Update: IKRK veröffentlicht Ergebnisse der Analyse zum Cyberangriff

Update vom 16. Februar 2022: Das Internationale Komitee vom Roten Kreuz (IKRK) hat die Ergebnisse seiner Analyse zum Cyberangriff bekanntgegeben. Robert Mardini, Generaldirektor des IKRK, hat die Ergebnisse in einem offenen Brief zusammengefasst und schreibt, dass die Organisation alle Informationen zum Angriff teilt, die sie hat. Die Angreifer konnten demnach nicht identifiziert werden und das IKRK will nicht mutmassen. Die Hacker nahmen bisher keinen Kontakt auf, Lösegeld wurde ebenfalls keines gefordert und die kompromittierten Daten tauchten nicht im Darknet auf. Doch war die Attacke offensichtlich zielgerichtet gegen die Server der Organisation.

Code wurde spezifisch für gewählte IKRK-Server geschaffen

Die Angreifer schufen gemäss dem offenen Brief einen Code, den sie spezifisch für die Ausführung auf den betroffenen IKRK-Servern entwickelten. Die verwendeten Tools beziehen sich ausdrücklich auf bestimmte MAC-Adressen der betroffenen Server, wie sich den Details zum Angriff entnehmen lässt.

Die auf den Zielservern installierte Anti-Malware blockte einige Dateien, welche die Angreifer verwendeten. Doch waren die meisten bösartigen Dateien spezifisch dazu entwickelt, die Anti-Malware zu umgehen. Erst mit der Installation einer hochentwickelten Endpoint-Detection-and-Response-Lösung wurde das Eindringen mitte Januar 2022 entdeckt. Die Hacker befanden sich vermutlich 70 Tage im System, nachdem das Datenleck am 9. November 2021 aufgetreten war.

Nicht rechtzeitig gepatchte Schwachstelle als Eintrittspunkt

Die Cyberkriminellen drangen über eine nicht gepatchte kritische Schwachstelle in einem Authentifizierungsmodul in das System ein. Die Schwachstelle erlaubte es böswilligen Cyberakteuren, Webshells zu platzieren und Post-Exploitation-Aktivitäten durchzuführen wie etwa Administratorrechte zu kompromittieren, laterale Bewegungen durchzuführen oder Registrierungsstrukturen und Active-Directory-Dateien zu exfiltrieren.

Die Hacker konnten sich nach dem Eindringen in das Netzwerk durch offensive Sicherheitswerkzeuge als Nutzer oder Administratoren ausgeben. So konnten sie auch auf verschlüsselte Dateien zugreifen.

Gefährdete Personen werden so schnell als möglich kontaktiert

Die gehackten Informationen umfassen personenbezogene Daten wie Namen, Orte und Kontaktinformationen von über 515’000 Personen weltweit. Gemäss Mardini arbeitet das IKRK nun eng mit seinen Partnern und den Nationalen Rotkreuz- und Rothalbmondgesellschaften weltweit zusammen an Massnahmen, wie die Menschen bestmöglich informiert werden sollen, deren Daten gehackt wurden.

Besonders gefährdete Menschen hätten oberste Priorität. Der Kontakt erfolge meist per Telefon, Hotline, öffentlicher Bekanntmachung oder Brief. In manchen Fällen nehme das IKRK auch persönlich Kontakt auf, wenn etwa Teams in entlegene Gegenden reisen müssen.

Mardini schreibt weiter, dass das IKRK hofft, dass dieser Angriff auf die Daten bedürftiger Menschen als Katalysator für einen Wandel dient. Die Organisation werde nun ihre Kontakte mit Regierungen und nicht-staatlichen Akteuren intensivieren, um ausdrücklich zu verlangen, dass sich der Schutz des humanitären Auftrags der Rotkreuz- und Halbmondbewegung auch auf die Daten und Infrastruktur des IKRK erstreckt. Ausserdem soll der Schutz der IKRK-Daten heute und künftig noch weiter verbessert werden. Weiter will sich die Organisation in Zukunft auch für den Schutz humanitärer Einsätze in der digitalen Welt einsetzen.

