Neuer Hackerangriff - Verträge der Schweizer Luftwaffe im Darknet aufgetaucht
Hacker haben eine US-amerikanische Sicherheitsfirma angegriffen, die weltweit Rüstungsfirmen mit ihrer Kommunikationstechnologie bedient. Betroffen ist auch die Schweizer Luftwaffe. Das VBS bestätigt das Datenleck und untersucht den Vorfall.
Hacker haben wohl Zehntausende Dokumente der US-Firma «Ultra Intelligence & Communications» gestohlen. Es soll sich um 30 Gigabyte teils sensitiver und klassifizierter Dokumente handeln. Diese sind nun im Darknet gelandet – und damit grundsätzlich öffentlich einsehbar.
Die Firma Ultra beliefert nationale und internationale Rüstungskonzerne mit militärischer und nachrichtendienstlicher Verschlüsselungs- und Kommunikationstechnologie. Zu den Kunden gehören auch das Verteidigungsdepartment des Bundes VBS und die Ruag, wie aus den Daten hervorgeht.
In den geleakten Unterlagen findet sich etwa ein Vertrag zwischen dem VBS und der US-Firma über knapp fünf Millionen Dollar. Diesem und anderen Dokumenten im Leak zufolge kaufte das VBS Technologie für die verschlüsselte Kommunikation der Luftwaffe. Auch sind E-Mail-Korrespondenzen oder Zahlungsbelege zu finden, die Rückschlüsse darauf zulassen, wann die Geschäfte stattgefunden haben.
Legende:
Ein Screenshot von den publizierten Daten im Darknet – hier ein Vertrag zwischen der US-Firma und dem VBS. Die Schwärzungen erfolgten durch SRF.
Printscreen Darkweb
Nebst dem Verteidigungsdepartment ist auch der Name Ruag in den Daten zu finden. Der mittlerweile zweigeteilte Rüstungskonzern scheint seit mindestens 2017 Technologie von der «Ultra Intelligence & Communications» zu beziehen.
Laut dem Cybersicherheitsexperten Marc Ruef ist ein Datenabfluss im militärischen Bereich besonders gefährlich: «Militär und Nachrichtendienste sind darum bemüht, dass man möglichst wenige Daten und Informationen zu den eigenen Möglichkeiten und den eigenen Fähigkeiten herausgibt. Und das ist natürlich jetzt hier ungewollt geschehen».
Legende:
Webseite der gehackten Firma
Webseite der US-Firma «Ultra Intelligence & Communications»
www.ultra-ic.com
Das VBS bestätigt gegenüber SRF Investigativ den Hackerangriff: «Armasuisse und die Gruppe Verteidigung wurden vom Unternehmen Ultra Intelligence & Communications über den Ransomwareangriff in Kenntnis gesetzt.» Nach aktuellem Kenntnisstand seien operationelle Systeme der Armee nicht betroffen. Abklärungen würden laufen.
Stellungnahme VBS
Box aufklappenBox zuklappen
«Armasuisse hat zu verschiedenen Unternehmen von Ultra Beziehungen. Zu Details von Geschäftsbeziehungen äussern wir uns grundsätzlich nicht», schreibt das VBS.
Auf die Frage, ob die Sicherheit der Systeme durch das Leak gefährdet sei, antwortet das VBS: «Das VBS nimmt Vorfälle dieser Art sehr ernst. Aus diesem Grund wird der Vorfall detailliert untersucht. Die Untersuchungen sind derzeit noch am Laufen. Aufgrund der bisherigen Erkenntnisse kann jedoch festgehalten werden, dass die operationellen Systeme der Armee vom Ransomwareangriff nicht betroffen sind. Bis dato sind kommerzielle Daten publiziert. Zudem basiert die Sicherheit nicht nur auf den einzelnen (Teil-)Systemen, sondern auch darauf, wie diese in die Informatiklandschaft integriert sind. Ausserdem werden sie zusätzlich durch Sicherheitskomponenten sowie durch die Sicherheitsüberwachung geschützt.»
Das VBS schreibt weiter: «Aktuell werden die publizierten Daten auf deren Relevanz und allfällige Risiken ausgewertet und nach weiteren publizierten Daten gesucht. Aufgrund der laufenden Untersuchung können wir uns nicht über die einzelnen Massnahmen im Detail äussern. Armasuisse steht mit der Unternehmung in Kontakt.»
Ruag schreibt: «Die geleakten Dokumente betreffen einen Geschäftsbereich, der aktuell nicht mehr Teil der RUAG MRO Holding AG ist. Seit 2020 operieren Ruag International Holding AG und Ruag MRO Holding AG getrennt voneinander.»
