Leck von Bundesdaten: Bis zu 425’000 Auslandschweizer:innen betroffen

Mitte Mai tauchte im Darknet ein gestohlener Datensatz auf. Der Inhalt: Informationen über die Abonnent:innen der “Schweizer Revue”Externer Link. Das ist die Zeitschrift, mit welcher der Bund seine Auslandbürger:innen über das Geschehen in der Schweiz auf dem Laufenden hält.

Dieser Datensatz ist umfassend. Er enthält aktuell über 425’000 Adressen, 40% davon sind Postadressen, 60% Email-Adressen. Denn wer in der Schweiz als Bürger:in mit Wohnsitz im Ausland registriert ist, erhält die “Schweizer Revue” als Dienstleistung des Bundes, automatisch – per E-Mail oder auf dem Postweg. Von den 800’000 Auslandschweizer:innen erhalten laut EDA nur 330’000 keine Revue, darunter die italienischsprachigen. 

Das Schweizer Aussendepartement hütet und behandelt diese Adressen eigentlich nach allen Regeln des Datenschutzes. Denn es sind nicht freiwillig abgegebene Daten, sie stammen von den Konsulaten, den Schweizer Zivilstandsämtern im Ausland.

Wer sich in der Schweiz abmeldet, muss seinen Auslandwohnsitz obligatorisch der zuständigen Schweizer Vertretung angeben. So entsteht der Abonnent:innen-Stamm der “Schweizer Revue”.

Kein Zugriff, für niemanden

Der Bund erachtet die Daten denn auch als so sensibel, dass nicht einmal die Herausgeberin der Schweizer Revue, die Auslandschweizer-Organisation Swisscommunity, Zugriff auf die Adressdaten der Leser:innen erhält.

Ausgerechnet dieser Datensatz ist nun aber im Darknet zu finden – oder zumindest in Teilen, Klarheit darüber besteht noch nicht. Das Darknet ist der Teil des Internets, der für normale Computer-Anwender nicht zugänglich ist.

“Das EDA hat keine Kenntnis davon, wie viele Daten effektiv gestohlen worden sind”, schreibt das Aussendepartement.

“Dass Daten, die nicht freiwillig erhoben worden sind, so an die Öffentlichkeit kommen, ist sehr bedauerlich”, sagt Adrian Lobsiger, der eidgenössische  Datenschutzbeauftragte auf Anfrage von swissinfo.ch. Das Gesetz sehe vor, dass die Betroffenen darüber informiert werden müssen.

Eine Strafanzeige ist eingereicht. Cyber-Expert:innen untersuchen.

Beifang einer Cyber-Attacke

Aber wie konnte es dazu kommen? Grob gesagt sind die 425’000 Adressen der Auslandschweizer:innen Beifang aus einer erpresserischen Attacke auf zwei Schweizer Verlagshäuser, auf die NZZ Verlagsgruppe und die CH Media. Beide Verlage sind über ihre digitale Infrastruktur miteinander vernetzt.

Die kriminelle Organisation, die den Angriff verantwortet, nennt sich “Play”. Es ist ein international tätiges Hacker:innenkollektiv, dem Verbindungen zu Russland nachgesagt werden. “Play” veröffentlichte am 3. Mai 2023 im Darknet zahlreiche Daten, welche sie der Schweizer Verlagsgruppe CH Media bei einer Cyber-Attacke gestohlen hatte. Laut MitteilungExterner Link von CH-Media waren darunter auch sensible Daten von Mitarbeitenden und Geschäftspartnern.

Die Veröffentlichung war Teil einer eines Erpressungs-Pokers, wie es bei so genannten Ransomware-Angriffen von Hacker:innen üblich ist. Deren Vorgehen ist kalt und perfide.

Zuerst dringen die Kriminellen in die IT-Systeme eines Unternehmens ein. Dazu kann ein Klick eines unachtsamen Mitarbeitenden auf einen Link ausreichen. In diesem Fall erfolgte der digitale Einbruch bei der NZZ. Weil CH Media dort IT-Dienstleistungen bezieht, standen den Hacker:innen auch die Tore in diesen Partner-Verlag offen.

