Bundesamt für Cybersicherheit Schweiz
Der Bericht des Nationalen Zentrums für Cybersicherheit (NCSC) behandelt die Datenanalysen nach dem Cyberangriff auf die Firma Xplain, der im Mai 2023 stattfand. Xplain, ein bedeutender Dienstleister für verschiedene Bundesbehörden, war Ziel eines Double Extortion-Ransomware-Angriffs, bei dem sensible Daten gestohlen und anschließend im Darknet veröffentlicht wurden. Der Bericht analysiert die Folgen des Vorfalls, die Art der entwendeten Daten und die ergriffenen Maßnahmen zur Wiederherstellung der Sicherheit.
- Einleitung
Der Angriff auf Xplain führte zu einem erheblichen Datenabfluss, der sicherheitsrelevante und personenbezogene Daten betraf. Nach der Veröffentlichung im Darknet waren diese Daten öffentlich zugänglich, was zu einem Vertrauensverlust in die Datensicherheit der Bundesverwaltung führte. Der Bundesrat beauftragte eine Administrativuntersuchung, um die Verantwortlichkeiten und zukünftige Präventionsmaßnahmen zu klären. Das NCSC leitete die Vorfallbewältigung und führte eine umfassende Analyse der veröffentlichten Daten durch.
- Ausgangslage
Der Angriff wurde von der Hackergruppe Play durchgeführt, die mit Ransomware operiert und sowohl die Verschlüsselung von Daten als auch die Drohung mit deren Veröffentlichung nutzt, um Lösegeld zu erpressen. Xplain weigerte sich, die Forderungen der Angreifer zu erfüllen, was zur Veröffentlichung von etwa 400 GB Daten im Darknet führte. Die Bundesverwaltung, als Kunde von Xplain, war ebenfalls betroffen, was eine sofortige Risikoeinschätzung und Sofortmaßnahmen erforderte.
- Ziele der Datenanalyse
Das NCSC hatte zwei Hauptziele bei der Datenanalyse: Erstens sollten die betroffenen Verwaltungseinheiten identifiziert werden, und zweitens sollte der unmittelbare Handlungsbedarf ermittelt werden. Die Analyse erfolgte in zwei Schritten: einer systematischen Kategorisierung der Daten und einer Zusammenstellung der wichtigsten Ergebnisse.
- Beschreibung der veröffentlichten Daten
Im Darknet wurden insgesamt 646 RAR-Archivdateien mit einem Gesamtvolumen von 431 GB veröffentlicht. Die Dateien enthielten eine Vielzahl an Datenformaten, einschließlich unstrukturierter Daten, die eine komplexe Analyse erforderlich machten. Die Herausforderung bestand darin, die relevanten Informationen von irrelevanten zu trennen und die Daten in ein lesbares Format zu überführen.
- Datenauswertung
Zur Auswertung der Daten kam ein eDiscovery-System zum Einsatz, das eine strukturierte Sichtung und Analyse der Daten ermöglichte. Neun Mitarbeiter des NCSC und 27 Freiwillige aus verschiedenen Bundesämtern arbeiteten an der Analyse. In der ersten Phase wurden rund 65.000 Dokumente als potenziell relevant identifiziert, die einer detaillierten manuellen Prüfung unterzogen wurden.
- Ergebnisse der Datenanalyse
Die Analyse ergab, dass die meisten Daten (73 %) von Xplain stammten, gefolgt von der Bundesverwaltung (14 %) und den Kantonen (10 %). Über 5.000 Objekte mit sensitiven Informationen wurden identifiziert, darunter personenbezogene Daten, technische Informationen und klassifizierte Dokumente. Die größte Bedrohung stellten die personenbezogenen Daten dar, die über 90 % der sensitiven Objekte ausmachten.
- Analyse des Deltas zwischen veröffentlichten und gefährdeten Daten
Eine der zentralen Fragen war, warum die Angreifer nur etwa 400 GB von ursprünglich 907 GB entwendeten Daten veröffentlichten. Das NCSC führte eine Analyse durch, um festzustellen, ob Daten bewusst zurückgehalten oder unvollständig veröffentlicht wurden. Die Ergebnisse zeigten, dass 39 % der Daten von fedpol veröffentlicht wurden, jedoch zahlreiche Dateien, die potenziell sensibel waren, nicht auftauchten. Diese Lücken könnten sowohl auf technische Gründe als auch auf eine oberflächliche Prüfung der Daten durch die Angreifer hinweisen.
- Fazit aus den Datenanalysen
Der Bericht schließt mit der Erkenntnis, dass eine umfassende Analyse der Daten unabdingbar ist, um den Vorfall richtig zu bewerten und die Betroffenen zu informieren. Der Analyseprozess war arbeitsintensiv und erforderte erhebliche Ressourcen, um relevante von irrelevanten Informationen zu trennen. Trotz der Herausforderungen ist es dem NCSC gelungen, die nötigen Infrastrukturen schnell zu mobilisieren und die politische Führung sowie die Öffentlichkeit transparent zu informieren.
Zusammenfassend zeigt der Bericht, dass auch zukünftig mit Cyberangriffen gerechnet werden muss und dass die Bundesverwaltung weiterhin an der Verbesserung ihrer Sicherheitsstrategien und der Analysefähigkeit arbeiten sollte, um auf ähnliche Vorfälle besser vorbereitet zu sein. Die gewonnenen Erkenntnisse werden im Rahmen der Administrativuntersuchung weiter untersucht, um künftige Präventionsmaßnahmen zu entwickeln und das Vertrauen in die Datensicherheit der Bundesverwaltung wiederherzustellen.