Die gehackte Firma «Ultra Intelligence & Communications» wollte auf Anfragen von SRF Investigativ keine Stellung nehmen.
Auch FBI und Nato vom Hack betroffen
In den geleakten Daten ist ersichtlich, dass Ultra weltweit Aufträge für Rüstungskonzerne, Polizei- und Militärbehörden ausführt. Darunter das FBI und die NATO. Der Diebstahl bedeutet laut dem Sicherheitsexperten Marc Ruef einen «grossen Reputationsschaden, weil die Firma ein Securityunternehmen ist und Sicherheitslösungen anbietet».
Legende:
Ankündigung des Leaks
Die Hackergruppe ALPHV hat mit diesem Beitrag auf ihrem Blog den Diebstahl der Daten angekündigt.
Printscreen
Noch ungeklärt ist die Grösse des Schadens. Klar ist, das Veröffentlichen solcher sensitiven Informationen könnte für die betroffenen Organisationen gefährlich sein, sagt Marc Ruef: «Wenn in den verkauften Systemen eine Schwachstelle bekannt wird, dann weiss ein Gegner durch das Leak, wo diese Technologie überall verbaut ist. Damit kann er diese Schwachstelle breitflächig ausnutzen.» Deshalb könne ein Leak solcher Daten auch dann gefährlich sein, wenn es keine technischen Geheimnisse enthalte.
Die Hackergruppe ALPHV
Box aufklappenBox zuklappen
Zu dem sogenannten Ransomware-Angriff bekennt sich die Hackergruppe ALPHV. Die Gruppe gehört zu den aktivsten Hackergruppen der Welt. Sie schreibt auf ihrer Seite, dass sie insgesamt 30 Gigabyte Daten von Ultra gestohlen und Lösegeld verlangt habe. «Nach langen Verhandlungen weigerte sich Ultra zu bezahlen», schreiben die Hacker im Darknet. Daraufhin habe man die Daten veröffentlicht. Das schreibt die Gruppe am 27. Dezember 2023 auf ihrer Seite.
Laut Ruef gibt es Hinweise, dass die Hackergruppe aus Russland stammen könnte. Ebenfalls im Dezember beschlagnahmten die US-Behörden in Zusammenarbeit mit anderen Ländern Teile der Server von ALPHV. Trotzdem gelang es der Hackergruppe nun offenbar, die US-Firma zu hacken und die Daten ins Darknet zu stellen.
Eigentlich seien die Partner des Bundes für diese Leaks verantwortlich, sagt Cyberexperte Marc Ruef: «Da stellt sich die Frage, ob der Bund von seinen Zulieferern nicht mehr Sicherheit verlangen müsste und diese dann auch kontrolliert und durchsetzt.»
Dritter Hack auf Daten des Bundes innert 6 Monaten
Box aufklappenBox zuklappen
Es ist nicht der erste Hack in jüngster Vergangenheit, bei dem Daten des Bundes im Darknet veröffentlicht wurden. Bereits im Juli 2023 sorgte der Ransomwareangriff auf die Schweizer Firma Xplain für Schlagzeilen. Dabei wurden Hunderte Gigabyte sensibler Informationen des Bundes veröffentlicht, unter anderem auch solche des VBS (SRF Investigativ berichtete). Im vergangenen November wurde bekannt, dass die Schweizer Softwarefirma Concevis gehackt wurde. Diese arbeitete ebenfalls für das VBS und die Eidgenössische Steuerverwaltung. Welche Daten dabei gestohlen wurden, ist bis jetzt nicht öffentlich bekannt.
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr
Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht.
Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger
Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?
Meistgelesene Artikel
Nach links scrollenNach rechts scrollen
Social Login
Für die Registrierung benötigen wir zusätzliche Angaben zu Ihrer Person.
Die maximale Anzahl an Codes für die angegebene Nummer ist erreicht. Es können keine weiteren Codes erstellt werden.
Mobilnummer ändern
An diese Nummer senden wir Ihnen einen Aktivierungscode.
Diese Mobilnummer wird bereits verwendet
E-Mail bestätigen
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Sie können sich nun im Artikel mit Ihrem neuen Passwort anmelden.
Ein neues Passwort erstellen
Wir haben den Code zum Passwort neusetzen nicht erkannt. Bitte geben Sie Ihre E-Mail-Adresse erneut ein, damit wir Ihnen einen neuen Link zuschicken können.
Ihr Account wurde deaktiviert und kann nicht weiter verwendet werden.
Wenn Sie sich erneut für die Kommentarfunktion registrieren möchten, melden Sie sich bitte beim Kundendienst von SRF.
