Die Hackergruppierung "Play" hat mit einem Ransomware-Angriff auf die Firma Xplain im Mai 2023 Daten gestohlen und am 14. Juni 2023 mutmasslich das gesamte entwendete Datenpaket im Darknet veröffentlicht. Darunter befanden sich auch klassifizierte Informationen sowie besonders schützenswerte Personendaten aus der Bundesverwaltung. Das Nationale Zentrum für Cybersicherheit (NCSC) hat Massnahmen zur Wiederherstellung der Sicherheit der Systeme definiert und eine umfassende Analyse der veröffentlichten Daten durchgeführt.
Das im Darknet veröffentlichte Paket umfasste laut der NCSC-Analyse ein Datenvolumen von rund 1.3 Mio. Objekten. Nach dem Download der Daten erfolgte unter Federführung des NCSC die systematische Kategorisierung und Triage aller für die Bundesverwaltung relevanten Dokumente. Daraus geht hervor, dass die für die Bundesverwaltung relevante Datenmenge rund 65'000 Dokumente und somit ca. 5 Prozent des gesamten veröffentlichten Datenbestands umfasst. Davon gehören die meisten Objekte mit einem Anteil von über 70 Prozent der Firma Xplain (47’413 Objekte) und rund 14 Prozent und somit 9’040 Objekte der Bundesverwaltung. Von den Objekten der Bundesverwaltung wiederum sind rund 95 Prozent den Verwaltungseinheiten des Eidgenössischen Justiz- und Polizeidepartementes (EJPD) – dem Bundesamt für Justiz, Bundesamt für Polizei, Staatssekretariat für Migration und dem internen Leistungserbringer ISC-EJPD – zuzuordnen. Mit etwas mehr als 3 Prozent der Daten ist das Eidgenössische Departement für Verteidigung, Bevölkerungsschutz und Sport (VBS) leicht und die übrigen Departemente mengenmässig nur marginal betroffen. Anteil sensitiver Daten
In 5’182 Objekten und somit in rund der Hälfte der Objekte der Bundesverwaltung seien sensitive Inhalte wie Personendaten, technische Informationen, klassifizierte Informationen und Passwörter gefunden worden, heisst es. Davon enthielten 4’779 Objekte Personendaten wie Name, E-Mail, Telefonnummer, Adresse, usw. 278 Objekte fallen in die Kategorie der technischen Informationen wie Dokumentationen von IT-Systemen, Anforderungsdokumente zu Applikationen oder Architekturbeschreibungen. 121 Objekte sind gemäss Informationsschutzverordnung klassifiziert. Und vier Objekte enthalten lesbare Passwörter.
Für die Beantwortung der Frage, von wem welche Daten in welchem Ausmass abgeflossen sind, sei ein beträchtlicher Analyseaufwand nötig gewesen. Unstrukturierte Datensätze mussten demnsch mit Hilfe von geeigneten Instrumenten aufbereitet und lesbar gemacht werden. Anschliessend mussten die als relevant identifizierten Objekte manuell gesichtet und kategorisiert werden. Bei der Bewältigung des Sicherheitsvorfalls unter der Leitung des NCSC haben die verschiedenen betroffenen Bundesämter und Leistungserbringer eng zusammengearbeitet. Dadurch konnten Synergien genutzt, Ressourcen sinnvoll eingesetzt und wertvolle Zeit gewonnen werden.
Um die Ereignisse rund um den Datenabfluss bei Xplain umfassend aufzuarbeiten, hat der Bundesrat am 28. Juni 2023 einen politisch-strategischen Krisenstab "Datenabfluss" (PSK-D) mandatiert und am 23. August 2023 eine Administrativuntersuchung angeordnet. Die Administrativuntersuchung soll bis Ende März 2024 abgeschlossen werden. Nach deren Durchführung werde der Bundesrat über die Ergebnisse und Empfehlungen informiert, damit er über die Folgen der Administrativuntersuchung entscheiden könne.
