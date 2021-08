Bereits Ende Mai war die Gemeindeverwaltung des beschaulichen Ortes Rolle in der Romandie Opfer einer Cyberattacke. Dies wurde kürzlich durch Recherchen des News-Portals watson.ch der Öffentlichkeit bekannt. Die Folge des Angriffs: Die Daten aller Einwohner sowie weitere Dokumente sind seit Mitte Juni recht einfach im Darknet zu finden, so Watson.

Zahlreiche sensible Datenbestände nun im Darknet

Das News-Portal berichtet von einem "massiven Datenleck" und einer "grossen Menge interner und vertraulicher Dokumente", die im Darknet zugänglich sind. Mehrere Medienorgane forschten nach und fanden nebst ausführlichen persönlichen Einwohnerdaten und denen von Gemeindeangestellten und Unternehmen auch die Outlook-Postfächer des früheren Stadtpräsidenten und des Verwaltungschefs sowie Dokumente zur Finanzplanung der Gemeinde.

Selbst Zeugnisse mit Schulnoten von Schüler und Informationen von Kindern, die sich mit dem Coronavirus infiziert hatten, finden sich jetzt im Darknet. Von den Gemeindeangestellten seien die Jahresbeurteilungen mitsamt Kommentaren ersichtlich, schreibt die NZZ. Vermutlich, so Watson, konnten die Kriminellen während längerer Zeit auf einen Server der Gemeinde zugreifen und unbemerkt große Datenmengen extrahieren.

Anfangs behauptete die Stadtverwaltung von Rolle gegenüber Watson noch, keine Kenntnisse von einem Cyberangriff zu besitzen, schreibt das News-Portal. Von Watson mit Dokumenten aus dem Darknet konfrontiert, wollte die Gemeindeverwaltung zunächst keine Stellungnahme abgeben. Dann gab Gemeindepräsidentin Monique Choulat-Pugnale am vergangenen Wochenende schließlich gegenüber der Waadtländer Tageszeitung 24 heures zu, Ende Mai einen Einbruch in ihre IT-Systeme festgestellt zu haben.

Gemeindepräsidentin: "Geringfügiger Angriff", kein Lösegeld gezahlt

Cyberkriminelle seien per Ransomware-Attacke ins Computernetzwerk der Gemeinde eingedrungen – vermutlich über eine Schwachstelle des Betriebssystems. Die Gemeindepräsidentin betonte, die Gemeinde habe kein Lösegeld bezahlt. Es habe sich aber nur um einen "geringfügigen Angriff" gehandelt. Es seien lediglich E-Mails gehackt worden, die zudem "keinerlei sensitive Daten" enthielten, so die Präsidentin. Laut 24 heures sei die Gemeindepräsidentin auch für die IT-Systeme der Gemeinde Rolle zuständig. In einer Pressemitteilung teilte die Gemeinde schließlich mit, die Daten vollständig aus aktuellen Backups wiederhergestellt zu haben. Das war aber offenbar schwierig, weil die Täter Daten auf einigen Verwaltungs-Servern verschlüsselt und den Zugriff verhindert hatten.

Mit Unterstützung der Computer-Notfallstelle des Bundes (GovCERT), der Kantonspolizei Waadt und einer spezialisierten Firma konnten die IT-Systeme wiederhergestellt worden. Dies habe jedoch zehn Tage gedauert. Laut Medienberichten enthielt die Gemeinde währenddessen den Umfang des Vorfalls der Öffentlichkeit noch vor – "auf Anraten von Cybersicherheitsexperten und um die Anfälligkeit der Gemeinde nicht zu erhöhen".

Cyberkriminelle nutzten wahrscheinlich "PrintNightmare"-Lücke

Ein IT-Spezialist wandte sich Le Temps und meldete, er habe im Darknet eine Excel-Tabelle mit den teils sensiblen Daten von 5393 Einwohnern der Gemeinde entdeckt. Daraufhin deckte die Zeitung das volle Ausmaß des Angriffs auf und bestätigte so den Watson-Artikel.

Die Watson-Journalisten führen den Angriff auf die Cyberkriminellen-Gruppe "Vice Society" zurück, die laut den IT-Security-Experten von Cisco Talos auf Attacken auf kleine und mittelständische Unternehmen sowie auf öffentliche Einrichtungen spezialisiert ist. Die von den Cyberkriminellen eingesetzte Ransomware soll die Schwachstelle "PrintNightmare" im Drucksystem von Windows genutzt haben. Ransomware von Vice Society wird von Experten seit Juni festgestellt und ist laut ihren Erkenntnissen eine Variante der "HelloKitty"-Ransomware, die ebenfalls für Angriffe auf Windows- und Linux-IT-Systeme vorwiegend kleiner bis mittlerer Ziele eingesetzt wird.

Lesen Sie auch PrintNightmare: Schon wieder eine Drucker-Lücke in Windows ohne Patch

"Eine gewisse Naivität" zugegeben

Die Gemeindeverwaltung Rolle, die in dem Fall Strafanzeige erstattet hat, räumte kürzlich ein, "die Schwere des Angriffs (und) die potenzielle Verwendung der Daten unterschätzt" zu haben. Sie gebe "mit Demut eine gewisse Naivität hinsichtlich dessen zu, was im Umgang mit dem Darknet und böswilligen Hacks auf dem Spiel steht" und sagte, sie habe eine Taskforce zur Bewältigung der Krise eingesetzt. In Rolle am Genfersee haben unter anderem Yahoo und Nissan ihre Europa-Hauptquartiere.

(tiw)