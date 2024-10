Offenbar ist es zu einem Datenleck am Schweizer Finanzplatz gekommen. Zuerst hatte das Onlineportal „20 Minuten“ in der vergangenen Woche darüber berichtet. Laut der Schweizer Gratiszeitung wurde der Zürcher Vermögensverwalter Boreal Capital Management von einer Hackergruppe angegriffen. Dabei sollen Daten von rund 700 aktuellen und ehemaligen Kunden gestohlen worden sein. Insgesamt handelt es sich um 46 Gigabyte gehackte Daten.

Diese sollen nach Informationen der Westschweizer Onlineplattform „Gotham City“ (hinter einer Bezahlschranke) bereits seit Juni im Darknet abzurufen gewesen sein. Am vergangenen Freitag bestätigte das Unternehmen Boreal Capital Management den Cyberangriff auf Anfrage der Schweizer Finanz- und Wirtschaftsnachrichtenagentur AWP.

Der Datenklau sei am 20. Juni bemerkt worden und habe den Ursprung in der Datenbank eines früheren Dienstleisters gehabt, schrieb das Unternehmen in einer Stellungnahme an AWP. Nach Bekanntwerden habe man sofort die zuständigen Behörden informiert und Strafanzeige eingereicht, heißt es weiter.

Schweizer Behörden ermitteln

Die Bundesanwaltschaft in der Schweiz bestätigte gegenüber AWP, dass sie am vergangenen Donnerstag vom Bundesamt für Polizei (Fedpol) einen Bericht über den „Ransomware“-Angriff erhalten habe. Die Behörde analysiere nun nach Angaben eines Sprechers den Bericht und evaluiere ihr weiteres Vorgehen. Auch die Finanzaufsicht FINMA bestätigte AWP, dass man Kenntnis von dem Vorfall habe: Sie sei mit dem betroffenen Institut „in engem Kontakt“, so eine Sprecherin.

Die meisten vom Diebstahl betroffenen Kunden sollen laut Angaben von „Gotham City“ aus Spanien, Andorra und Venezuela stammen. Bei rund einem Viertel der in den Daten erwähnten Kunden handele es sich laut der Onlineplattform um „Hochrisiko-“ oder „politisch exponierte“ Kunden. Als Depotbanken für die Gelder der Boreal-Kunden dienten große Schweizer Banken wie die UBS, Julius Bär, EFG, Lombard Odier oder Goldman Sachs, heißt es weiter.

Der Vermögensverwalter Boreal Capital Management ist außer in Zürich auch in Miami vertreten. Er gehört der andorranischen Bank Mora, die ihrerseits in privatem Familienbesitz ist.

Netzwerk investigativer Journalisten hat Daten gesichtet

Inzwischen sind die im Darknet veröffentlichten Daten offenbar auch in den Besitz des internationalen Journalistenkonsortiums ICIJ gekommen, wie der Blog „Gotham City“ schreibt.

Das International Consortium of Investigative Journalists (ICIJ) ist ein globales Netzwerk investigativer Journalisten, das grenzüberschreitend zusammenarbeitet. Bekannt wurde es durch Enthüllungen wie die Panama Papers, bei denen illegale Finanzpraktiken und Steuerhinterziehung aufgedeckt wurden. Nach eigenen Aussagen ist das Ziel des ICIJ, Transparenz zu fördern und Missstände aufzudecken.

Wie „Gotham City“ weiter schreibt, sind schon die ersten Artikel in Medien erschienen, die sich auf die geleakten Daten beziehen. So beruft sich etwa ein Artikel in der französischsprachigen Tageszeitung „Le Temps“ (hinter einer Bezahlschranke) in der Schweiz auf diese Datensätze. In diesem Artikel schreibt das Blatt über das bei Boreal Capital Management verwaltete Vermögen der Ehefrau eines moldawischen Oligarchen.

Auch in der portugiesischen Tageszeitung „Expresso“ (hinter einer Bezahlschranke) erschien ein Artikel über den ehemaligen portugiesischen Minister für Öffentliche Arbeit und früheren CEO von Portugals größtem Energiekonzern Energias de Portugal (EDP), Antonio Mexia. Demnach hielt Mexia Vermögenswerte in Höhe von 5,9 Millionen Dollar in einer bislang unbekannten Offshore-Firma. Die Enthüllungen kommen zu einem Zeitpunkt, da Mexia wegen des Verdachts auf Korruption und anderer Finanzdelikte im Zusammenhang mit seiner Rolle als CEO von Energias de Portugal strafrechtlich verfolgt wird. Auch bei dieser Enthüllung stützen sich die portugiesischen Journalisten auf die geleakten Daten von Boreal Capital Management.

Hackergruppe bekennt sich zum Datenklau

Wie das Wirtschaftsportal „Tippinpoint“ berichtet, habe sich die Hackergruppe Play inzwischen zum Anschlag bekannt. Diese Gruppe verübte in der Vergangenheit immer wieder sogenannte Ransomware-Angriffe auf Unternehmen und staatliche Institutionen unter anderem in den USA, Deutschland, Argentinien, Brasilien und der Schweiz.

Die Angriffe folgen einem sogenannten „Double Extortion“-Modell: Zunächst stehlen die Hacker sensible Daten, bevor sie die Systeme ihrer Opfer verschlüsseln und Lösegeld fordern. Wenn die Opfer nicht zahlen, drohen sie mit der Veröffentlichung der Daten im Darknet.

Zu den bekanntesten Angriffen von Play gehört der Cyberangriff auf die argentinische Justizbehörde von Córdoba. Bekanntheit erlangte die Gruppe auch durch Angriffe auf die „Neue Zürcher Zeitung“ (NZZ), das Medienunternehmen „CH Media“ oder auf die deutsche Außenhandelsagentur „Germany Trade & Invest“. Weitere Ziele waren der US-amerikanische Cloud-Dienstleister Rackspace und die Stadtverwaltung von Oakland.

Die Gruppe verwendet Schwachstellen in Netzwerken, um sich Zugang zu verschaffen. Im März dieses Jahres veröffentlichte das Bundesamt für Cybersicherheit in der Schweiz eine Datenanalyse im Zusammenhang mit einem Hackerangriff von Play auf das Unternehmen XPlain. Dieses ist ein Softwareanbieter mit Verbindungen zu mehreren Regierungsbehörden, darunter die Schweizer Armee, das Bundesamt für Polizei (Fedpol) und die Schweizer Bundesbahn (SBB).

Die Sicherheitsexperten des Bundesamtes sehen in ihrer Analyse Anhaltspunkte dafür, dass die Gruppe aus Russland stammt, da die verwendeten Verschlüsselungstechniken denen von anderen aktiven russischen Randsomware-Gruppen wie Hive und Nokoyawa stark ähneln. Weiter heißt es in der Analyse, dass durch „eine selektive Nicht-Publikation gewisser Dateien versucht wurde, einen russischen Bezug zu verwischen.“