Cyberkriminelle haben nach einem Ransomware-Angriff auf den Schweizer IT-Dienstleister Xplain durch die Cybergang Play auch zahlreiche Daten des Schweizer Bundesamts für Polizei (Fedpol) veröffentlicht. Das geht aus einer Pressemitteilung von Fedpol hervor. Betroffen sind demnach ungefähr 766 Personen, die im September 2015 in der Schweizer Hooligan-Datenbank "Hoogan" gelistet waren. Betroffene werden derzeit informiert. Man nehme "den Ransomware-Angriff gegen Xplain, den Datenabfluss und die damit verbundenen Risiken und Fragen sehr ernst", heißt es. Ebenso wird ein Formular zur Verfügung gestellt, mit dem Personen anfragen können, ob sie betroffen sind.

Zu den geleakten Daten gehören "Vor- und Nachnamen, Adressen, Geburtsdaten sowie Identifikationsbilder", wie ein Fedpol-Sprecher dem Tagesanzeiger gesagt hat. Die Bilder müssten von Dritten allerdings erst dekodiert werden. Seit dem Angriff Mitte Juni laufen in der Bundesverwaltung "intensive Abklärungen zu den betroffenen Daten". Analysen zeigen, dass eine acht Jahre alte XML-Datei im Darknet aufgetaucht ist, die Teile der Daten aus Hoogan enthält. Dort werden Personen erfasst, "die sich an Sportveranstaltungen im In- und Ausland gewalttätig verhalten haben und gegen die der zuständige Kanton oder Fedpol eine Massnahme verhängt haben". Nach Informationen des Tagesanzeiger seien Xplain die Daten "zu Programmierungs- und Testzwecken" zugänglich gemacht worden und hätten längst gelöscht werden müssen.

Umstände unklar

Informationen zu Delikten oder getroffenen Maßnahmen seien in der Datei nicht enthalten. Derzeit wird geklärt, wie es dazu kam, dass die Datei zum Behörden-Dienstleister Xplain gelangten und dort verblieben. Dazu sei Mitte Juni eine Strafanzeige gegen Unbekannt erstattet worden, um die Umstände zu klären. Laut Tagesanzeiger hat die Schweizer Bundesanwaltschaft ein Strafverfahren eröffnet, das sich auch um den Umgang mit den sensiblen Informationen dreht. Auswirkungen auf den "operativen Einsatz des Informationssystems" habe der Cyberangriff nicht. Zudem verweist Fedpol darauf, dass die Weiterverbreitung der illegal veröffentlichten Daten ebenfalls strafbar ist.

Nachdem die Ransomware-Gruppe Play versucht hat, Xplain zu erpressen, stellte sie ab Mitte Juni alle Kundendaten des IT-Dienstleisters für Behörden ins Darknet – mehr als 900 Gigabyte. Play sei im Mai durch eine serverseitige Sicherheitslücke bei Xplain eingebrochen. Dieselben Angreifer hatten bereits im April die NZZ angegriffen. Zu den Kunden gehören unter anderem Sicherheitsbehörden des Bundes und mehrerer Kantone. Dabei seien auch "operative Daten der Bundesverwaltung" entwendet worden. Xplain hatte nach dem Angriff das Schweizer Zentrum für Cybersicherheit (NCSC) über den Vorfall informiert und Strafanzeige erstattet. Von Fedpol stammen dem Tagesanzeiger zufolge rund zehn Prozent der geleakten Daten, andere Ämter haben sich zu den veröffentlichten Daten bisher nicht oder nur wenig geäußert.

Ermittlungen wegen Datenschutzverletzungen

Vor einigen Wochen wurde bekannt, dass der oberste Datenschützer der Schweiz, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), im Zusammenhang mit dem Angriff auf Xplain bei den Bundesämtern für Polizei sowie Zoll und Grenzsicherheit wegen möglicherweise schwerer Datenschutzverletzungen ermittelt. Ein entsprechendes Vorabklärungsverfahren wurde bereits Mitte April eröffnet. Ein Bericht in der Aargauer Zeitung hatte Fragen zur Rechtmäßigkeit der Zugriffe von Mitarbeitenden des Bundesamts für Zoll und Grenzsicherheit (BAZG) auf das nationale Fahndungsregister RIPOL des Bundesamts für Polizei (Fedpol) aufgeworfen.

(mack)