfragen wollen, ob sie im entwendeten Auszug von Hoogan aufgeführt sind, hat das Fedpol ein Formular auf seiner Webseite aufgeschaltet. Wie die Daten an Xplain gelangten, ist ungeklärt. Im Juni wurde deswegen eine Strafanzeige eingereicht.

Gefunden wurden die Daten bei Abklärungen, die nach dem Ransomware-Angriff auf Xplain im Juni aufgenommen wurden. Auf den aktuellen, operativen Einsatz des Hoogan-Informationssystems hat die Veröffentlichung des Auszuges keinen Einfluss, hielt das Fedpol fest. Informationssysteme des Bundesamtes würden – ebenso wie die zugehörige Aufbewahrung der Daten – über eine gesicherte Infrastruktur des Bundes laufen.

Schwachstelle genutzt

Der Ransomware-Angriff auf Xplain war am 23. Mai bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des Dienstleisters angegriffen und dort Daten der Bundesverwaltung gestohlen.

Weil sie kein Lösegeld erhielten, veröffentlichten sie Daten des Fedpol sowie des Bundesamts für Zoll und Grenzschutz am 3. Juni im Darknet. Weitere operative Daten der Bundesverwaltung machten sie etwas später publik.

Ende Juni verabschiedete der Bundesrat das Mandat für einen Krisenstab namens «Datenabfluss», der die Arbeiten nach dem Angriff koordinieren soll. Es müsse sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich sei, sagte Bundesrätin Karin Keller-Sutter damals.

SDA, smi