Für den K-Tipp untersuchten IT-Experten bei 4434 Schweizer Firmen, Kantonen, Gemeinden, Spitälern, AHV-Ausgleichskassen, Treuhändern und Anwaltskanzleien, wie gut die Daten der Kunden gegenüber Aussenstehenden geschützt sind. Die Experten versuchten, über das Internet in die Computer der Unternehmen und Institutionen einzudringen. Ergebnis: Nur 8 der 4434 IT-Systeme waren ungenügend vor Hackerangriffen geschützt.
Beim See-Spital in Horgen ZH war es monatelang möglich, die E-Mails und Adressbücher sämtlicher Mitarbeiter einzusehen – inklusive jener der Ärzte. Darunter waren E-Mails mit sensiblen Gesundheitsdaten von Patienten. Es war sogar möglich, E-Mails im Namen eines beliebigen Arztes zu verschicken.
Ebenfalls wenig geschützt vor Eindringlingen waren beispielsweise eine Waadtländer AHV-Ausgleichskasse, eine Zürcher Berufsfachschule, eine Waadtländer Privatschule, eine Migros-Klubschule und ein Aargauer Treuhänder. Interessierte hätten etwa Zugriff auf Zahlungen der Ausgleichskasse und die finanziellen Verhältnisse von Treuhandkunden gehabt.
Microsoft-Programm als Schwachpunkt
Weshalb gelingt das Eindringen in die IT-Systeme? Der Schwachpunkt lag bei den Servern, über welche die E-Mails geleitet werden. Solche Server, die mit dem Programm Microsoft Exchange 2013, 2016 und 2019 betrieben werden, enthalten eine bekannte Hintertür. Die Lücke ist äusserst einfach zu finden. Fachkenntnisse sind nicht erforderlich. Anleitungen zum Eindringen kursieren im Internet seit August 2021. Microsoft stellte seit dem 3. März 2021 ein Update des Programmes zur Verfügung, um die Lücke zu stopfen.
Solange die Lücke aber offen ist, können Hacker auf private Daten zugreifen, diese kopieren, manipulieren, neue E-Mail-Adressen erstellen oder bestehende übernehmen. Kriminelle verschlüsseln auf diesem Weg zudem Daten und verlangen für deren Entschlüsselung Lösegeld. Das haben gemäss dem Nationalen Zentrum für Cybersicherheit (NCSC) bereits Hunderte von Unternehmen erlebt. Die E-Mail-Server sind oft mit anderen Computern im Betrieb verbunden. Hacker können deshalb teils sämtliche angehängten Computer unter ihre Kontrolle bringen.
IT-Experte Peter Keel vom Chaos Computer Club kritisiert: «Wer bekannte Sicherheitslöcher in seiner Infrastruktur nicht stopft, gefährdet nicht nur die eigenen Systeme, sondern auch die Daten all seiner Mitarbeiter, Kunden und Kontakte.»
Der K-Tipp hat die betroffenen Unternehmen und Institute kontaktiert. Das See-Spital Horgen schreibt, es könne ausgeschlossen werden, dass Hacker eingedrungen seien. Und die externe IT-Firma, die für die AHV-Ausgleichskasse arbeitet, verspricht eine baldige Aktualisierung der Systeme.
Trotz mehrmaliger Warnung: Viele Gemeinden stopfen ihre Sicherheitslücken nicht
Auf den Servern von Gemeinden sind viele Daten der Einwohner gespeichert – etwa jene des Sozial-, Steuer- oder Betreibungsamts. Trotzdem nehmen es viele Gemeinden mit der Datensicherheit nicht so genau. Das Nationale Zentrum für Cybersicherheit (NCSC) informierte im vergangenen Jahr alle 2172 Gemeinden der Schweiz per E-Mail über die Sicherheitslücke. Es wurde sogar eine Anleitung zur Schliessung der Hintertür mitgeschickt. Doch «trotz mehrmaligem Nachfassen» stopften Dutzende Gemeinden die Lücke nicht. Daraufhin schickte das Amt den säumigen Gemeinden vor wenigen Wochen einen eingeschriebenen Brief.
Vom Altersheim bis zum Internationalen Roten Kreuz – hier schlugen Hacker zu
2021/22 wurden Hunderte von Hackerangriffen auf Behörden und Firmen publik. Beispiele:
- Mai 2021, Gemeinde Rolle VD: Hacker veröffentlichen Zehntausende Datensätze, unter anderem E-Mails.
- August 2021, Saurer AG: Hacker erbeuten Finanzdaten und Daten der Angestellten.
- September 2021, Alters- und Pflegeheim in Vessy GE: Hacker kopieren medizinische und private Daten der Bewohner.
- Oktober 2021, Gemeinde Mellingen AG: Hacker kapern den E-Mail-Server.
- Januar 2022, Internationales Rotes Kreuz: Hacker stehlen Daten von 515 000 Personen, darunter Flüchtlinge und Häftlinge.
