Ein Cyberangriff auf die Softwarefirma Concevis in Basel Anfang November hat weitreichende Auswirkungen in der Schweiz. Im Darknet sollen erste Datenfragmente aus dem massiven Datenleck aufgetaucht sein, das ebenfalls die Eidgenössische Steuerverwaltung (ESTV) betrifft. Laut dem Zürcher Tagesanzeiger hat ein Insider auf hochsensible Informationen von US-Kunden bei Schweizer Banken verwiesen, darunter deren Name, Wohnsitzland, Pass- und Kontonummer. Die Echtheit der Daten konnte noch nicht überprüft werden freilich ist bekannt. Dass Concevis im Rahmen des US-Gesetzes zur Bekämpfung von Steuerhinterziehung (FATCA) Konteninformationen für die ESTV verarbeitet hat.
Concevis und das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) haben Mitte November den Ransomware-Angriff öffentlich gemacht. Dabei wurden alle Server des Unternehmens verschlüsselt. Concevis räumte ein, dass es zu einem umfangreichen Datenabfluss gekommen sein könnte. Die Staatsanwaltschaft Basel-Stadt hat ein Strafverfahren eingeleitet. Während der laufenden Ermittlungen und zum Schutz der Kunden und potenziell betroffener Daten können keine weiteren Informationen bekannt gegeben werden. Auf der Kundenliste von Concevis standen neben kommunalen Stellen auch Bundesämter und das Kommando Ausbildung der Schweizer Armee.
In der vergangenen Woche war noch unklar welche Verwaltungen & Informationen von dem Angriff betroffen waren. Die bisher unbekannten Angreifer forderten ein Lösegeld dem Concevis jedoch nicht nachgekommen ist. Daraufhin drohten die Angreifer mit der Veröffentlichung und dem Verkauf der gestohlenen Daten im Darknet. Das Unternehmen teilte mit, dass ein beauftragter IT-Sicherheitsdienstleister die einschlägigen Foren regelmäßig überwache. Bisher gebe es keine Hinweise darauf, dass Daten aus dem Angriff online veröffentlicht wurden. Laut der Neuen Zürcher Zeitung (NZZ) handelt es sich bei der verwendeten Ransomware um Phobos die zu den fünf am häufigsten verwendeten Verschlüsselungstrojanern gehört.
Phobos wird von verschiedenen Cyberkriminellen genutzt, darunter die bekannte Gruppe 8Base die Verbindungen nach Moldawien hat und eine eigene Leak-Seite im Tor-Netzwerk betreibt. Bisher hat sich 8Base jedoch nicht zum Angriff auf Concevis bekannt. Erst vor einigen Monaten wurden nach einem Cyberangriff auf einen anderen Schweizer Behördendienstleister die Firma Xplain gestohlene Daten im Darknet entdeckt darunter Informationen der Militärpolizei. Die NZZ weist darauf hin, dass die Eidgenössische Bundesverwaltung eine gewisse Mitverantwortung trägt, da sie in beiden Fällen nicht von ihrem Recht Gebrauch gemacht hat die IT-Sicherheit externer Lieferanten zu überprüfen. Sowohl Xplain sowie Concevis arbeiten bereits seit über zehn Jahren für den Bund.
Kommentare