14.11.2023 - Das Software-Unternehmen Concevis wurde Opfer eines Ransomware-Angriffes, bei dem sämtliche Server der Firma verschlüsselt wurden. Unter den entwendeten Daten befinden sich nach aktuellem Kenntnisstand mutmasslich auch ältere, operative Daten der Bundesverwaltung. Die vertieften Analysen laufen derzeit noch.
Die Firma Concevis, eine Schweizer Anbieterin von Softwarelösungen für öffentliche Verwaltungen (Bund, Kantone, Städte), den Finanzsektor und Unternehmen aus der Industrie und Logistik, ist Opfer eines Ransomware-Angriffs geworden. Die Angreifer entwendeten Daten und verschlüsselten danach sämtliche Server der Firma. Nachdem die Firma der Lösegeldforderung nicht nachgekommen ist, drohen die Angreifer mit der Veröffentlichung der Daten im Darknet.
Die Firma Concevis hat ihre Kunden über den Cybervorfall informiert. Zudem hat das Software-Unternehmen bei der Staatsanwaltschaft Basel-Stadt Strafanzeige erstattet sowie einen externen Sicherheitsdienstleister für die Bewältigung des Vorfalles beigezogen.
Zu den Kunden von Concevis gehören auch verschiedene Verwaltungseinheiten der Bundesverwaltung. Nach aktuellem Erkenntnisstand sind das Bundesamt für Bevölkerungsschutz, das Bundesamt für Raumentwicklung, das Bundesamt für Statistik, das Bundesamt für Zivilluftfahrt, die Eidgenössische Steuerverwaltung und das Kommando Ausbildung auf der Kundenliste von Concevis. Zurzeit ist in Abklärung, welche Stellen und Daten konkret betroffen sind. Die von Concevis entwickelten Anwendungen werden durch Leistungserbringer der Bundesverwaltung betrieben. Eine Kompromittierung von Systemen des Bundes ist aktuell unwahrscheinlich. Bisherige Analysen haben keinerlei Hinweise dazu ergeben.
Das NCSC koordiniert die weiteren Abklärungen und Massnahmen innerhalb der Bundesverwaltung. Es steht in Austausch mit der Firma Concevis sowie den Strafverfolgungsbehörden und den betroffenen Verwaltungseinheiten der Bundesverwaltung und wird die Öffentlichkeit zu gegebener Zeit über weitere Erkenntnisse informieren.
Wie Ransomware-Angriffe in den meisten Fällen ablaufen:
Nachdem die Angreifer sich unbefugten Zugriff auf die Systeme einer Unternehmung verschafft haben, werden die Daten zuerst gestohlen, danach verschlüsselt und die Firma wird erpresst. Zahlt die betroffene Firma nicht, wird mit der Veröffentlichung der gestohlenen Daten gedroht und bei Nicht-Bezahlung des Lösegeldes werden die Daten veröffentlicht.
Weiterführende Informationen:
Letzte Änderung 14.11.2023