Lösegeld verweigert

Oft verschlüsseln die Kriminellen dann die Daten ihrer Opfer. Gleichzeitig drohen sie damit, sensible Daten zu veröffentlichen. Verweigert das erpresste Unternehmen die Lösegeld-Zahlung, werden Datensätze ins Darknet gestellt.

Die angegriffenen Unternehmen geben an, kein Lösegeld bezahltExterner Link zu haben.

Der Angriff auf das digitale Ökosystem von NZZ und CH Media erfolgte Ende März. Auch die Redaktion der Schweizer Revue bekam diesen laut Redaktionsleiter Marc Lettau zu spüren – durch Störungen im Redaktionssystem. Denn über ihre IT-Infrastruktur ist auch die “Schweizer Revue” mit dem angegriffenen Umfeld von CH Media verbunden.

Am 3. Mai 2023, dem Tag als “Play” die erbeuteten Daten veröffentlichte, informierte CH Media ihre IT-Kunden. Die Partnerunternehmen erfuhren, dass auch Kundendaten betroffen sind. Diese Nachricht erging auch an die “Schweizer Revue”.

Nochmals zwei Wochen später, Mitte Mai, stand fest, dass auch die Adressdaten der Abonnent:innen der Schweizer Revue darunter sind. Diese  sendet das Schweizer Aussendepartement sechsmal jährlich, auf den Drucktermin hin, an die Druckerei Vogt-Schild in Solothurn, die auch für den Versand der Zeitschrift “Schweizer Revue” zuständig ist. Vogt-Schild gehört zu CH Media.

Datenschutz im Workflow?

Gibt es Datenschutz-Massnahmen in diesem Workflow? Darauf antwortet Andreas Heller, Mediensprecher beim EDA: “Der Versand erfolgt über einen verschlüsselten File-Transfer des Bundes. Dieser Verkehr war nicht betroffen, wurde nicht gehackt und ist nicht Gegenstand des Datendiebstahls.”

Und weiter: “Im Einklang mit den Datenschutzbestimmungen des Bundes müssen die Daten durch Vogt-Schild in verschlüsselter Form abgespeichert werden. Die Druckerei behält die Daten nur für den Druck- und den Versandprozess.”

Ob der fragliche Datensatz letztlich verschlüsselt war, ist unklar. CH Media schreibt auf Anfrage dazu: “Wir äussern uns nicht zu einzelnen Kundenbeziehungen.”

Der eidgenössische Datenschutzbeauftragte Adrian Lobsiger sagt swissinfo.ch, er werde den Datenverlust und den Umgang damit noch diese Woche mit CH Media thematisieren, “in einem weiteren Schritt allenfalls auch mit dem EDA”.

Eine MitteilungExterner Link durch das EDA erfolgte erst letzte Woche, sechs Wochen nach Bekanntwerden des Lecks. Zentraler Punkt darin: Ausser der Adresse hätten sich keine persönlichen Daten im Besitz von Vogt-Schild befunden. Auf Nachfrage von swissinfo.ch ergänzt das Aussendepartement: “Zusätzlich enthalten ist die Sprache, in welcher die Schweizer Revue abonniert ist.”

Offensichtlich rang man im Aussendepartement wochenlang um eine korrekte Einschätzung und die richtige Kommunikation. Dabei steht für Fachleute fest: “Der Fehler lag nicht beim Bund.”

Das sagt Reto Vogt, Chefredaktor des Magazins Inside-IT. Der Bund sei bekannt für seine hohe Sensitivität bezüglich Datenschutz. “In diesem speziellen Fall hatte er wohl einfach Pech”, sagt Vogt.

E-Voting gefährdet?

Dennoch hat gerade diese Attacke das Potenzial, die Sicherheitsdebatte um das 2023 wieder eingeführte Schweizer E-Voting-System zu befeuern. Denn parallel zum ersten Versuch mit dem neuen E-Voting-System erfolgten in der Schweiz einige Cyberattacken, die aufhorchen liessen.

