Hackern gelang es, an Daten des Basler Erziehungsdepartements (ED) heranzukommen. Das mit dem Ziel, Geld zu erpressen, teilt das ED am Mittwochmorgen mit. «Es ist sehr unerfreulich, was da passiert ist. Auf die Geldforderung sind wir bisher nicht eingegangen», sagt Gaudenz Wacker, Sprecher des zuständigen Departements.
Auf einen Computer im Erziehungsdepartement sei Ende Januar ein Hackerangriff verübt worden. Die Hacker seien mutmasslich über eine präparierte E-Mail ins System gelangt und hätten sich so Zugang verschafft.
Abklärungsberichte, persönliche Daten, Lohntabellen
Betroffen sind Daten aus dem Netzwerk «eduBS»: Ein Netzwerk, das der Basler Schülerschaft sowie den Lehrpersonen zur Verfügung steht. Das Netzwerk ist vom kantonalen Datennetz isoliert.
Im Darknet publik seien nun sehr sensible Daten, das sei schlimm, sagt der zuständige Basler Regierungsrat Conradin Cramer: «Dazu zählen persönliche Informationen über Schülerinnen und Schüler, Lehrberichte, Zeugnisnoten, möglicherweise auch Abklärungsberichte über einzelne Personen.» Der Angriff sei eine Katastrophe.
Es sind sehr viele Basler betroffen – viele Kinder. Wir können nichts tun, ausser zu hoffen, dass niemand diese Daten missbraucht.
Viele der nun öffentlichen Daten seien streng vertraulich und nicht für die Öffentlichkeit bestimmt. «Es sind sehr viele Baslerinnen und Basler betroffen – viele Kinder. Wir können nichts tun, ausser zu hoffen, dass niemand diese Daten missbraucht.» Mit den Opfern des Cyberangriffs wolle man so bald wie möglich in Verbindung treten.
Bereits im Januar, kurz nach dem Cyberangriff, habe man alle Schülerinnen und Schüler sowie Lehrpersonen gebeten, die Passwörter für das Netzwerk zu ändern, um weitere Datenlecks zu verhindern. Cramer gibt zu: «Wir hätten schon vor Jahren damit beginnen sollen, unsere Cybersicherheit zu verbessern.»
SRF News: Der Kanton-Basel Stadt wurde von Cyberkriminellen angegriffen. Ist das der erste Angriff auf einen Schweizer Kanton?
Tanja Eder: Da bin ich nicht sicher. Nicht jeder Cyberangriff wird öffentlich. Was ich sicher sagen kann: Solche Attacken sind mittlerweile nichts Aussergewöhnliches mehr.
Nun sind die Daten im Darknet auffindbar. Ist das der übliche Vorgang?
Ja. Das ist eine typische Ransomware-Erpressung. Normalerweise verschlüsseln Cyberkriminellen die gestohlenen Daten und fordern dann Lösegeld. Steigt das erpresste Unternehmen nicht darauf ein, werden die Daten im Darknet veröffentlicht. Im Fall Basel übersprangen die Kriminellen den ersten Schritt, weil der Kanton die Verschlüsselung der Daten dank einer Sicherheitsfirma verhindern konnte.
Das heisst, der Kanton hat gut reagiert?
Basel hatte schlicht Glück.
Hinter dem Angriff stehen die Cyberkriminellen «Bianlian». Ist diese Art anzugreifen ihre Spezialität?
Diese Gruppe arbeitet hochprofessionell und greift in der Regel keine Privatpersonen an. In den letzten Monaten hat die Gruppe etwa hundert Unternehmen angegriffen: Bildungsinstitutionen, Unternehmen, Akteure aus dem Gesundheitsbereich – immer nach dem gleichen Muster.
Was können Unternehmen gegen solche Cyberkriminelle unternehmen?
Cyberangriffe sind heute wirklich keine Ausnahme mehr: Unternehmen müssen jederzeit mit solchen Attacken rechnen. Das Personal muss gut geschult, technisch alles auf dem neusten Stand, die Daten gut abgelegt und die Abläufe bei einem Angriff klar sein.
Das Gespräch führte Nina Gygax.
Nicht auf die Erpressung der Cyberkriminellen einzutreten, sei der richtige Entscheid gewesen, sagt Tanja Eder von der SRF Digitalredaktion. «Das, was in Basel passiert ist, ist eine ganz typische Ransomware-Erpressung.»
In einer ersten Phase würden die Hacker die gestohlenen Daten für gewöhnlich verschlüsseln. Für die Entschlüsselung würde daraufhin üblicherweise Geld gefordert. Gehen die Unternehmen nicht auf die Forderungen ein, würden die Daten im Darknet veröffentlicht.
«Im Fall Basel wurde die erste Phase übersprungen», das Basler Erziehungsdepartement habe Glück gehabt. Eine Sicherheitsfirma habe die Verschlüsselung durch die Hacker frühzeitig verhindern können.
Diese Hackergruppe ist seit Sommer 2022 aktiv. Sie hat weltweit bereits über hundert Unternehmen angegriffen.
Die Gruppierung, welche das Basler Erziehungsdepartement attackiert hat, sei durchaus bekannt: «Diese Hackergruppe ist seit schätzungsweise Sommer 2022 aktiv und hat weltweit bereits über hundert Unternehmen und Institutionen angegriffen.» Die schiere Menge der Daten sei immens, so Eder. «Das entspricht der Datenmenge von etwa 300 Filmen oder über einer Million Bücher.»
Der Kanton Basel-Stadt hat bei der Staatsanwaltschaft eine Anzeige gegen Unbekannt erstattet.
