IT-Security-Experte Abdelkader Cornelius
Warum die Schweiz für Hacker ein «Topziel» ist

Russische Hacker nehmen die Schweiz unter Beschuss. Dies ist die Folge von fehlenden Abwehrmassnahmen und nicht behobenen Sicherheitslücken, sagt der IT-Security-Experte Abdelkader Cornelius zum Beobachter.
Publiziert: 03.07.2023 um 14:48 Uhr
|
Aktualisiert: 03.07.2023 um 14:59 Uhr
1/5
«Es ist tatsächlich erschreckend, was sich gerade abspielt», sagt Experte Abdelkader Cornelius.
Foto: ZVG/Privat
otto_hostettler.jpg
Otto Hostettler
Beobachter

Ein Hackerangriff auf die Interlakner IT-Firma Xplain sorgt in Bundesbern für Hektik. Die Software des Unternehmens wird bei Polizei-, Gerichts- und anderen Behörden von Bund und Kantonen eingesetzt. Bei der Attacke erbeuteten die Hacker heikle Daten von Verwaltung und Behörden, inzwischen sind diese im Darknet einsehbar.

Am 28. Juni hat der Bundesrat deshalb eiligst eine Taskforce «Datenabfluss» eingesetzt. Offensichtlich ist das Ausmass des Datenklaus durch die russische Hackerbande Play wesentlich gravierender als bisher kommuniziert. Vor den Medien sagte Bundesrätin Karin Keller-Sutter konsterniert: «Das muss einen schon beunruhigen.» Die Analyse des eingesetzten Krisenstabs dürfte noch Wochen oder gar Monate dauern.

Artikel aus dem «Beobachter»

Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.

Probieren Sie die Mobile-App aus!

Das ist ein Beitrag aus dem «Beobachter». Das Magazin berichtet ohne Scheuklappen – und hilft Ihnen, Zeit, Geld und Nerven zu sparen.

Probieren Sie die Mobile-App aus!

Der Angriff auf Xplain erfolgte bereits Ende Mai. Weil sich die Firma weigerte, Lösegeld zu bezahlen, stellte die Erpresserbande Anfang Juni die gestohlenen Daten integral ins Darknet – für technikaffine Personen sind sie mit wenigen Klicks erreichbar.

Mehrere Millionen Dateien

Die Datenmenge ist riesig. Zugänglich sind derzeit fast ein Terabyte Daten. Die Rede ist von mehreren Millionen Dateien. Das Problem dabei: Xplain ist nicht irgendeine Firma. Die IT-Firma programmiert Applikationen im Bereich der inneren Sicherheit. Laut Bundesrat ist Xplain für «nationale und kantonale Behörden ein zentraler IT-Dienstleister».

Verklausuliert hiess es zunächst vom Nationalen Zentrum für Cybersicherheit (NCSC), es seien tatsächlich «operative Daten» abgeflossen. In der Tat: Beispielsweise sind in grossem Ausmass Daten des Aargauer Amts für Migration und Integration geleakt, wie die NZZ berichtete. Darunter Listen von Tausenden in der Schweiz wohnhaften ausländischen Personen mit allen Details zu deren Aufenthaltsbewilligungen sowie mit Informationen zu Arbeitsbewilligungen.

Bundesrätin Karin Keller-Sutter ist konsterniert: «Das muss einen schon beunruhigen.»
Foto: keystone-sda.ch

Betroffen vom Datenklau ist auch der SBB-Sicherheitsdienst Transsicura. Enthalten sind Informationen über ausgesprochene Verwarnungen, Hausverbote, Wegweisungen – jeweils mit persönlichen Details zu den Beschuldigten. Abgeflossen sind auch Daten des Bundesamts für Polizei (Fedpol). Dort ist man mit Hochdruck daran, das Ausmass des Schadens zu sichten.

In den Hintergrund gerückt sind weitere Erpresserangriffe auf Schweizer Unternehmen. In den letzten Tagen attackierte die Erpressergruppe Cl0p gleich zwei Firmen: das Bauunternehmen Marti AG, grösste Baufirma der Schweiz, sowie die Krankenkasse ÖKK. In beiden Fällen ist unklar, welche Daten die Erpresser erbeuten konnten. Die Bauunternehmung Marti wollte gegenüber dem Beobachter keine Stellung nehmen. Ein ÖKK-Sprecher bestätigte den Angriff, versicherte aber: «Unser Kernsystem mit den Gesundheitsdaten war nicht betroffen.»

