Die Bundesverwaltung kümmert sich nicht sonderlich um die Cybersicherheit ihrer Zulieferfirmen. Der jüngste Fall des Unternehmens Concevis zeigt: So rasch wird sich das nicht ändern.
Die IT-Sicherheit der Bundesverwaltung ist lückenhaft. Als grosse Schwäche hat sich in den letzten Monaten die Sicherheit der Lieferanten entpuppt. Im Sommer wurden kriminelle Cyberangriffe auf die IT-Firma Xplain und ein Berner Architekturbüro bekannt. In beiden Fällen entwendeten die Angreifer sicherheitsrelevante Informationen.
Aus diesen Angriffen sogenannter Ransomware-Gruppen hat der Bund offensichtlich noch nichts gelernt – beziehungsweise noch keine ausreichenden Massnahmen ergriffen. Letzte Woche machte das Nationale Zentrum für Cybersicherheit (NCSC) einen weiteren Fall bekannt: Die Softwarefirma Concevis wurde Anfang Monat Opfer eines Ransomware-Angriffs, bei dem vermutlich ebenfalls Daten von Bund, Kantonen und privaten Firmen entwendet wurden.
Wie die Angreifer in die Systeme von Concevis eindringen konnten, geben weder die Firma noch das NCSC bekannt. Doch klar ist, dass beim Angriff praktisch das gesamte IT-Netzwerk der Firma verschlüsselt und damit unbenutzbar wurde. Die komplette Verschlüsselung bedeutet, dass die Sicherheitsvorkehrungen eher schwach waren und der Angriff relativ spät erkannt wurde. Das wirft kein gutes Licht auf die IT-Sicherheit von Concevis.
Jahrelang keine Sicherheitsprüfung gemacht
Doch nicht nur die Firma selbst steht in der Verantwortung. Der Bund hat seine Möglichkeiten zur Aufsicht ebenfalls vernachlässigt. In den Verträgen mit seinen Lieferanten sieht die Bundesverwaltung jeweils ein sogenanntes Auditrecht vor: Der Bund kann die IT-Sicherheit der externen Firma überprüfen oder extern überprüfen lassen.
Im Fall von Concevis ist das nicht geschehen. «Der Bund hat bisher bei der Firma Concevis keine Sicherheitsprüfungen oder Audits vorgenommen», schreibt das NCSC auf Anfrage. Und dies, obwohl das Softwareunternehmen seit mindestens 2011 für den Bund tätig ist. Zuständig für eine solche Prüfung wären jene Bundesstellen, welche Produkte von Concevis beziehen. Das sind zum Beispiel die Eidgenössische Steuerverwaltung oder das Bundesamt für Statistik.
Die Firma selbst hat offenbar ebenso wenig eine externe Sicherheitsüberprüfung durchführen lassen. Die Anfrage der NZZ dazu beantwortet Concevis ausweichend. Zuerst heisst es, man habe laufend «neue technische und organisatorische Massnahmen implementiert», um die Cybersicherheit zu gewährleisten. Auf die erste Nachfrage hin verweist Concevis auf den Bund. Bei der zweiten Nachfrage schreibt die Firma, man beantworte keine «Detailfragen, die unsere IT-Infrastruktur betreffen». Vertrauen in die IT-Sicherheit hinterlässt diese Kommunikation nicht.
Immerhin scheint die Firma Concevis relativ gut Bescheid zu wissen über die externen Daten, die auf den eigenen Servern gespeichert sind. Zumindest im Vergleich zum Unternehmen Xplain, heisst es aus der Bundesverwaltung, habe Concevis relativ rasch darüber informieren können, welche Daten die Kriminellen möglicherweise entwendet haben.
Allerdings werfen die Angaben des NCSC zum Datenabfluss auch Fragen auf. In der Medienmitteilung ist von «älteren, operativen Daten» die Rede, welche die Kriminellen mutmasslich kopiert hätten. Solche Daten sollten aber – gerade wenn sie älter sind – nicht mehr auf den Servern der IT-Firma liegen.
Suche nach den Angreifern ist komplex
Die Kriminellen haben damit gedroht, die Daten im Darknet zu veröffentlichen. Das ist ein übliches Vorgehen von Ransomware-Gruppen, welche so das Opfer zusätzlich zu erpressen versuchen. Im Juni etwa veröffentlichte die Gruppe Play die Daten des IT-Zulieferers Xplain, nachdem kein Lösegeld gezahlt worden war.
Im Falle von Concevis gab es anfangs allerdings Hinweise, dass eine Gruppierung hinter dem Angriff stehen könnte, welche erbeutete Daten im Darknet direkt verkauft – ohne sie je öffentlich zu machen. Die Behörden würden dann nie erfahren, welche Informationen genau abgeflossen sind. Inzwischen gehen die Behörden aber eher von einer Gruppierung aus, welche gestohlene Daten öffentlich macht. Eine offizielle Auskunft, welche Ransomware-Gruppe hinter dem Angriff steht, gibt es nicht. Die zuständige Staatsanwaltschaft Basel-Stadt macht dazu keine Angaben.
Laut Informationen der NZZ handelt es sich bei der Ransomware, mit welcher die Kriminellen die IT-Systeme von Concevis verschlüsselt haben, um Phobos. Dabei handelt es sich um eine Schadsoftware, die von mehreren Gruppierungen eingesetzt wird, wie eine neue Analyse von Cisco Talos zeigt. Das dürfte beigetragen haben zur Verwirrung darüber, welche kriminelle Gruppe tatsächlich hinter dem Angriff steht.
Die bekannteste Gruppe, welche derzeit Phobos einsetzt, ist 8base. Diese kriminelle Gang ist seit diesem Sommer weltweit äusserst aktiv. In der Schweiz sind Angriffe von 8base allerdings bislang noch selten. Die Gruppe betreibt auch eine sogenannte Leak-Site, eine Website im Darknet, auf welcher die Kriminellen die Daten der Opfer publizieren. In der Vergangenheit hatte 8base in der Lösegeldforderung den eigenen Namen genannt, was bei Concevis offenbar nicht der Fall war. Ob hinter dem Angriff auf Concevis 8base selbst steht, ist deshalb unklar.
Nach dem Angriff auf Xplain hatte der Bundesrat einen Krisenstab zum Thema einberufen. Allerdings hat dieser bisher noch keine grossen Massnahmen angeordnet. Der Bund hat die IT-Lieferanten einzig schriftlich ermahnt, Sicherheitsvorgaben einzuhalten. Ausserdem läuft eine Überprüfung der Verträge. Weitergehende Massnahmen wie eine wirksame Kontrolle der IT-Sicherheit wird es erst im nächsten Jahr geben – falls überhaupt. Bis dahin bleibt die Sicherheit der Bundesverwaltung mangelhaft.