Sensible Daten im Darknet

Swissport-Hack wohl schlimmer als gedacht

Uhr
von Oliver Wietlisbach und Daniel Schurter, Watson / cka

Vor zwei Wochen wurde der weltweit grösste Gepäckabfertiger Swissport gehackt. Nun zeigt sich, dass mit grösster Wahrscheinlichkeit sensible Daten abgeflossen sind. Diese werden von Kriminellen im Darknet zum Kauf angeboten.

(Source: arquiplay77 / Fotolia.com)
(Source: arquiplay77 / Fotolia.com)

Ein Hackerangriff auf Swissport sorgte Anfang Februar weltweit für Schlagzeilen. Da einige Systeme vorübergehend nicht mehr verfügbar waren, kam es zu Verspätungen im Luftverkehr. Swissport ist der weltgrösste Serviceanbieter für Fluggesellschaften und Flughäfen mit Sitz in Opfikon, Kanton Zürich. Gegenüber watson sagte Swissport-Sprecher Stefan Hartung letzten Donnerstag. «Erste Analysen haben gezeigt, dass mit extrem hoher Wahrscheinlichkeit keine sensiblen Daten abgeflossen sind.» Das ist ein Irrtum, wie neue watson-Recherchen zeigen.

Hinter der Attacke steckt die Ransomware-Gang BlackCat, in der Szene auch als ALPHVM bekannt. Auf ihrer Darknet-Site bieten die Erpressungs-Hacker seit Dienstag sämtliche erbeuteten Daten zum Verkauf an. Nach eigenen Angaben sind ihnen 1,6 Terabyte (TB) in die Hände gefallen.

Als Beweis für den Datenklau und um ihre Drohung zu unterstreichen, wurde ein kleiner Auszug aus den Daten veröffentlicht: darunter Passkopien verschiedener Nationalitäten, Bewerbungsunterlagen und ein Auszug aus einem vertraulichen Auditbericht. In einer Tabelle sind beispielsweise Name, Nationalität, Religion, Telefonnummer und die Beurteilung beim Bewerbungsgespräch zu sehen. Ob die Daten tatsächlich von Swissport stammen, was sehr wahrscheinlich scheint, oder aus einem anderen Hack, lässt sich noch nicht mit abschliessender Sicherheit sagen.

Die Hacker drohen bald weitere Beispiel-Daten zu publizieren, um das gehackte Unternehmen weiter unter Druck zu setzen.

Watson hat Swissport erneut um eine Stellungnahme gebeten. Das Unternehmen schreibt: "Für Swissport hat die Datensicherheit unserer Systeme höchste Priorität. Swissport hat auf einen Cyber-Angriff reagiert, der mehrere unserer Systeme betroffen hat. Im Rahmen unserer Analyse haben wir festgestellt, dass Unbefugte Daten online gestellt haben, welche sie angeblich von Swissport gestohlen haben. Wir nehmen diese Behauptungen ernst und analysieren die veröffentlichten Daten im Rahmen unserer laufenden Untersuchung des Vorfalls.

Als wir vom Vorfall erfuhren, haben wir umgehend die betroffenen Systeme vom Netz genommen, eine Untersuchung eingeleitet, die Strafverfolgungsbehörden informiert und führende Cybersicherheits-Experten hinzugezogen, um das Ausmass des Angriffs zu beurteilen. Zum jetzigen Zeitpunkt können wir keine weiteren Angaben machen.

Mit Kunden, Partner und Mitarbeitenden stehen wir im Austausch. Swissport bedauert die Umstände, die für unsere Kunden, Partner und Mitarbeitenden durch diesen Vorfall entstanden sind."

Noch letzte Woche sagte Swissport auf Anfrage von watson: «Eine Information des EDÖB (Anm. d. Red.: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) ist bislang noch nicht erfolgt, da es in Folge des IT-Sicherheitsvorfalles zu keinem Abfluss von Daten gekommen ist, der eine entsprechende Informationspflicht nach sich ziehen würde.»

Die Ransomware-Attacke auf die IT-Infrastruktur des Gepäckabfertigers begann am frühen Donnerstagmorgen vor zwei Wochen und wurde laut Darstellung des betroffenen Unternehmens sofort entdeckt. «Unsere IT-Security-Systeme haben den Vorfall in einem sehr frühen Stadium entdeckt, so dass wir unmittelbar wirksame und damit erfolgreiche Abwehrmassnahmen ergreifen konnten», sagte ein Mediensprecher gegenüber watson.

Betroffen waren IT-Systeme zur Planung von Personen, Flugzeugen und Fracht. Swissport konnte die Systeme (teils) relativ rasch wieder herstellen, der Datenabfluss hingegen konnte entgegen der ursprünglichen Annahme offenbar nicht oder nicht vollständig verhindert werden.

Swissport war 2021 für die Bodenabfertigung von rund 97 Millionen Fluggästen verantwortlich und bietet Dienste wie Check-in, Cargo-Services oder Betankung von Flugzeugen an.

Diese Cybercrime-Bande steckt hinter dem Hack

Swissport hat es mit einer überaus gefährlichen Ransomware-Bande zu tun. BlackCat nimmt aktuell unter anderem Unternehmen aus den USA, der Ukraine und der Schweiz ins Visier und greift die in Unternehmen verbreiteten Windows- und Linux-Systeme an.

In Deutschland beispielsweise sorgte die Ransomware-Gruppe Anfang Jahr für Wirbel, als Hacker die Tanklager von Oiltank-ing, der unter anderem den Grosskonzern Shell beliefert, landesweit lahmlegten.

BlackCat ist erst seit Kurzem aktiv und sorgte mit einer augenscheinlich sehr aufwändigen und fortschrittlichen Verschlüsselungs-Software für Aufsehen. BlackCat verschlüsselt und stiehlt Daten, um ein zusätzliches Druckmittel in der Hand zu halten, wenn das Opfer die Daten mit Backups wieder herstellen kann.

Hinter BlackCat, bislang auch als BlackMatter oder DarkSide bekannt, stecken sehr wahrscheinlich die gleichen Kriminellen, die zuvor bei der besonders aktiven Ransomware-Gruppen REvil tätig waren. REvil war 2021 für einen der bislang grössten erpresserischen Hackerangriffe verantwortlich, bei dem weltweit 800 bis 1500 Unternehmen infiltriert und wertvolle Daten gestohlen wurden. Anfang Juni 2021 attackierte REvil den weltgrössten Fleischkonzern JBS mit Ransomware und legte grosse Teile der Produktion in Nordamerika und Australien lahm.

Kurz gesagt: Beim Swissport-Hack waren höchstwahrscheinlich erfahrene und professionelle Angreifer am Werk.

Dieser Beitrag erschien zuerst auf Watson.ch.

Lesen Sie hier mehr zum Ransomware-Angriff auf Swissport.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_246482