Interne Dokumente der Saurer Group sind im Darknet zugänglich: Der aus dem Schweizer Traditionsunternehmen hervorgegangene Technologie-Konzern ist offenbar von einem Datendiebstahl unbekannten Ausmasses betroffen.
Tausende Dateien sind von einer relativ unbekannten Ransomware-Bande namens «KARMA» veröffentlicht worden. Weitere Leaks könnten folgen.
Bei der Saurer Group handelt sich um eines der bis dato bekanntesten und grössten Opfer von Ransomware-Attacken. Der Konzern hat einen Jahresumsatz von über einer Milliarde Franken und weltweit fast 5000 Angestellte.
Peter Trinkl, Chief Strategy Officer und Chief Information Officer bei der Saurer Group, hat am Donnerstagmorgen gegenüber watson den ersten von zwei Hackerangriffen bestätigt. «Wir waren um den 1. August herum von einer Ransomware-Attacke betroffen», sagte der Manager am Telefon. Von der Veröffentlichung im Darknet kenne er hingegen noch keine Details.
Der Hackerangriff, bzw. die Attacke, habe primär in Deutschland (in den dortigen Rechenzentren) stattgefunden. Darum seien auch die in Deutschland zuständigen Behörden informiert worden, namentlich die Polizei sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Es seien «einige, aber nicht alle Systeme betroffen» gewesen, sagt der Saurer-Manager. Das Unternehmens-Netzwerk sei während vier Tagen isoliert worden – und dann nach einem «Clean-Up» wieder Server für Server aufgeschaltet worden.
Am 26. August sei der Angriff in einer zweiten Welle fortgesetzt worden, ergänzte Saurer auf Anfrage der Nachrichtenagentur AWP. Welche Daten genau betroffen sind, werde gegenwärtig untersucht.
«Wir haben kein Lösegeld bezahlt», betont Trinkl gegenüber watson. «Die Polizei hat uns dringend geraten, auf die Mitteilungen der Erpresser nicht einzugehen.» Die Ransomware-Bande verlangte laut NZZ 500'000 Dollar.
Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern.
Die Recherchen zeigen, dass sich unter dem zur Saurer Group geleakten Material zahlreiche Exceltabellen, Mitarbeiterlisten und Finanzdokumente befinden.
Ob alle vom Datenabfluss betroffen Angestellten, Kunden und Geschäftspartner gewarnt wurden, ist nicht bekannt.
Die Kriminellen begannen am Mittwoch damit, erste Dateien im Darknet zu veröffentlichen, wie die IT-Sicherheitsfirma DarkTracer via Twitter informierte. Es handelte sich zunächst um eine Datenmenge von über 10 Gigabyte.
Die Ransomware-Attacke auf Saurer könnte auch unangenehme Folgen für den Winterthurer Spinnereimaschinenhersteller Rieter haben, der im August Geschäftsteile von Saurer übernommen hat. «Da wir den Umfang der Daten noch untersuchen, können wir hierzu keine Aussage machen», sagte Saurer gegenüber der Nachrichtenagentur AWP. Auch seitens Rieter hiess es, dass der Sachverhalt erst geklärt werden müsse.
Zu Karma ist relativ wenig bekannt. Der erste Eintrag auf der von der Gruppierung betriebenen Darknet-Leak-Site datiert vom 22. Mai 2021. Die ersten Veröffentlichungen von Opfer-Daten erfolgten am Mittwoch, 1. September.
An ihre Opfer gerichtet lassen die unbekannten Kriminellen auf ihrem Darknet-Blog verlauten:
Als zweites (angebliches) Opfer wird im Karma-Leaks-Blog die kalifornische Firma Align Technology aufgeführt. Dabei handelt es sich um ein noch grösseres Industrieunternehmen mit einem Jahresumsatz von fast 2,5 Milliarden Dollar.
Die Kriminellen kündigen auf ihrem über die Anonymisierungs-Software Tor erreichbaren Blog zudem an, sie hätten ein weiteres Grossunternehmen gehackt und wollten gestohlene Dokumente veröffentlichen: «Das nächste Leak wird das eines milliardenschweren Kosmetik- und Parfümunternehmens sein», drohen sie an.
Kürzlich machte watson einen Hackerangriff auf das Schweizer Industrieunternehmen Habasit publik. Auch beim Weltmarktführer für Transportbänder und Antriebsriemen veröffentlichten die Angreifer Daten im Darknet. Die betroffene Unternehmensführung gab keine Stellungnahme ab.
Hinter der Habasit-Attacke steckte die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon die Server des irischen Gesundheitssystems sowie die Technische Universität Berlin lahmgelegt hatten.
Saurer wurde 1853 in Arbon TG von Franz Saurer als Eisengiesserei gegründet. In den 1990er-Jahren entwickelte sich das Unternehmen zum grössten Textilmaschinenbauer der Welt. Heute zählt der Konzern 4200 Angestellte weltweit.
2007 wurde Saurer an OC Oerlikon verkauft, 2013 an die chinesische Jinsheng-Gruppe. Diese brachte Saurer in Schanghai an die Börse, ist aber weiterhin grösste Aktionärin.
«Pandemie, Logistikprobleme, Schrumpfung der Weltwirtschaft, Zurückhaltung der Textilindustrie bei Investitionen – 2020 ist Saurer in mancherlei Hinsicht das Geschäft vermiest worden», kommentierte das Schweizer «Tagblatt».
Am grössten ist Saurer ausser in China in Deutschland, hatte dort allerdings mit grossen finanziellen Schwierigkeiten zu kämpfen. Zuletzt sorgte der Konzern mit zwei Firmen-Verkäufen an den Winterthurer Textilmaschinenhersteller Rieter für Schlagzeilen. Mit dem Zufluss dieser Mittel sollen die finanziellen Probleme in Deutschland gelöst werden.
Bekannte Opfer von Ransomware-Attacken hierzulande sind der Internet-Vergleichsdienst Comparis, der Aargauer Pharmazulieferer Siegfried, der Thurgauer Zugkonstrukteur Stadler Rail, die Privatklinikgruppe Pallas und die Waadtländer Firma Matisa, Spezialistin für Gleisbaumaschinen.
Betroffen waren aber auch schon die Swatch Group, der Helikopterhersteller Kopter, das Elektrounternehmen Huber + Suhner sowie die Hirslanden-Gruppe.
Rund 80 Prozent der beim Nationalen Zentrum für Cybersicherheit (NCSC) eingegangen Meldungen betrafen laut dem letzten Halbjahresbericht kleine und mittlere Unternehmen (KMU). Da es in der Schweiz bislang keine Meldepflicht für Cybersecurity-Vorfälle gibt, dürfte die Zahl der erfolgreichen Angriffe deutlich höher liegen, schreibt inside-it.ch.
Dann sind CH-Firmen plötzlich keine attraktiven Ziele mehr.