Im Mai letzten Jahres hat die Hackergruppierung «Play» mit einem Ransomware-Angriff auf Xplain Daten gestohlen und diese im Juni 2023 im Darknet veröffentlicht. Wie der Angriff auf Xplain geschah, ist nach wie vor unklar. Hacker wie die «Play»-Gruppe hinterlassen in der Regel keine Spuren und arbeiten mit nicht bekannten Schwachstellen. Deshalb ist es für die ermittelnden Behörden schwierig, das genaue Tatvorgehen festzustellen. 

Xplain reichte nach dem Vorfall Strafanzeige ein, stellte den Behörden alle notwendigen Informationen zur Verfügung und kooperierte mit diesen bei der Aufklärung und der Schadensbegrenzung. Das Unternehmen baute die gesamte IT-Infrastruktur gemäss den Empfehlungen des Nationalen Zentrums für Cybersicherheit (NCSC) neu auf und tauschte die externen Betreiber aus. Ein externes Audit der Infrastruktur und der Prozesse wurde im November beendet. Das NCSC hat im Anschluss eine Einschätzung zum Audit verfasst. Der politisch-strategische Krisenstab «Datenabfluss» (PSK-D) des Bundesrats nahm den Bericht zur Kenntnis.

Zusammen mit der erfolgreich abgeschlossenen Untersuchung des Source Codes durch interne und externe Fachexperten konnten die Installationen der Releases zum Jahresende hin wieder aufgenommen werden. Das betrifft auch die Kunden ausserhalb der Bundesverwaltung, welche die Installation von Releases vom Audit abhängig gemacht hatten und eine Zusammenfassung des Berichts einsehen konnten.

Stabile finanzielle Situation

Xplain beendet das Geschäftsjahr 2023 trotz des Cybercrime-Vorfalls mit einer ausgeglichenen Rechnung. Dazu tragen unter anderem das diversifizierte, langfristig ausgerichtete Geschäftsmodell sowie die Leistungen aus der Schadensversicherung bei. Das Unternehmen verfügt über eine gesicherte Liquidität und blickt zuversichtlich in die Zukunft. Seit vergangenem Mai verliessen keine Mitarbeitenden das Unternehmen. 

Die Mehrheit der Kunden führte die Projektarbeiten fort, musste aber auf die Freigabe zur Installation von Releases warten. Die entsprechend verzögerten Zahlungen führten temporär zu einer angespannten Liquiditätssituation, welche die Aktionäre aber zusammen mit der Unterstützung der Banken überbrücken konnten. Xplain stellte den Kunden und den zuständigen Behörden ein standardisiertes Finanzreporting zur Verfügung, damit sie sich selbst ein Bild machen konnten. Gestützt auf diese Überprüfungen erfolgte schliesslich die Wiederaufnahme der Arbeiten.

Aktualisiert: 8. Februar 2024

Am 7. März 2024 veröffentlichte das Bundesamt für Cybersicherheit (BACS) einen Bericht über die Analyse der durch die Täterschaft im Darknet publizierten Daten. Er bestätigt die Vermutung, dass die Hackergruppe nicht systematisch Daten exfiltriert und keine Daten zurückbehalten hat. Eine neue Erkenntnis ist der Umstand, dass durch eine selektive Nicht-Publikation gewisser Dateien versucht wurde, einen russischen Bezug zu verwischen. Xplain hatte parallel zu den Abklärungen der Behörden die Daten selbst analysiert und die Erkenntnisse koordiniert in die Untersuchungen des Bundes eingebracht.

Aktualisiert: 7. März 2024