Ein Rückblick über die folgenreichsten Hacks im Jahr 2023 – und was sich 2024 ändern muss.
Wer bei Bundesräten nachts an der Haustüre klingeln möchte, findet die Adressen im Darknet. Von Hackern veröffentlicht. Sitzungsprotokolle der Vormundschaftsbehörde Saxon – von Hackern veröffentlicht. Adresslisten von NZZ- und CH-Media-Journalisten – von Hackern veröffentlicht.
2023 haben kriminelle Hacker wöchentlich Schweizer Unternehmen und Behörden angegriffen. 40 mehr oder weniger erfolgreiche Hackerangriffe hat die NZZ aufgezeichnet. Die meisten Fälle wurden wohl aber nie publik.
Das Ziel der Angreifer ist in den meisten Fällen das gleiche: Lösegeld erpressen. Dazu verschlüsseln die als Ransomware-Gruppen bezeichneten Hacker die Daten der Opfer. Wer für die Entschlüsselung nicht zahlt, dessen Daten werden zusätzlich im Darknet veröffentlicht. Wir präsentieren eine Auswahl der folgenreichsten Angriffe der letzten 12 Monate.
Schweizer Institutionen werden das ganze Jahr über angegriffen
Öffentlich gewordene Hackerangriffe im Jahr 2023. Jeder Kreis stellt eine Institution dar. Je grösser der Kreis, desto grösser die Institution.
Februar: Angriff auf die SBB
Im Februar schalten bei der SBB alle Ampeln auf Rot. Mittels E-Mail hätten kriminelle Angreifer versucht, Schadsoftware in die IT-Systeme einzuschleusen. Teilweise sei das gelungen. Der Angriff sei aber abgewendet worden, Kundendaten seien keine gestohlen worden, heisst es.
März: Journalisten im Visier
Hacker der Ransomware-Gruppe Play dringen in die IT-Infrastruktur der «Neuen Zürcher Zeitung» ein, die gemeinsam mit jener von CH Media betrieben wird. Die Kriminellen stehlen vertrauliche Daten, verschlüsseln Dateien und erpressen das Unternehmen. Die internen Systeme bleiben teilweise über Wochen beeinträchtigt. Die Zeitungen können trotzdem noch erscheinen. Geld an die Erpresser fliesst keines. Später landen jedoch heikle Informationen über Mitarbeitende und Kunden im Darknet.
April: Heikle Daten einer Vormundschaftsbehörde
6000 Einwohner zählt die Gemeinde Saxon im Unterwallis. Hacker stehlen Daten der Vormundschaftsbehörde und veröffentlichen sie schon bald darauf. Die Dokumente enthalten äusserst heikle Informationen über Klienten der Behörde.
April: Traditionsunternehmen Bernina
Hacker schiessen sich auf ziemlich jedes Ziel ein, solange sie eine Lücke im System finden. So trifft es auch den Nähmaschinenhersteller Bernina. 1,3 Millionen Dollar fordert die Gruppe Alphv. 10 Dollar überweist das Unternehmen – wohl um sie hinzuhalten. Kurz vor Weihnachten dann die Revanche: Behörden gelingt es, 946 Darknet-Adressen und 400 Verschlüsselungscodes von Alphv zu konfiszieren.
Mai: Basler Lehrpersonen und Schüler betroffen
Unterrichtspläne, Briefe, Prüfungen: All diese Daten stehlen Kriminelle vom Netzwerk EduBS. Dort speichern zum Beispiel die Lehrpersonen von Basel-Stadt ihre persönlichen Dokumente. Von 761 Personen seien Dateien «mit potenziell sensiblem persönlichem Inhalt» gestohlen und publiziert worden. Stichproben bestätigen das.
Mai: IT-Zulieferer des Bundes
Der Angriff der Ransomware-Gruppe Play wird zur Blamage für die Bundesverwaltung. Die IT-Firma Xplain stellt Sicherheitssoftware für zahlreiche Behörden her: Bundesamt für Polizei, Transportpolizei der SBB, kantonale Migrationsämter oder Zoll. Gestohlen werden Projektdaten: Pflichtenhefte, Offerten oder Korrespondenzen. Aber auch echte Daten aus den produktiven IT-Systemen finden sich, darunter Adressen von Bundesräten und Polizisten, Hooligan-Listen oder persönliche Daten über Einwanderer im Kanton Aargau.
Der Bund stellt in seinen Verträgen Anforderungen an die Sicherheit seiner IT-Zulieferer. Doch geprüft wurde das im Fall von Xplain nie. Der Vorfall löst in der Bundesverwaltung eine Untersuchung aus, die noch läuft.