Update vom 10. Februar 2022: Update: Das IKRK behält die Identität des Angreifers womöglich für sich

Der Hackerangriff auf das IKRK war äusserst raffiniert und zielgerichtet. Das enthüllt Massimo Marelli, der Datenschutzbeauftragte der Organisation, in einem Exklusivinterview mit der auf Entwicklungsfragen spezialisierten Website Devex. Die Hacker, welche die sensiblen Daten von einer halben Million gefährdeter Personen in die Hände bekamen, sollen bereits im November 2021 in die Systeme des IKRK eingedrungen sein. Das sind zwei Monate, bevor der Angriff von einem der Partner der Institution entdeckt wurde, so der von "Le Temps" zitierte Sprecher der humanitären Organisation.

Hochkomplexer Angriff

Für Massimo Marelli könnte die Raffiniertheit des Angriffs mit der Vorgehensweise eines Staates vergleichbar sein. Der Beauftragte ist jedoch vorsichtig und warnt vor einfachen Schlussfolgerungen. Um seine humanitäre Mission zu wahren, könnte das IKRK sogar darauf verzichten, Erkenntnisse aus der forensischen Analyse, die einen Staat belasten, zu enthüllen. "Das ist ein sehr sensibler Bereich in dem Sinne, dass wir nicht möchten, dass die Erkenntnisse für politische Zwecke ausgenutzt werden", erklärt Massimo Marelli gegenüber Devex. Er fügte hinzu, dass die Zuschreibung "nicht unbedingt förderlich für unsere Fähigkeit ist, neutral, unparteiisch und unabhängig zu arbeiten".

Massimo Marelli sagte, dass absolute Sicherheit nicht möglich sei und es wichtig sei, dass alle Akteure verstehen, dass ein Angriff auf eine humanitäre Organisation wie das IKRK inakzeptabel sei. In diesem Bereich gebe es keine "Grauzone".

Update vom 24. Januar 2022: IKRK gibt weitere Details zu Cyberangriff bekannt

Das Internationale Komitee vom Roten Kreuz (IKRK) hat weitere Details zu der Cyberattacke veröffentlicht, die am 18. Januar auf das IKRK stattgefunden hat. Insbesondere möchte die Organisation klarstellen, dass die Angreifer direkt auf die Server des IKRK und nicht auf den Hosting-Anbieter zielten. "Wir verwalten die Daten und Anwendungen auf diesen Servern, nicht das Unternehmen, das sie hostet", betont das IKRK in einer Erklärung. Die Identität des fraglichen Anbieters bleibt ungenannt. Die Westschweizer Tageszeitungen von Tamedia behaupteten ihrerseits, dass die Internetadresse der Zielplattform (das Programm "Restoring Family Links") zu einem Rechenzentrum in Plan-les-Ouates führt, das von Safe Host verwaltet wird.

Das IKRK erklärte ausserdem, dass es keine Lösegeldforderung erhalten habe, und fügte hinzu, dass es bereit sei, direkt und vertraulich mit den Hackern zu kommunizieren. Durch den Hackerangriff wurden persönliche Daten wie Namen, Orte und Kontaktinformationen kompromittiert. Die Organisation geht davon aus, dass die Daten kopiert und exportiert wurden. Sie wurden jedoch nicht von den Servern gelöscht, sodass das IKRK die Informationen nicht verloren hat.

Die in Genf ansässige Organisation erklärt ausserdem, dass sie viel in die Cybersicherheit investiert habe. Sie erklärt, dass sie mit vertrauenswürdigen Partnern zusammenarbeitet, um hohe Standards für den Schutz von Daten und Systemen aufrechtzuerhalten. Eine externe Firma auditiert ihre Systeme jedes Jahr. "Dieser Angriff zeigt jedoch, dass diese Systeme nicht unverwundbar gegenüber sehr ausgeklügelten Cyberoperationen sind", bedauert das IKRK.

