Rückblick zum Vorfall:
Aufgrund einer Sicherheitslücke bei einem beauftragten IT-Dienstleister gelang es einer professionell organisierten Täterschaft Anfang des Jahres auf die IT-Systeme der AK Swissmem zuzugreifen. Am 4. Januar 2025 nachts wurde dieser Cyber-Angriff durch den IT-Leiter der AK Swissmem festgestellt. Das IT-System ist daraufhin sofort gestoppt und Sofortmassnahmen sind umgehend eingeleitet worden. Noch in derselben Nacht wurde externe Unterstützung durch ein in diesem Bereich spezialisiertes Experten-Team aufgeboten, welches gemeinsam mit internen IT-Spezialisten umfassende Analysearbeiten einleitete und zusätzliche Sicherheits- und Wiederherstellungsmassnahmen vornahm. Die Spezialisten konnten die bereits erwähnte Ursache des Sicherheitsvorfalls schnell und verlässlich feststellen.
Die für ein solches Ereignis relevanten Behörden wie das Bundesamt für Cyber-Sicherheit (BACS), das Bundesamt für Sozialversicherungen (BSV) sowie der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) wurden unverzüglich informiert und deren Hinweise in die Entscheidungen miteinbezogen. Alle angeschlossenen rund 1'400 Mitgliedfirmen und über diese sämtliche der rund 200'000 Mitarbeitenden, sowie auf dem Postweg rund 60'000 Renten- und Direktleistungsbeziehende sowie Nichterwerbstätige wurden über den Vorfall informiert. Parallel zur Kommunikation wurde eine Hotline eingerichtet und auch über den internen Datenschutzberater konnten jederzeit spezifische Anfragen individuell gestellt werden.
Bei der Kantonspolizei Zürich wurde Strafanzeige erstattet, welche sofortige Ermittlungen nach der Täterschaft aufnahm. Die Spuren der Ermittlungen nach der Täterschaft führten nach Russland. Die AK Swissmem wurde auch mit finanziellen Forderungen der Täterschaft konfrontiert. Auf diese wurde nicht eingegangen. Die beim Angriff kopierten Daten wurden daraufhin wie erwartet im anonymisierten Internet veröffentlicht. Nach aktuellem Wissensstand blieb die konkrete Suche nach der Täterschaft durch die Polizei bis heute ergebnislos.
Im Rahmen der Analyse konnte der Anteil entwendeter sensitiver Daten stark eingegrenzt und betroffenen Firmen individuell informiert werden. Es kam zudem zu keinem Geldabfluss und sämtliche Renten und andere Auszahlungen sowie Abrechnungen konnten jederzeit termingerecht ausbezahlt, respektive administriert werden. Andere Systeme von Mitgliedfirmen oder Partnern waren zu keinem Zeitpunkt vom Vorfall betroffen. Zudem war es von grossem Nutzen, dass die Datensicherungs-Systeme funktionierten, eine schnelle und vollständige Datenwiederherstellung möglich war und der Betrieb nach nur drei Arbeitstagen, sowohl intern wie auch extern, wieder vollumfänglich zur Verfügung stand. Durch das schnelle und beherzte Eingreifen sämtlicher interner und externer Akteure war das Schadenausmass somit insgesamt relativ gering.
Massnahmen und aktueller Sicherheitsstandard:
Die Sicherheitsstandards der AK Swissmem waren bereits vor dem Angriff auf einem hohen Niveau. Dennoch kam es zu einem Cyber-Angriff – ein Risiko, das sich trotz hoher Sorgfalt nie vollständig ausschliessen lässt. Unmittelbar nach dem Vorfall wurden umfassende Massnahmen ergriffen, um die Sicherheitsvorkehrungen auf ein höheres Niveau zu bringen und die AK Swissmem für zukünftige Bedrohungen über die branchenüblichen Sicherheitsstandards hinaus besser aufzustellen.
Im Zusammenhang mit der IT-Systemwiederherstellung wurde ein IT-Projekt zur Umstellung auf eine digital-basierte-Lösung (Cloud) sofort umgesetzt. Diese Systemumstellung erhöht auch den IT-Sicherheitsstandard der Kernapplikation und dem Kundenportal für Mitgliedfirmen. Diese Kernapplikation ist das Herzstück der IT-Infrastruktur worüber rund 80% der Daten und Informationen administriert werden und auch archiviert sind. Die Server befinden sich innerhalb der Schweiz und werden auf verschiedenen Standorten und nach höchsten Sicherheitsstandards betrieben und überwacht. Zusätzlich sind alle Daten auf mehreren, örtlich getrennten Datensicherungs-Systemen gesichert. Der Anbieter dieser Lösung ist mehrfach international anerkannt zertifiziert.
Es wurde eine 24/7 betriebene Sicherheits-Zentrale mit dauerhafter Überwachung und automatisierter Alarmierung eingeführt, welche durchgehend von einer Person überwacht wird. Alle IT-Dienstleister wurden neu evaluiert und teilweise ausgewechselt. Wo es notwendig war, wurden gezielte zusätzliche Massnahmen ergriffen. Generell wurden die Anforderungen an unsere Dienstleister erhöht und die Überprüfungsintervalle verkürzt. Um die aufgerüstete Sicherheit der AK Swissmem in der Praxis auf die Probe zu stellen, werden jährlich umfassende Sicherheits-Tests durchgeführt. Damit werden mögliche Verbesserungen laufend erkannt, adressiert und ausgelöst. Alle Mitarbeitenden - und die IT-Mitarbeitenden im spezifischen - werden systematisch geschult und regelmässig bezüglich Sicherheitsbewusstsein für die IT-Sicherheitsthemen sensibilisiert.
Zahlreiche Rückmeldungen bestätigen uns, dass wir mit den aufgezeigten Massnahmen den Erwartungen der angeschlossenen Mitglieder und der Versicherten gerecht werden und insgesamt gestärkt aus dieser besonderen Situation hervorgehen.
Freundliche Grüsse
Ausgleichskasse Swissmem