Nebst der Erpressung von Verlagen gelang “Play” auch ein spektakulärer Angriff auf die Schweizer IT-Firma Xplain. Dieses Unternehmen liefert Software für Schweizer Justiz- und Polizeibehörden.

Auch dieser Lösegeld-Angriff resultierte in der Veröffentlichung von sensiblen Daten. Betroffen sind unter anderem die Armee, das Bundesamt für Zoll und Grenzsicherheit und die Bundespolizei Fedpol. Auch hier wird noch untersucht. Das Ausmass des Schadens ist nicht absehbar.

Darüber hinaus legte Anfang Juni ein anderes Hacker:innenkollektiv wichtige Schweizer Webseiten lahm. Die Attacke ging auf das Konto der pro-russischen Gruppe NoName und erfolgte als Reaktion auf einen Video-Auftritt des ukrainischen Präsidenten Wolodimir Selenski im Schweizer Parlament.

Angegriffen wurden dabei zahlreiche Kantons-Webseiten sowie Webseiten des Bundes, aber auch der Schweizer Börse. Das Prinzip bei diesen Angriffen war anders, man spricht von DDoS-Attacken: Durch orchestriertes, massenhaftes Aufrufen der angegriffenen Seiten werden diese an ihre Kapazitätsgrenzen gebracht und temporär in die Knie gezwungen. 

Dabei gilt: Weder Ransomware-Angriffe noch DDoS-Attacken haben mit der E-Voting-Technologie direkt zu tun. Wenn solche Angriffe aber gehäuft vorkommen, hat dies Folgen. Das ist die Überzeugung von IT-Unternehmer Franz Grüter. Er sagt: “Auch wenn dieser Vorfall keinen direkten Zusammenhang mit dem E-Voting System hat, so sinkt doch mit jedem weiteren Cybervorfall das Vertrauen in die Sicherheit staatlicher IT-Systeme.”

“Zweifelhaftes Sicherheitsdenken”

Für Grüter werfen die Vorkommnisse ein “zweifelhaftes Licht auf das Sicherheitsdenken des Bundes”. Grüter ist Nationalrat der SVP und steht dem E-Voting skeptisch gegenüber. Er sagt: “Dem Bürger sind die Details eines Diebstahls egal. Er muss sich einfach darauf verlassen können, dass seine Daten beim Staat in Sicherheit sind.”  

Grüter bezeichnet den Vorfall darum als gravierend und weist darauf hin, dass ein käuflicher Datensatz mit allen Adressen der Auslandschweizer:innen gerade in einem Wahljahr einen Wert darstellt. “Jemand könnte damit sehr gezielt Wahlwerbung machen.”

Das EDA schreibt, es habe “keine Kenntnis davon, ob die Daten gegenwärtig im Darknet angeboten werden”.

Dass der “Schweizer-Revue”-Datenklau die Debatte um ein Schweizer E-Voting negativ prägen werde, glaubt IT-Fachjournalist Reto Vogt hingegen nicht. “Bei beidem geht es zwar um Auslandschweizer”, sagt er, “aber damit endet es auch schon mit der Gemeinsamkeit.”

Nicht zu unterschätzen bleibt indes die Psychologie. Die Auslandschweizer:innen bilden nicht nur die grösste Lobby für E-Voting und E-Government, sondern auch die leidenschaftlichste. Diese Begeisterung dürfte zumindest einen Dämpfer abgekriegt haben, denn die Mehrheit von ihnen sind jetzt zu Opfern geworden.

Mehr

Let’s Talk: Die Macht der Auslandschweizer:innen

Dieser Inhalt wurde am veröffentlicht 13. Jan. 2023 Die Schweiz startet in ein Wahljahr. Die Parteien realisieren, dass Schweizerinnen und Schweizer im Ausland entscheidend werden können.

Mehr Let’s Talk: Die Macht der Auslandschweizer:innen