Wie es bei Xplain nach dem Ransomware-Angriff weitergeht
Im Frühling 2023 haben Cyberkriminelle Daten von Kunden des IT-Dienstleisters Xplain abgegriffen. Dabei gelangten auch heikle Daten von Schweizer Behörden ins Darknet. Nun äussert sich Xplain erstmals ausführlich zum Angriff und seinen Folgen.
Xplain hat eine turbulente Zeit hinter sich. Der IT-Dienstleister mit Hauptsitz in Interlaken wurde im Mai 2023 Opfer einer Ransomware-Attacke. Der Hackergruppe Play gelang es, Daten von Xplain-Kunden abzugreifen, die sie dann im Darknet veröffentlichte. Besonders problematisch war dies deshalb, weil auch besonders schützenswerte Daten veröffentlicht wurden, etwa zu Straf- und Gerichtsverfahren, Verwaltungsentscheiden sowie Zugangsinformationen zu IT-Systemen. Zu den betroffenen Xplain-Kunden gehören unter anderem das Bundesamt für Polizei (Fedpol), die Militärpolizei, das Bundesamt für Zoll- und Grenzsicherheit, das Aargauer Departement Volkswirtschaft und Inneres (DVI) sowie die Schweizerischen Bundesbahnen (SBB).
Viele der betroffenen Behörden informierten in eigenen Mitteilungen über das Ausmass des Angriffs. Die Firma Xplain, die sich eigenen Angaben zufolge auf die Entwicklung von Lösungen im Bereich Homeland-Security spezialisiert hat, äusserte sich dagegen nur zurückhaltend – bis jetzt. Nun verschickte das Unternehmen eine eigene Mitteilung und Xplain-CEO Andreas Löwinger lud Journalisten zum Gespräch ein.
Andreas Löwinger, CEO von Xplain. (Source: Linkedin)
Hintergründe zum Angriff nach wie vor unklar
Noch immer sei unklar, wie der Angriff auf Xplain geschah, heisst es in der Mitteilung: Hackergruppen wie Play hinterliessen in der Regel keine Spuren und arbeiteten mit nicht bekannten Schwachstellen. Darum sei es für die ermittelnden Behörden schwierig, das genaue Tatvorgehen festzustellen. Im Gespräch nennt Löwinger die Möglichkeit, dass die Hacker über einen externen Cloud-Dienstleister an die Daten seines Unternehmens gelangten. Laut dem Wissensstand seines Unternehmens handle es sich dabei um ein wahrscheinliches Szenario. Den Namen des Dienstleisters nennt Löwinger nicht: "Ich habe kein Interesse daran, dass andere in den gleichen Mediensturm geraten wie wir", begründet er. Zudem würden die Hintergründe von den Strafverfolgungsbehörden geprüft. Er räumt aber ein: "Die Daten wurden bei uns abgegriffen."
Doch auf die Frage, ob Xplain Schuld sei am Angriff, differenziert er: Xplain habe sich nach dem Cyberangriff mit Fragen in diesem Zusammenhang befasst. Wo vertraglich festgelegt war, dass klassifizierte Daten gelöscht werden müssen, habe Xplain die Abmachung eingehalten. Entsprechende Vereinbarungen gebe es allerdings nicht bei jedem Auftrag. Und nicht immer sei es für Xplain einfach, festzustellen, ob es sich um produktive Daten oder um Testdaten handle. "Natürlich schauen wir heute genauer hin", sagt Löwinger. Künftig werde sein Unternehmen auch ein stärkeres Augenmerk auf Fragen zur Datenaustausch-Infrastruktur legen: "Können Daten per E-Mail geschickt werden? Was ist ein sicherer Datenkanal? Braucht es Arbeitsplätze beim Kunden vor Ort?"
Grundsätzlich, so erklärt Löwinger, sollten Daten bereits anonymisiert bei seinem Unternehmen ankommen. Entsprechende Prozesse seien in manchen Fällen planbar. Schwierig gestalte sich die Fehlerbehebung. "Hier kam es in der Vergangenheit zu Fällen, in denen man unter Zeitdruck eine Abkürzung nahm, damit wir dies möglichst rasch überprüfen konnten." Doch auch hier müsse man künftig "vorsorglich wissen, wie man es machen will, wenn es dringend ist".
Wenig Verständnis für Vorwürfe
Nach dem Cyberangriff reichte Xplain Strafanzeige ein. Man habe den Behörden alle notwendigen Informationen zur Verfügung gestellt und mit ihnen bei der Aufklärung und der Schadensbegrenzung kooperiert, heisst es in der Mitteilung. Im Gespräch lobt Löwinger diese Zusammenarbeit. "Wir fühlten uns sehr gut aufgehoben". Auch die Kunden hätten sich problemlösungsorientiert gezeigt.
