Update: Telkos entwarnen - keine Kundendaten im Darknet

Update vom 15.2.2022: Nachdem im Darknet Dateien des Kommunikationsdienstleisters iBasis aufgetaucht sind, geben Schweizer Telkos nun Entwarnung. Sunrise UPC teilt mit, dass sich gemäss eigener Nachforschungen keine Sunrise-UPC-Kundendaten im Darknet finden. Und auch bei Swisscom heisst es: "Wir haben bisher keine Hinweise darauf, dass Kundendaten von Swisscom im Darknet veröffentlicht wurden." Das Unternehmen fügt an, die Situation sehr genau zu beobachten und auf Neuigkeiten entsprechend zu reagieren.

Seitens Salt liegt keine neue Stellungnahme vor. Allerdings hatte der Telko bereits am Wochenende gegenüber "Le Temps" mitgeteilt, dass iBasis keine sensiblen Daten von Salt-Kundinnen und -Kunden bearbeite.

Originalmeldung vom 14.02.2022: Cyberangriff auf iBasis – Schweizer Telkos betroffen

Ein Cyberangriff auf das US-amerikanische Unternehmen iBasis zieht möglicherweise auch Kundinnen und Kunden von Schweizer Telkos in Mitleidenschaft. Das Unternehmen bietet internationale Kommunikationsdienstleistungen an, darunter Sprachanrufe oder MMS-Services. Sein Kundenstamm umfasst Hunderte von Telkos aus der ganzen Welt. Wie die Westschweizer Zeitung "Le Temps" berichtet (Artikel hinter Paywall), wurde iBasis Opfer einer Ransomware-Attacke. In den Dateien, die die Cyberkriminellen danach im Darknet veröffentlichten, sind auch Daten von Kundinnen und Kunden jener Telkos enthalten, die iBasis-Dienstleistungen nutzen.

In den von Le Temps gesichteten Dateien seien keine Schweizer Telefonnummern enthalten gewesen, ausländische jedoch schon. "In umfangreichen Excel-Dateien war zu sehen, dass ein Gespräch zwischen einem Swisscom-Kunden zu einer bestimmten Zeit, für eine bestimmte Dauer und zu einem bestimmten Preis mit einem Telefon in Frankreich, Portugal oder Ungarn stattgefunden hat", heisst es im Bericht. Auch zu den Schweizer Telkos Sunrise UPC und Salt konnte Le Temps ähnliche Angaben aufspüren.

Schweizer Telkos klären ab, iBasis beschwichtigt

Gegenüber der Zeitung bestätigen die drei Schweizer Telkos, vom Ransomware-Angriff auf iBasis Kenntnis zu haben. Swisscom stellt klar, keine direkten Geschäftsbeziehungen mit iBasis zu pflegen, abgesehen von Roamingverbindungen über Betreiber, die iBasis als Carrier für die Datenübertragung nutzen könnten. Salt schreibt unter anderem, iBasis verarbeite keine sensiblen Kundendaten. Und Sunrise UPC gibt an, in den Bereichen MMS Interworking und internationale Anrufe mit iBasis zusammenzuarbeiten. Alle drei Telkos klären laut ihrer Stellungnahmen ab, ob und welche Kundendaten vom Vorfall betroffen sind.

Gegenüber den Medien hat iBasis bislang noch keine Stellung bezogen. Le Temps zitiert jedoch ein von Sunrise UPC weitergeleitetes Kundenschreiben. Darin räumt iBasis einen Angriff Mithilfe der Ransomware LockBit ein, der am 29. Januar entdeckt wurde. Laut einer Untersuchung durch unabhängige Experten sei der Angriff "auf einige Server des Unternehmens beschränkt" gewesen.

Auch iBasis untersucht noch, welche Daten vom Vorfall betroffen sind. Den Empfängern des Schreibens teilt das Unternehmen aber mit: "Es scheint, dass keine Daten Ihrer Kunden kompromittiert wurden, da sie sich nicht auf den betroffenen Servern befanden, aber wir haben bestätigt, dass einige unserer Unternehmensdaten exfiltriert wurden". Die im Darknet veröffentlichten Dateien seien grösstenteils alte Informationen, enthielten aber auch "einige vereinzelte proprietäre Dateien".

Bereits im Januar wurde auch der Autohändler Emil Frey Opfer eines Ransomware-Angriffs. Die Unternehmensgruppe räumte inzwischen ein, dass die Angreifer dabei mitunter Daten von Kundinnen und Kunden aus der Schweiz abgreifen konnten. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.