Auszüge von Militärpolizei-Rapporten sowie Personendaten von rund 720 Nutzern der Plattform sind im Darknet aufgetaucht. Die Daten sind der Armee beim Hackerangriff auf die IT-Dienstleisterin Xplain entwendet worden. Es wurde Strafanzeige gegen Unbekannt eingereicht.

Gemäss Mitteilung der Gruppe Verteidigung und des Generalsekretariats des Verteidigungsdepartements vom Donnerstag ist die IT-Infrastruktur der Armee vom Hackerangriff nicht betroffen. Die Informationen im Darknet hätten keinen Einfluss auf die operativen Einsätze der Armee und stellten kein Gefährdungspotenzial für die Armee und ihre Partnerorganisationen dar. Jedoch sei die Sicherheitsüberwachung zusätzlich verstärkt worden.

Gefunden wurden die Daten bei Abklärungen, die nach dem Ransomware-Angriff auf die IT-Dienstleisterin Xplain im Juni aufgenommen wurden, deren Kunde die Armee ist. Betroffen vom Hackerangriff waren demnach Fragmente von Auszügen aus dem Journal- und Rapportführungssystem der Militärpolizei namens "Jorasys" sowie unvollständige und teils veraltete Nutzerprofile von Angehörigen der Militärpolizei.

"Keine Risiken" für betroffene Personen

Bei den im Darknet publizierten Daten handelt es sich laut der Armee nicht um vollständige Datensätze, sondern um Logdaten, mit denen Xplain Fehler im Betrieb analysiert hatte. Die Fragmente stammen aus den Jahren 2018, 2022 sowie 2023.

Sie enthalten Angaben von Personen, die dem Militärstrafrecht unterstehen sowie von Drittpersonen, die infolge von Vorfällen im Zusammenhang mit der Armee oder mit Angehörigen der Armee erfasst werden. Zudem veröffentlichte die Täterschaft im Darknet eine Liste aus dem Jahr 2020 mit rund 720 aktiven und inaktiven "Jorasys"-Nutzern der Armee.

Für die betroffenen Personen auf der entwendeten Liste ergäben sich keine Risiken, so die Armee. Vergleichbare Informationen seien über öffentliche Verzeichnisse wie der Staatskalender des Bundes oder weitere öffentliche Quellen verfügbar. Zudem habe die Armee die betroffenen aktiven und inaktiven "Jorasys"-Nutzer und auch die weiteren betroffenen Personen informiert und sensibilisiert.

Verschiedene Opfer

Das von der Militärpolizei betriebene System läuft wie die zugehörige Datenaufbewahrung über eine gesicherte IT-Infrastruktur der Armee, wie es weiter hiess. Die Militärpolizei setze das Programm weiterhin ein.

Um abzuklären, unter welchen Umständen die Daten auf ein Dateisystem eines privaten Unternehmens gelangen und dort angegriffen werden konnten, hat die Gruppe Verteidigung Strafanzeige gegen Unbekannt eingereicht.

Bereits Mitte Juli wurde bekannt, dass ein achtjähriger Auszug aus dem Hooligan-Informationssystem Hoogan im Darknet aufgetaucht ist. Die Daten zu gut 760 Personen waren dem Bundesamt für Polizei (Fedpol) beim Hackerangriff entwendet worden.

Administrativuntersuchung gestartet

Der Cyberangriff auf den IT-Dienstleister Xplain war am 23. Mai bekannt geworden. Die Hacker hatten eine Schwachstelle auf den Servern des IT-Dienstleisters Xplain mit Ransomware angegriffen und dort Daten der Bundesverwaltung gestohlen. Weil sie kein Lösegeld erhielten, veröffentlichten sie die Daten im Darknet.

Ende Juni verabschiedete der Bundesrat das Mandat für einen Krisenstab namens "Datenabfluss", der die Arbeiten nach dem Angriff koordinieren soll. Es müsse sichergestellt sein, dass dieser Datenabfluss nicht weitergeht und dass so etwas in Zukunft nicht mehr möglich sei, sagte Bundesrätin Karin Keller-Sutter damals.

Am Mittwoch vergab der Bundesrat den Untersuchungsauftrag. Als unabhängige Stelle wurde die Genfer Kanzlei Oberson Abels SA beauftragt. Die Untersuchung soll bis Ende März 2024 abgeschlossen sein.

Die Administrativuntersuchung soll aufzeigen, welche Umstände auf Seiten der Bundesverwaltung es ermöglichten, dass die Interlakner Firma Xplain in den Besitz der Daten kam. Zudem soll geklärt werden, ob die Bundesverwaltung ihre Pflichten bei der Überwachung von Xplain wahrgenommen hat. Weiter soll die Genfer Kanzlei Lösungsansätze und Empfehlungen zur Reduktion der Sicherheitsrisiken erarbeiten. (dan/sda)