Originalmeldung vom 20. Januar 2022:

Cyberangriff auf IKRK: Daten einer halben Million schutzbedürftiger Menschen betroffen

Das Internationale Kommittee des Roten Kreuzes (IKRK) ist das Opfer einer Cyberattacke geworden. Wie das IKRK mitteilt, betraf die Attacke vertrauliche Informationen von mehr als 515'000 besonders schutzbedürftigen Menschen. Dazu gehören Personen, die aufgrund von Konflikten, Migration und Katastrophen von ihren Familien getrennt wurden, die vermisst werden oder inhaftiert wurden. Die Daten stammen von mindestens 60 nationalen Gesellschaften des Roten Kreuzes und des Roten Halbmondes weltweit, wie es weiter heisst.

Am meisten Sorge habe das IKRK nun wegen der potenziellen Risiken für Menschen, die vom Netzwerk des Roten Kreuzes und des Roten Halbmondes beschützt und unterstützt werden. Die Sorge gilt gemäss Mitteilung auch den Angehörigen dieser Personen, denn wird jemand vermisst, sind Angst und Ungewissheit auch für Freunde und Familie gross.

"Ein Angriff auf die Daten von Vermissten macht die Qualen und das Leid der Familien noch schwerer zu ertragen. Wir sind alle entsetzt und fassungslos, dass diese humanitären Informationen ins Visier genommen und kompromittiert werden", sagt Robert Mardini, Generaldirektor des IKRK. "Dieser Cyberangriff gefährdet die Menschen, die ohnehin schon auf humanitäre Hilfe angewiesen sind, noch mehr."

Angreifer nahmen Unternehmen in der Schweiz ins Visier

Das IKRK wisse derzeit nicht, wer den Cyberangriff durchführte. Die Attacke erfolgte auf ein externes Unternehmen in der Schweiz, das Daten des IKRK speichert. Es gebe noch keine Anzeichen dafür, dass die kompromittierten Informationen durchgesickert sind oder öffentlich zugänglich gemacht wurden.

"Wir wissen zwar nicht, wer für diesen Anschlag verantwortlich ist oder warum er verübt wurde, aber wir haben diesen Appell an sie zu richten", sagt Mardini. "Ihre Handlungen könnten möglicherweise noch mehr Leid und Schmerz für diejenigen verursachen, die bereits unsägliches Leid ertragen haben. Die realen Menschen, die realen Familien hinter den Informationen, die Sie jetzt haben, gehören zu den am wenigsten Mächtigen der Welt. Bitte tun Sie das Richtige. Geben Sie diese Daten nicht weiter, verkaufen Sie sie nicht, lassen Sie sie nicht durchsickern und verwenden Sie sie nicht anderweitig."

Programm zur Wiedervereinigung von Familien abgeschaltet

Als direkte Folge des Angriffs musste das IKRK ein Programm namens “Restoring Family Links” abschalten, welches dabei hilft, Familienmitglieder wieder zusammenzuführen, die durch Konflikte, Katastrophen oder Migration getrennt wurden. Die Abschaltung der Systeme beeinträchtige die Familien-Wiedervereinigungen. Das IKRK arbeite so schnell als möglich an alternativen Lösungen.

"Jeden Tag hilft die Rotkreuz- und Rothalbmond-Bewegung dabei, durchschnittlich 12 vermisste Personen mit ihren Familien zusammenzuführen. Das sind ein Dutzend freudige Familienzusammenführungen pro Tag. Cyberangriffe wie dieser gefährden diese wichtige Arbeit", sagte Mardini. "Wir nehmen diesen Verstoss äusserst ernst. Wir arbeiten eng mit unseren humanitären Partnern auf der ganzen Welt zusammen, um das Ausmass des Angriffs zu verstehen und geeignete Massnahmen zu ergreifen, um unsere Daten in Zukunft zu schützen."

Das Organspende-Register "Swisstransplant" muss seine Massnahmen zum Datenschutz ebenfalls überarbeiten - wenn auch die Gründe nicht annähernd dasselbe Ausmass haben wie beim IKRK. Lesen Sie hier mehr zum Datenschutzproblem des Organspende-Registers.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.