Das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz hat einen Bericht über seine Analyse eines Datenlecks nach einem Ransomware-Angriff auf Xplain veröffentlicht. Dabei wurde bekannt, dass der Vorfall Tausende sensibler Dateien der Bundesregierung betraf.
Xplain ist ein Schweizer Anbieter von Technologie- und Softwarelösungen für verschiedene Regierungsstellen, Verwaltungseinheiten und sogar die Streitkräfte des Landes. Die Play Ransomware-Gruppe drang am 23. Mai 2023 in das Unternehmen ein.
Zu diesem Zeitpunkt behauptete der Bedrohungsakteur, Dokumente gestohlen zu haben, die vertrauliche Informationen enthalten, und Anfang Juni 2023 setzte er seine Drohungen um und veröffentlichte die gestohlenen Daten auf seinem Darknet-Portal.
Die Schweizer Regierung begann mit der Untersuchung der geleakten Dateien und gab sofort zu, dass die geleakten Daten Dokumente der Bundesverwaltung der Schweiz enthalten könnten.
In einer heute veröffentlichten neuen Erklärung bestätigte die Schweizer Regierung, dass bei dem Datenleck 65.000 Regierungsdokumente veröffentlicht wurden:
Von den etwa 1,3 Millionen Dateien, die von der Play Ransomware veröffentlicht wurden, sind etwa 5 % (65.000 Dokumente) für die Bundesverwaltung relevant. Die meisten (95 %) dieser Dateien betreffen die Verwaltungseinheiten des Eidgenössischen Justiz- und Polizeidepartements (EJPD): das Bundesamt für Justiz, das Bundesamt für Polizei, das Staatssekretariat für Migration und das interne IT-Dienstleistungszentrum ISC-EJPD. Das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) war nur geringfügig betroffen und machte etwas mehr als 3 % dieser Daten aus. Rund 5.000 Dokumente enthielten sensible Informationen, darunter persönliche Daten (Namen, E-Mail-Adressen, Telefonnummern und Adressen), technische Details, klassifizierte Informationen und Kontopasswörter. Ein kleiner Satz von einigen hundert Dateien enthielt IT-Systemdokumentationen, Software- oder Architekturdaten und Passwörter. Die Ankündigung besagt, dass die am 23. August 2023 eingeleitete Verwaltungsuntersuchung bis Ende dieses Monats abgeschlossen sein soll. Die vollständigen Ergebnisse und Cybersicherheitsempfehlungen werden dem Bundesrat mitgeteilt.
Die lange Dauer der Untersuchung wird auf die Komplexität der Analyse unstrukturierter Daten und das große Volumen der geleakten Daten zurückgeführt, was erhebliche Zeit und Ressourcen für die Triage der für die Bundesverwaltung relevanten Dokumente erforderte.
Auch die Analyse der geleakten Daten auf Beweise ist rechtlich kompliziert, da vertrauliche Informationen eine abteilungsübergreifende Koordination und Beteiligung erfordern, was den Prozess zwangsläufig in die Länge zieht.