Zum Inhalt springen

Nach Hack bei Xplain Namen von militärischer Sondereinheit im Darknet

Der Datenskandal um Xplain weitet sich aus: Es liegen auch heikle Daten der Militärpolizei im Darknet. Brisant: Betroffen sind auch Personen, die in der Spionageabwehr tätig waren.

Sie schützen die Armee vor Spionage und Sabotage: die Angehörigen der Spezialeinheit «Dienst für präventiven Schutz der Armee», die dem militärischen Nachrichtendienst unterstellt ist. Eine Liste mit Namen von Personen, die dieser Spezialeinheit angehörten, liegt nun im Darknet. Das zeigen Recherchen von SRF Investigativ. Die Hackergruppe «Play» hatte die Daten gestohlen und im Juni im Darknet veröffentlicht.

Hackerangriff auf Softwarefirma Xplain

Box aufklappen Box zuklappen

Die Hackergruppe «Play» griff im Mai 2023 das Berner Software-Unternehmen Xplain an und erbeutete dabei heikle Daten aus verschiedenen Departementen der Bundesverwaltung. Als die Firma das geforderte Lösegeld nicht zahlte, stellten die Hacker die Daten ins Darknet.

Namen und Funktionen aus dieser Spezialeinheit gehörten nicht an die Öffentlichkeit, sagt Militärhistoriker Titus Meier: «Die Mitglieder dieser Einheit verhindern etwa, dass sich ausländische Spione Informationen über die Schweiz besorgen können.»

Heikle Personendaten im Darknet

Selbst wenn es Ehemalige dieser Abteilung beträfe, sei dies heikel: «Es handelt sich um Wissensträger. Sie kennen die Organisation und ihre Verfahren.» Durch das Leck könnten sie nun erpressbar sein oder Opfer von gezieltem Phishing werden, so Titus Meier.

Auf dem Foto ist ein Serverraum zu sehen.
Legende: Mit den Informationen aus der Liste der Militärpolizei könne man der Organisation schaden, sagt ein Militärexperte. Keystone/Christian Beutler

Damit nicht genug: Auf der erbeuteten Liste stehen die Namen und Funktionen rund 700 weiterer Angehöriger der Militärpolizei: aktuelle und ehemalige Angestellte. «Das ist ein mögliches Einfallstor, das gegen die Organisation genutzt werden kann», sagt Militärhistoriker Meier. Mit bösen Absichten könne man versuchen, Schlüsselpersonen zu identifizieren und diese gezielt anzugehen. Damit könne man der Organisation schaden.

SRF-Recherchen schrecken die Armee auf

Zur Militärpolizei finden sich auch weitere Informationen, die nicht für die Öffentlichkeit bestimmt sind. Die Militärpolizei ist dem VBS unterstellt.

Die Armee hat die Personen sensibilisiert.
Autor: Medienmitteilung VBS

Bislang hiess es beim Verteidigungsdepartement, man sei kaum vom Hackerangriff betroffen. Aufgeschreckt von den SRF-Recherchen, preschte die Armee am Donnerstag mit einer Mitteilung vor. Sie schreibt, die Betroffenen würden informiert. Für die Personen ergäben sich keine Risiken: «Vergleichbare Informationen sind über öffentliche Verzeichnisse wie den Staatskalender des Bundes oder weitere öffentliche Quellen verfügbar, zudem hat die Armee die Personen sensibilisiert.»

Auf dem Foto sind Kabel in einem Serverraum zu sehen.
Legende: Die Militärpolizei erfasst in der Datenbank Jorasys ihre Tätigkeiten wie beispielsweise Einsätze. Keystone/Gaetan Bally

Die meisten der betroffenen Personen sind jedoch nicht einfach so auffindbar. Militärexperte Meier: «Das sind Daten, die man nicht ins öffentliche Netz stellt. Ich gehe davon aus, dass auch die Militärpolizei hier klare Vorgaben hat, was gegen aussen sichtbar ist und was nicht. Und diese Daten gehören nicht dazu.»

Daten rund um Rapportsystem der Militärpolizei geleakt

Die geleakte Liste stammt aus einem Datensatz des Journal- und Rapportsystems der militärischen Sicherheit, Jorasys. Die Datenbank enthält etwa Informationen zur militärischen Sicherheitslage der Schweiz. Angehörige der Militärpolizei halten darin ihre Tätigkeiten fest.

Ein Goldschatz für Hacker.
Autor: Nicolas Mayencourt IT-Sicherheitsexperte

Die Hacker erbeuteten nebst der Namensliste Hunderte Dokumente rund um diese Datenbank. Darunter auch detaillierte Informationen zu Aufbau und Betrieb. «Ein Goldschatz für die nächsten Hacker», sagt IT-Sicherheitsexperte Nicolas Mayencourt dazu. Er betreibt eine IT-Sicherheitsfirma, die auch mit der Armee zusammenarbeitet.

Als Hacker finde man in den geleakten Daten Informationen, die man sich sonst mühsam besorgen müsste. «Sie sind wie der Bauplan einer Bank», so Mayencourt. «Wenn man einbrechen will, weiss man nun, wo sich Alarmanlagen befinden und wie man diese umgehen kann.»

Sicherheitsüberwachung verstärkt

Laut Mitteilung der Armee handle es sich bei den Daten nicht um vollständige Datensätze, sondern um «Logdaten», mit denen die IT-Firma Xplain Fehler im Betrieb analysiert habe. Die Fragmente stammten aus den Jahren 2018, 2022 und 2023.

Nicht betroffen vom Hackerangriff sei die IT-Infrastruktur der Armee, schreibt die Armee weiter: «Das von der Militärpolizei betriebene System läuft wie die zugehörige Datenaufbewahrung über eine gesicherte IT-Infrastruktur der Armee. Die Militärpolizei setzt das Programm weiterhin ein, wobei die Sicherheitsüberwachung zusätzlich verstärkt wurde.»

Sicherheitspolitiker besorgt

Sicherheitspolitiker zeigen sich besorgt über den Datenabfluss aus der Armee. «Solche Informationen dürfen nicht an die Öffentlichkeit geraten, der Schutz der Personen hat oberste Priorität», sagt SVP-Ständerat Werner Salzmann, selbst Oberst in der Armee.

Der Grünen-Nationalrat Gerhard Andrey bemängelt das fehlende Sicherheitsbewusstsein in der Bundesverwaltung. «Cyberangriffe sind in der Armee eine der grössten Bedrohungen, die Sicherheit muss das zentrale Thema werden.» Beide Politiker fordern denn auch, dass mehr Geld in den Aufbau der Cybersicherheit beim Bund fliesst.

Die Armee hat Strafanzeige gegen Unbekannt eingereicht.

Stellungnahme der Armee

Box aufklappen Box zuklappen

Echo der Zeit, 24.8.2023, 18 Uhr

Meistgelesene Artikel