DDoS-Attacken: Russische Einschüchterungen

Seit Wochen steht die Schweiz unter digitalem Beschuss: Einen denkwürdigen Höhepunkt erreichten die Angriffe am Tag, als der ukrainische Präsident Wolodimir Selenski via Videoübertragung zur Bundesversammlung sprach. Innerhalb eines Tages verzeichneten Spezialisten rund 500 DDoS-Attacken (Distributed Denial of Service) auf Schweizer Webseiten. Wegen einer riesigen Datenflut kollabieren die Webseiten und sind nicht mehr erreichbar.

Hinter dieser Angriffswelle steht No Name, eine russische Hackergruppe, die offensichtlich politisch motiviert ist. Betroffen waren eine ganze Reihe von Städten, mehrere Kantone, der Flughafen Genf, die Verkehrsbetriebe Zürich, Swiss ID (Post), Schweiz Tourismus, Bank Julius Bär, Heliswiss, Ruag, die Bankiervereinigung und andere. Die Hackergruppe schrieb auf ihrem Telegram-Kanal, wenn die Schweiz weiterhin das Regime in der Ukraine unterstütze, werde man dem Land «einen Besuch abstatten und die gesamte Internet-Infrastruktur in die Luft jagen».

«Jeden Tag kommen neue Sicherheitslücken ans Licht»

Beobachter: Herr Cornelius, die Schweiz steht derzeit unter einer beispiellosen Attacke von russischen Hackern. Was passiert da gerade?
Abdelkader Cornelius:
Es ist tatsächlich erschreckend, was sich gerade abspielt. Es geschehen zwei Dinge gleichzeitig: Wir haben einerseits aufgrund des Ukrainekriegs politisch motivierte Hacker von Russland, da stecken keine finanziellen Interessen dahinter. Auf der anderen Seite haben wir ihre «Kollegen» aus der Cybercrime-Welt. Diese Angreifer sind finanziell motiviert. Diese beiden Gruppen unterstützen sich gegenseitig, eine Hand wäscht die andere. Die Ransomware-Akteure sehen anhand der Erfolge der politisch motivierten Hacker, wie einfach es ist, in der Schweiz in Infrastrukturen einzudringen.

Warum ist die Schweiz als Ziel interessant?
Betroffen sind auch andere westliche Länder. Alle, die in irgendeiner Weise die Ukraine unterstützen, werden von russischen Hackern ins Visier genommen. Aber die Schweiz ist eben auch aus finanzieller Sicht ein besonders lukratives Ziel.

«
«Für 700 Dollar erhält man Zugriff auf über 100 Firmencomputer»
IT-Security-Experte Abdelkader Cornelius
»

Warum?
Weil hier viele namhafte und damit wertvolle Unternehmen ihren Sitz haben. Die Hacker wissen, dass hier auch viel Geld zu holen ist. In den Augen der Angreifer ist die Schweiz definitiv ein Topziel.

Es scheint, die Angriffe werden intensiver, aggressiver?
Das lässt sich am Beispiel der Erpresserbande Play darstellen. Auf ihr Konto gehen unter anderem die Angriffe auf die Mediengruppe der NZZ sowie auf den Softwareanbieter Xplain. Hier sehen wir eine ganz neue Dimension dieser Angriffe: Die Hacker konnten Daten von den Kunden der erpressten Unternehmen erbeuten. Das ist fatal.

Man hat den Eindruck, es tauchen immer neue Erpresserbanden auf.
Ja, die Szene der Angreifer verändert sich laufend. Banden verschwinden, schliessen sich zusammen, bilden Allianzen oder konkurrieren einander. Kürzlich ist in der russischsprachigen Szene ein neuer Akteur aufgetaucht. Er nennt sich Broker und hat im Darknet einen Onlineshop eröffnet: Er verkauft sogenannten Initial Access – also nichts anderes als Benutzernamen und Passwörter von ganzen Firmennetzwerken. Aktuell hat dieser Händler 38 Firmen aus aller Welt im Angebot – jeden Tag kommen neue dazu. Er bietet gerade auch Zugänge zu vier Firmen aus der Schweiz an.

