Schweiz: Veröffentlichung von Steuerverwaltungsdaten im Darknet nach Ransomware-Angriff

Schweiz: Veröffentlichung von Steuerverwaltungsdaten im Darknet nach Ransomware-Angriff

Der Ransomware-Angriff auf die Basler Firma Concevis Anfang November hat weitreichende Auswirkungen auf die Schweiz, da nun auch sensible Informationen der Eidgenössischen Steuerverwaltung (ESTV) im Darknet aufgetaucht sind. Gemäß dem Bericht des Zürcher Tagesanzeigers sind erste Fragmente aus dem umfangreichen Datenleck öffentlich geworden, darunter hochsensible Informationen von US-Kunden bei Schweizer Banken. Diese beinhalten Name, Wohnsitzland, Pass- und Kontonummer. Obwohl die Authentizität der Daten nicht definitiv verifiziert werden kann, ist bekannt, dass Concevis im Rahmen des US-Gesetzes zur Bekämpfung von Steuerhinterziehung (FATCA) relevante Konteninformationen für die ESTV verarbeitet hat.

Die Concevis und das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) gaben Mitte November den Ransomware-Angriff öffentlich bekannt. Dabei wurden sämtliche Server des Unternehmens verschlüsselt, und es wurde eingeräumt, dass ein umfangreicher Datenabfluss zu befürchten sei. Die Staatsanwaltschaft Basel-Stadt hat daraufhin ein Strafverfahren eröffnet, und aufgrund der laufenden Ermittlungen sowie dem Schutz der Kunden- und potenziell betroffenen Daten können derzeit keine weiteren Informationen preisgegeben werden. Zu den betroffenen Kunden gehören neben kommunalen Stellen auch die Bundesämter für Bevölkerungsschutz, Raumentwicklung, Statistik und Zivilluftfahrt sowie das Kommando Ausbildung der Schweizer Armee.

Entgegen der Lösegeldforderung, die von den unbekannten Angreifern gestellt wurde, hat Concevis kein Lösegeld gezahlt. Als Reaktion darauf drohten die Angreifer damit, die abgegriffenen Daten im Darknet zu veröffentlichen und zu verkaufen. Die Firma gibt an, dass ein beauftragter IT-Sicherheitsdienstleister einschlägige Foren überwacht, jedoch derzeit keine Kenntnisse über die Online-Veröffentlichung von Daten aus der Attacke vorliegen. Nach Informationen der Neuen Zürcher Zeitung (NZZ) handelt es sich bei der verwendeten Ransomware um Phobos, die zu den Top 5 der aktuell am häufigsten eingesetzten Verschlüsselungstrojaner gehört, laut dem hiesigen Bundeskriminalamt.

Phobos wird von verschiedenen Cyberbanden genutzt, wobei 8Base als bekannteste gilt. Diese Gruppe, die vor allem seit dem Sommer aktiv ist und Verbindungen nach Moldawien aufweist, betreibt eine eigene Leak-Seite im Tor-Netzwerk. Bisher hat sich jedoch keine der Gruppen zur Concevis-Attacke bekannt. Die Eidgenössische Bundesverwaltung trägt laut NZZ eine gewisse Mitverantwortung, da sie in beiden Fällen versäumt hat, von ihrem Recht Gebrauch zu machen, die IT-Sicherheit externer Zulieferer zu überprüfen. Sowohl Xplain als auch Concevis waren bereits seit über zehn Jahren für den Bund tätig.

Facebook
LinkedIn
Twitter
XING
Email
Nach oben scrollen
Die neuesten Cybernews

Melde dich zu unserem Newsletter an!

Sei deinen Angreifern immer einen Schritt voraus mit den aktuellen Cybersecurity News!