Juni: Selenski (und Russland) zu Besuch in der Schweiz
Der ukrainische Präsident Wolodimir Selenski spricht per Videokonferenz im Bundeshaus. Unerwünschter Besuch kommt aus Russland. Die Gruppe NoName057(16) führt eine DDoS-Attacke auf verschiedene Schweizer Websites durch. Das ist kein Hackerangriff im eigentlichen Sinne. Stattdessen werden Zehntausende Computer aufgefordert, gewisse Websites aufzurufen, um so die Server in die Knie zu zwingen. Das gelingt ihnen kurzzeitig. Betroffen sind etwa die Parlaments-Website, die Websites der Post, der SBB, des Eidgenössischen Justiz- und Polizeidepartements (EJPD), der Fluggesellschaft Edelweiss, der Städte Zürich, Lausanne, St. Gallen, Montreux oder Schaffhausen.
Der Schaden ist überschaubar, die meisten Websites sind nach wenigen Stunden wieder verfügbar. Das eigentliche Ziel der gut organisierten und finanzstarken Gruppe, Angst zu verbreiten und die Bevölkerung zu verunsichern, erreicht sie in der Schweiz. Die Medienberichterstattung ist riesig.
Juli: Nur ein Architekturbüro?
Das Opfer des Angriffs ist ein Architekturbüro in Bern, wie es viele gibt. Das Besondere daran: Die Architekten arbeiten auch für das Aussendepartement und entwerfen Botschaften und Residenzen der Schweiz im Ausland. Deshalb fallen den kriminellen Angreifern auch Baupläne in die Hände, welche klassifiziert sind. Im September veröffentlicht die Ransomware-Gruppe die Informationen im Darknet. Das Beispiel zeigt, dass Cyberangriffe auch die physische Sicherheit von Gebäuden und Personen gefährden können.
November: Schon wieder ein IT-Lieferant des Bundes
Ein Déjà-vu: Nach Xplain greifen Kriminelle mit Concevis erneut einen Softwarelieferanten von Bund und Kantonen an. Dieses Mal reagiert die Verwaltung aktiv und informiert rasch. Der Angriff auf Concevis ist speziell, weil sich bis jetzt keine der bekannten Ransomware-Gruppen öffentlich dazu bekannt hat. Auch sind noch keine grösseren Datenmengen im Darknet aufgetaucht. Was jedoch gleich ist wie beim Fall Xplain: Der Bund hatte auch bei Concevis nie überprüft, ob die Firma die Vorgaben zur IT-Sicherheit einhält.
Dezember: Baden im Darknet
Ein Teil der Verwaltungsdatenbank der Stadt Baden wird in einem Forum im Darknet angeboten. Darin enthalten sind Rechnungen, aber auch Adressen von Bürgern. Die Stadt selbst sagt, sie habe kein Erpressungsschreiben erhalten. Später bekennt sich die neue Hackergruppe DragonForce zum Angriff.
Dezember: Schwyzer Bezirk offline
Noch sind Hacker nicht in den Weihnachtsferien. Mitte Dezember fallen Telefonie, E-Mail und Internet beim Bezirk March im Kanton Schwyz aus. Die Behörde informiert mit drei Sätzen, die sich wie folgt paraphrasieren lassen: Cyberangriff, EDV heruntergefahren, unklar, was passiert ist. Anscheinend hat das Nationale Zentrum für Cybersicherheit (NCSC) den Bezirk auf den Angriff aufmerksam gemacht.
Was kommt 2024?
Für das neue Jahr ist bei den kriminellen Cyberangriffen keine Besserung in Sicht. Zwar gibt es immer wieder Erfolge der Strafverfolgungsbehörden, die in internationalen Aktionen kriminelle Netzwerke und ihre Infrastruktur ausheben – wie im Dezember mit dem Schlag gegen die Ransomware-Gruppe Alphv. Doch im Vergleich zu den gesamten kriminellen Aktivitäten im Cyberraum sind das einzelne Nadelstiche. Zudem haben die Cyberkriminellen in der Vergangenheit bewiesen, dass sie äusserst anpassungsfähig sind. Die Erpressungsmethoden werden laufend verändert.
Die Schweiz ist als Land mit zahlreichen technologisch fortschrittlichen KMU ein attraktives Ziel für Erpresser – und wird es auch bleiben. Gerade kleine und mittlere Unternehmen sind oft digitalisiert, aber haben nur eine unzureichende IT-Sicherheit. Sie sind das ideale Opfer für Hacker. Dass die Schäden solcher Angriffe nicht nur die Wirtschaft betreffen, haben die Fälle von Xplain und Concevis gezeigt. Kriminelle Cyberangriffe werden rasch zum Problem für die Sicherheit der Schweiz.
Es ist für den Staat deshalb von grösster Wichtigkeit, dass die gesamte Wirtschaft gut vor Hackern geschützt ist. Die IT-Sicherheit der Wirtschaft muss 2024 oberste Priorität haben. Das sollten nicht nur die Unternehmen erkennen, sondern auch die Behörden. Sonst wird es ein schmerzvoller Lernprozess – mit vielen weiteren Cyberangriffen.