Der IT-Experte

Abdelkader Cornelius ist Experte für die Identifizierung und Bekämpfung von Cyberkriminalität (Threat Intelligence) im deutschsprachigen Raum. Er ist Gründer und Inhaber der IT-Security-Firma PCS Cyber Security GmbH in Berlin.

Abdelkader Cornelius ist Experte für die Identifizierung und Bekämpfung von Cyberkriminalität (Threat Intelligence) im deutschsprachigen Raum. Er ist Gründer und Inhaber der IT-Security-Firma PCS Cyber Security GmbH in Berlin.

Was kostet ein Zugang zu einer Schweizer Firma?
Für 700 Dollar kann man den Zugang zum Netzwerk einer Schweizer Bauunternehmung mit 200 Mitarbeitenden kaufen. Damit erhält man Zugriff auf über 100 Firmencomputer.

Wo hat dieser Händler die Firmenzugänge her?
Zum einen gibt es zurzeit eine sehr grosse Anzahl von Sicherheitslücken in Produkten der weltweit führenden Softwareunternehmen. Ausgenutzt werden beispielsweise sogenannte Remote-Zugänge, also Anwendungen, über die Nutzer etwa im Homeoffice auf Firmennetzwerke zugreifen können. In diesem Bereich herrscht ein grosser Missstand. Es gibt sogar Hersteller, die ihren Kunden empfohlen haben, neue Geräte zu kaufen, weil die im Einsatz stehenden Produkte nicht mehr wirksam geschützt werden können. Zum anderen gibt es Tausende von Schwachstellen in Geräten mit Software von Microsoft. Das Problem hier: Leider werden viele Netzwerke nicht oder nur mit grosser Verspätung aktualisiert.

Warum werden kritische Sicherheitslücken in Firmennetzwerken nicht sofort behoben?
Es fehlt vielerorts an der nötigen fachlichen Expertise und an Personal. Die IT-Abteilungen vieler Unternehmen sind so mit Arbeit überflutet, dass sie gar nicht mehr nachkommen. Jeden Tag kommen neue Sicherheitslücken ans Licht. Aber es fehlt nicht nur an Ressourcen, sondern auch an Kompetenzen und Verantwortlichkeiten.

Gibt es einen Unterschied zwischen Unternehmen und Behörden?
Ja, bei staatlichen Stellen und im behördlichen Umfeld sieht es noch viel schlimmer aus als in der Privatwirtschaft. Allerdings unterscheiden die Angreifer ohnehin nicht zwischen ihren Zielen. Wo immer sie eindringen können, tun sie es. Sei es bei Unternehmen oder bei Behörden.

«
«Wir sind nicht hilflos»
IT-Security-Experte Abdelkader Cornelius
»

Kürzlich haben russische Hacker innert weniger Stunden Dutzende von Städten, mehrere Kantone und andere Behörden angegriffen. Müssen wir solchen Attacken einfach hilflos zusehen?
Nein, wir sind nicht hilflos. Bei solchen Angriffen handelte es sich um «Distributed Denial of Service»-Attacken. Dabei werden Unmengen an Datenanfragen an Server geschickt, bis diese kollabieren. Es gibt Massnahmen, um solche DDoS-Attacken abzuwehren. Man kann sich dagegen wappnen. Aber das ist mit Kosten verbunden. Viele Behörden sind leider schlecht auf solche Angriffe vorbereitet.

Wiegen wir uns in der Schweiz in einer falschen Sicherheit, weil wir glauben, Hacker würden sich nicht für die Schweiz interessieren? Ich glaube, es ist eine Mischung aus Unwissenheit und dem Denken, dass man als Stadt oder als Kanton zu unwichtig sei für einen Hackerangriff. Die Cyberkriminellen sehen die Schweiz nicht als neutrales Land und auch nicht als Rückzugsort, den man nicht angreifen soll, weil man vielleicht selbst mal davon profitieren könnte. Für die Kriminellen ist die Schweiz ein ebenso attraktives Ziel wie Deutschland, Österreich, die USA oder andere westliche Länder.

Fehler gefunden? Jetzt melden
Was sagst du dazu?