Cyber Incident Victim: Canton du Valais
Date:
May 2025
Location:
Switzerland
Summary
The canton's website was taken offline after unknown cybercriminals launched an attack that temporarily gave them extensive rights over the site. No data theft or misuse has been detected, and investigators have found no evidence that the attackers altered the site or penetrated other government systems. The cantonal IT service, website administrators and external partners have been mobilized to monitor the situation and work toward restoring the site safely. Authorities have stated that this is the first incident of this scale they have faced and that no group has claimed responsibility.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 2 motives | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Unbekannte Cyberkriminelle haben am Donnerstagnachmittag den Internetauftritt des Kantons Wallis unter der Domain vs.ch angegriffen und die Website anschließend als Vorsichtsmaßnahme deaktiviert. Die Kantonsverwaltung bestätigte über die Social‑Media‑Plattform X, dass bislang kein Diebstahl oder Missbrauch von Daten festgestellt worden sei. Claude‑Alain Berclaz, Leiter der kantonalen Dienststelle für Informatik, erklärte gegenüber Keystone‑SDA, dass die Angreifer vorübergehend über weitreichende Rechte verfügt hätten, die es ihnen theoretisch ermöglicht hätten, Änderungen auf der Website vorzunehmen, jedoch sei bislang keine solche Änderung beobachtet worden. Es hat sich niemand zu dem Angriff bekannt, und Berclaz bezeichnete den Vorfall als den ersten Angriff dieser Grössenordnung gegenüber dem Kanton. Ob es sich dabei um einen Hackerangriff im Rahmen einer Ransomware‑Operation handelt, blieb laut den Verantwortlichen unbekannt. Die offizielle Bestätigung des Angriffs seitens der Kantonsverwaltung wurde als beunruhigend beschrieben, wobei betont wurde, dass die Hacker nur vorübergehend Zugang erhalten hatten und dass keine weiteren Systeme des Staates Wallis betroffen seien.
Gemäß ersten Erkenntnissen, die in einer Medienmitteilung des Kantons Wallis dargestellt wurden, ermöglichten die Angriffe kein Eindringen in andere Informatiksysteme des Staates, und die internen operativen Tätigkeiten blieben unbeeinträchtigt. Die Untersuchungen wurden laut Mitteilung am Donnerstagabend und in der Nacht fortgesetzt, wobei die Kantonsverwaltung die offizielle Mitteilung auf LinkedIn veröffentlichte und zugleich per E‑Mail an ausgewählte Redaktionen versandte. Der kantonale Informatikdienst (KDI), die Verantwortlichen der Website sowie externe Fachpartner wurden mobilisiert, um die Entwicklung der Lage zu verfolgen und die weiteren Schritte zu koordinieren. Es wurde betont, dass das Ziel darin besteht, die Website so schnell wie möglich wieder in Betrieb zu nehmen, ohne dabei irgendwelche Risiken einzugehen, und dass die Arbeiten unter kontinuierlicher Beobachtung der Sicherheitslage erfolgen.
Die Reaktion des Kantons konzentrierte sich darauf, die Website vs.ch nach Abschluss der notwendigen Sicherheitsprüfungen wiederherzustellen, wobei ausdrücklich darauf hingewiesen wurde, dass keinerlei Datenkompromisse festgestellt worden seien. Die Verantwortlichen erklärten, dass die Deaktivierung der Website ausschließlich als precautionary measure erfolgt sei und dass der Betrieb nach Wiederherstellung unter strenger Überwachung stehen würde. Die weiteren Ermittlungen sollten Aufschluss darüber geben, wie die Angreifer vorübergehend die weitreichenden Rechte erlangt hatten und welche Maßnahmen zukünftig erforderlich seien, um ähnliche Vorfälle zu verhindern. Die Kommunikationsstrategie umfasste die Veröffentlichung von Updates über offizielle Kanäle, um die Öffentlichkeit und die Medien über den aktuellen Stand zu informieren. Alle getroffenen Schritte stützten sich ausschließlich auf die bestätigten Fakten aus den Mitteilungen der Kantonsverwaltung und den Aussagen von Claude‑Alain Berclaz.