Ransomware-Angriff auf Xplain: die Einsatzorganisation von fedpol
Die Schweiz ist mit einer zunehmenden Bedrohung durch Ransomware-Angriffe konfrontiert. Kriminelle hacken sich in Computersysteme ein, stehlen oder verschlüsseln Daten und setzen Unternehmen unter Druck. Nach dem Angriff auf eine Dienstleisterin von fedpol ist eine umfangreiche Ereignisbewältigung erforderlich.
Ransomware-Angriffe werden für die Schweiz zur ernsthaften Bedrohung. Dabei nutzen Kriminelle Sicherheitslücken in Computersystemen, um sich Zugang zu verschaffen und Daten zu stehlen oder zu verschlüsseln. Oft ist Erpressung mit im Spiel. Das Ultimatum der Hacker: Bezahlen oder die gestohlenen Daten werden öffentlich oder dauerhaft unzugänglich. Für die betroffenen Organisationen ist das ein massiver Aufwand – personell, administrativ und finanziell. Ransomware-Angriffe gehen weit über den sofortigen Datenverlust hinaus, denn sie schädigen Unternehmen und Einzelpersonen langfristig nicht nur finanziell, auch die Reputation wird beschädigt.
In der Schweiz sind 2023 mehrere Unternehmen Ziel solcher Angriffe, unter ihnen die Firma Xplain. Die Hackergruppe «Play» – Profis, die jedes Jahr Hunderte Firmen mit dieser Methode erpressen – greift Xplain im Frühling an. Die Kundschaft von Xplain: zu grossen Teilen Kantons- und Bundesbehörden, darunter fedpol.
«Die Last der Verantwortung, die wir trugen, war schwer, aber gleichzeitig spürte ich auch den Zusammenhalt bei fedpol und die immense Unterstützung meiner Kolleginnen und Kollegen.»
Dominic*, Polizeilicher Analytiker
Eine Ransomware-Attacke auf einen Lieferanten kann auch für die Kunden der Angegriffenen Aufwand bedeuten:
Nach dem Angriff auf Xplain richtet fedpol umgehend eine Einsatzorganisation (EO) ein – ein interner Krisenstab, bestehend aus Fachleuten aus verschiedenen Abteilungen. Die Bewältigung möglicher Folgen des Angriffs auf die Dienstleisterin von fedpol wird zur obersten Priorität. Phasenweise sind über 60 Mitarbeitende rund um die Uhr damit beschäftigt; ihre Kolleginnen und Kollegen übernehmen das Tagesgeschäft. Die Mission der EO:
- die gestohlenen Daten identifizieren und analysieren;
- Schutzmassnahmen für Menschen, Infrastruktur und Daten einleiten;
- weitere betroffene Organisationen informieren;
- den Fall rechtlich begleiten, um Schwachstellen in Ausschreibungen und Verträgen zu identifizieren und künftige Vorfälle zu verhindern;
- Unterstützung der Partner innerhalb der Bundesverwaltung;
- die Kommunikation nach innen und aussen sicherstellen;
- und vor allem lernen, lernen, lernen.
Lesen Sie den Bericht des involvierten Polizeilichen Analytikers Dominic*, um mehr über die Arbeit in der EO zu erfahren.
Bericht von Dominic*, Polizeilicher Analytiker in der EO
Als ich der EO zugeteilt wurde, stellte sich mein Arbeitsalltag als Polizeilicher Analytiker von einem Tag auf den anderen komplett auf den Kopf. Ich erhielt den Auftrag, zusammen mit meinem Vorgesetzten das Nachrichten- und Analysezentrum (NAZ) der EO physisch und auch strukturell aufzubauen. Wir arbeiteten Tag und Nacht, manchmal bis zu 16 Stunden am Stück, und das auch an den Wochenenden. Die Last der Verantwortung, die wir trugen, war schwer, aber gleichzeitig spürte ich auch den Zusammenhalt bei fedpol und die immense Unterstützung meiner Kolleginnen und Kollegen.
Neben der EO lief das Tagesgeschäft weiter. Bei dessen Bewältigung konnte ich immer auf die wertvolle Unterstützung meines Teams zählen. Trotz der Strapazen war mir stets bewusst, dass es unsere Verantwortung war, diese Krise zu bewältigen. Diese Erkenntnis hat mich zusätzlich angetrieben und motiviert. Selbst in meinem privaten Umfeld stiess ich trotz der Verschwiegenheitspflicht auf grosses Verständnis für diese aussergewöhnliche Situation. Es erfüllt mich mit Stolz, Teil der EO gewesen zu sein, die unermüdlich im Einsatz war. Es war eine überaus bereichernde Erfahrung, bei der ich viel lernen konnte und mit vielen neuen Kolleginnen und Kollegen Bekanntschaft schliessen dufte. Dieser Einsatz hat mich geprägt und mir gezeigt, wie wichtig es ist, in Krisenzeiten zusammenzuhalten und sich gegenseitig zu unterstützen. Er hat mich daran erinnert, dass wir gemeinsam stärker sind.
fedpol informiert gleich zu Beginn den Eidgenössischen Datenschutzbeauftragten (EDÖB) und reicht eine Strafanzeige gegen Unbekannt ein. Eine unabhängige Stelle soll klären, wie die teils sensiblen fedpol-Daten auf die Server von Xplain gelangt und dort verblieben sind.
Bei Redaktionsschluss dieses Jahresberichts ist, nebst dem Strafverfahren gegen Unbekannt und den Untersuchungen des EDÖB, eine Administrativuntersuchung im Auftrag des Bundesrats im Gange. Viele Fragen sind noch offen; auch wenn schon viele Lehren aus dem Fall gezogen wurden, abschliessend sind sie nicht. Doch eins ist sicher: Das hohe Engagement der EO von fedpol hat massgeblich dazu beigetragen, potenzielle Risiken für Menschen, Daten und Infrastruktur abzuwenden.
* Name geändert