Hackerangriff auf Firma Xplain: Auswirkungen auf das Bundesamt für Zoll und Grenzsicherheit und getroffene Massnahmen

Anfang Juni wurde öffentlich bekannt, dass die Schweizer Firma Xplain, eine Anbieterin von Software für Sicherheitsbehörden und Blaulichtorganisationen, Opfer eines Ransomware-Angriffs der Hackergruppe Play geworden ist. Da Xplain in Absprache mit den Strafverfolgungsbehörden und dem Bund nicht auf die Lösegeldforderungen einging, veröffentlichte diese Mitte Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet. Das Bundesamt für Zoll und Grenzsicherheit (BAZG) ist – neben anderen Verwaltungseinheiten – ebenfalls vom Datendiebstahl betroffen.

Der Ransomeware-Gruppe Play gelang es, auf eine grössere Menge an Daten, die auf den IT-Systemen von Xplain gespeichert waren, zuzugreifen und diese zu verschlüsseln. Nach einem erfolglosen Erpressungsversuch wurden die Daten anschliessend im Darknet veröffentlicht. Die Firma Xplain informierte das Nationale Zentrum für Cybersicherheit (NCSC) über den Cybervorfall und erstattete Strafanzeige bei der Kantonspolizei Bern.

Das BAZG wurde von Xplain am 23. Mai 2023 über den Datendiebstahl und die weiteren Vorkommnisse informiert. Nach Bekanntwerden des Vorfalls reichte das BAZG bei der Bundesanwaltschaft Strafanzeige gegen Unbekannt ein und informierte den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) über den Vorfall.

Wie ist das BAZG betroffen

Nach aktuellen Erkenntnissen befinden sich unter den gestohlenen Daten Personendaten (z.B. Name, Vorname, Geburtsdatum, Passnummer) und in gewissen Fällen auch besonders schützenswerte Daten von natürlichen Personen (z.B. Gesichtsbilder). Diese Daten stammen gemäss bisherigen Erkenntnissen aus Testing- oder Fehlerberichten und Logfiles des Grenzkontrollsystems eneXs, welches das BAZG bei den Grenzkontrollprozessen hauptsächlich für Personenkontrollen an der Schengenaussen- und Binnengrenze verwendet. Es liegen nach derzeitigem Kenntnistand keine Hinweise vor, dass als vertraulich und/oder als geheim klassifizierte Dokumente des BAZG (gemäss Informationsschutzverordnung, SR 510.411) vom Datendiebstahl betroffen sind.

Das Grenzkontrollsystem eneXs wurde von der Firma Xplain im Jahr 2009 im Auftrag des BAZG entwickelt. Mit eneXs lassen sich unter anderem Identitätsdokumente mit nationalen und europäischen Informationssystemen abgleichen und die Echtheit der Identitätsdokumente überprüfen. Diese Kontrollen sind ein zentrales Element für die Gewährleistung der inneren Sicherheit der Schweiz. Die Anwendung eneXs speichert keine Daten. Die entsprechenden Informationen werden bei Grenzkontrollen lediglich abgerufen und temporär angezeigt.

Das BAZG hat mit Xplain einen Werkvertrag im Informatikbereich über Lieferung, Pflege und Support der Software eneXs abgeschlossen. In Rahmen von Support, Weiterentwicklung und Pflege der Software ist es üblich, dass an Xplain Fehlerberichte und Testdaten übermittelt werden. Gegenstand der laufenden Untersuchungen ist unter anderem die Abklärung der Umstände und Auflagen, wie die geleakten Daten an Xplain übergeben wurden und dort verblieben sind. Es ist in diesem Zusammenhang hervorzuheben, dass die gestohlenen Daten keinen Einfluss auf den operativen Betrieb des BAZG haben.

Das BAZG nimmt diesen Vorfall sehr ernst. Die aus dem Darknet heruntergeladenen Daten werden durch Spezialistinnen und Spezialisten des BAZG analysiert und geprüft, um das Ausmass des Datendiebstahls zu evaluieren und weitere erforderliche Massnahmen daraus abzuleiten.

Wie das BAZG betroffene Personen informiert

Die Analyse des Vorfalls und die Auswertung der Daten mit Bezug zum BAZG sind noch nicht abgeschlossen. Das BAZG informiert die betroffenen Personen, welche durch den Datendiebstahl in besonderem Masse in ihren Persönlichkeitsrechten betroffen sind und dadurch Nachteilen ausgesetzt sein können, direkt und aktiv. Gemäss aktuellem Auswertungsstand sind rund 60 Personen vom Diebstahl besonders schützenswerter Daten betroffen.

Sollten neue Erkenntnisse vorliegen, wird das BAZG zeitnah und transparent auf dieser Website informieren.

Enge Koordination mit anderen Bundesstellen und Behörden

Das Nationale Zentrum für Cybersicherheit (NCSC) koordiniert die laufenden Abklärungen und Massnahmen innerhalb der Bundesverwaltung. Das BAZG steht in engem Austausch mit dem NCSC. Weiter hat der Bundesrat am 28. Juni 2023 einen politisch-strategischen Krisenstab einberufen, der die laufenden Arbeiten departementsübergreifend koordiniert und Massnahmen vorschlägt. Zudem werden bestehende Verträge mit Informatikdienstleistern des Bundes überprüft und nötigenfalls so angepasst, dass die Cybersicherheit der Dienstleister verbessert wird und der Bund im Fall eines erfolgreichen Angriffs rasch reagieren kann.

Wir bitten Sie, sich bei weiteren Fragen zum Fall an die Auskunftszentrale des BAZG zu wenden.

https://www.bazg.admin.ch/content/bazg/de/home/teaser-startseite/brennpunkt-teaser/hackerangriff-xplain.html