Der Fall Xplain wurde jedoch nicht nur bei den Behörden, sondern auch in der Cybersecurity-Branche zitiert. Mehr als einmal äusserte sich beispielsweise Cybersecurity-Experte Christian Folini. "Ich kenne die Interna dieses Falles nicht", räumte er im Netzwoche-Interview ein. "Aber was öffentlich bekannt ist, stellt der Führung der Firma ein schlechtes Zeugnis aus. Die Firma hat bei der Softwareentwicklung nach eigenem Bekunden wenig Augenmerk auf die Sicherheit gelegt, sie hat verschiedene Security Best Practices ignoriert, sie hat veraltete und nachweislich unsichere Server betrieben, sie hat den Zugriff von Bundesangestellten auf diese Server nicht gebührend gesichert und sie hat hochsensible Daten des Bundes veruntreut. Mit diesem Leistungsausweis dürfte es die Firma eigentlich nicht mehr geben."
Auf diese Vorwürfe angesprochen, holt Löwinger aus: "Ohne Kontextualisierung – und diese fand in diesem Fall nicht statt – würde ich mich niemals öffentlich äussern, wenn ich etwas feststelle." So sei etwa nie nachgefragt worden, warum die erwähnten Server überhaupt online gewesen seien oder was darauf gespeichert wurde.
Auf den als unsicher bezeichneten Webserver angesprochen, erklärt er: "Ich lasse mir den Vorwurf gefallen, dass wir hier zu wenig darauf geachtet haben. Hätte mich jemand darüber informiert, hätte ich sofort gehandelt. Doch auch dieser Server hatte keinen Anschluss an unsere Datenablagen. Ich denke, es gibt keinen ursächlichen Zusammenhang mit dem Diebstahl unserer Daten."
Nicht gelten lässt der Xplain-Chef hingegen den Vorwurf, sein Unternehmen habe sich bis zum Cyberangriff nicht für Cybersicherheit eingesetzt. Als Beleg dafür verwiesen Cybersecurity-Experten auf die Aussage Löwingers: "Wir sind keine Cybersicherheitsfirma." Sein Unternehmen stelle zwar Software für die Bearbeitung von Daten bereit, biete aber keine Hosting-Dienste an. Xplain sei aus diesem Grund auch nach keinen Standards für Informationssicherheit zertifiziert, wie sie für Hosting-Anbieter gefordert werden. "Den Vorwurf, wir hätten keine Cybersecurity-Kultur in unserem Unternehmen gehabt, weise ich in aller Deutlichkeit zurück", sagt Löwinger weiter.
Das Gegenteil sei der Fall: "Wir sind ISO-9001 zertifiziert, überprüfen die entsprechenden Prozesse jährlich und leben sie aktiv in unserem Unternehmen." ISO-9001 enthält unter anderem Bestimmungen bezüglich Informationssicherheit. Namentlich muss sichergestellt werden, dass Informationen "angemessen vor Verlust der Vertraulichkeit oder unsachgemässem Gebrauch" geschützt werden.
IT-Systeme neu aufgebaut
Infolge des Cyberangriffs musste Xplain seine IT-Infrastruktur neu aufbauen: "Unsere bisherige Infrastruktur wurde als Beweismittel beschlagnahmt", erklärt Löwinger. "Positiv ausgedrückt, durften wir auf der grünen Wiese komplett neu anfangen." Damit verbunden waren auch ein Austausch der externen Dienstleister und ein Überarbeiten diverser Prozesse. Beim Aufbau stützte sich Xplain auf Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC), dem jetzigen Bundesamt für Cybersicherheit (BACS). Ein externes Audit der Infrastruktur und der Prozesse durch die Firma Compass Security sei im November 2023 beendet worden. Das NCSC habe im Anschluss eine Einschätzung zum Audit verfasst. Der politisch-strategische Krisenstab "Datenabfluss" (PSK-D) des Bundesrats habe den Bericht zur Kenntnis genommen.
Zum Jahresende konnten die Installationen der Releases wieder aufgenommen werden, wie Xplain schreibt. Das betrifft auch die Kunden ausserhalb der Bundesverwaltung, welche die Installation von Releases vom Audit abhängig gemacht hatten und eine Zusammenfassung des Berichts einsehen konnten. "Die grösste Veränderung passierte im Mindset", sagt Löwinger. "Wir haben unsere Systeme schon vor dem Angriff regelmässig überprüft. Jetzt wissen wir, dass man es permanent machen muss."
Viele Projekte liefen bereits weiter, erklärt Löwinger, andere würden aktuell noch überprüft. Man wolle jetzt aber auch wieder nach vorne schauen und neue Kunden gewinnen. Einfach werde dies nicht, räumt der CEO ein: "Für einen Kunden ist es im Moment schwierig, in einem WTO-Verfahren den Zuschlag an uns zu publizieren", sagt er. Stattdessen wolle sein Unternehmen mit Hilfe und Beteiligung von Partnern weitere Interessenten für die Lösungen von Xplain gewinnen und Synergien schaffen.
Im vergangenen Dezember kritisierte übrigens Gunhilt Kersten, damals noch die Beauftragte für Öffentlichkeit und Datenschutz des Kantons Aargau, in Sachen Xplain die Aargauer Kantonsverwaltung. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Ergon wächst zweistellig
KI entwirft neue Medikamente anhand von Proteinstrukturen
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
Red Hat stellt neue Lösungen für Entwickler vor
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
SAP würdigt seine Schweizer Lieblingskunden
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Wie der IT-Arbeitsplatz von morgen gemäss ADN aussieht
