Ein Hackerangriff auf die Berner IT-Dienstleisterin Unico Data AG zieht immer weitere Kreise. Am vergangenen Mittwoch mussten die Verantwortlichen an einer eilends einberufenen Medienkonferenz über die Cyberattacke informieren.
Unico Data betreue von Münsingen aus mit rund 75 Angestellten über 100 Kundinnen und Kunden von kleiner und mittlerer Grösse, berichtete das «Thuner Tagblatt». Diese seien schwergewichtig im Raum Bern zu Hause.
Die Folgen waren für mehrere private Firmen und staatliche Institutionen gravierend, wie Recherchen zeigen.
Im Verlauf der Woche zeigten sich die weitreichenden Konsequenzen der Ransomware-Attacke. So musste die Kinokette Pathé auf ihrer Website darüber informieren, dass der Online-Ticketverkauf bis auf Weiteres nicht möglich sei.
Die Wiederherstellung der IT-Systeme war gemäss einer Medienmitteilung vom Donnerstag «in Zusammenarbeit mit den zuständigen Behörden im Gang». Die Kommunikation per E-Mail sei vorläufig nicht möglich. Und es könnten noch keine Angaben dazu gemacht werden, wann die Systeme wieder vollumfänglich verfügbar seien.
Pathé Schweiz betreibt Kinos in Basel, Bern, Dietlikon ZH, Ebikon LU, Genf, Lausanne und Spreitenbach AG.
Betroffen ist offenbar auch der Schweizer Werkzeughersteller PB Swiss Tools. Das Traditionsunternehmen mit Sitz in Wasen im Emmental informierte auf seiner Website:
Trotz der Einschränkungen könne man die Produktion im Schichtbetrieb aufrechterhalten, versicherte die Geschäftsführerin Eva Jaisli und bat die Kundschaft um Geduld.
Auch bei der Berner Gemeinde Rüegsau herrschte in den vergangenen Tagen Ausnahmezustand. Die Verantwortlichen informierten am Dienstag, dass die EDV-Anlage der Gemeindeverwaltung ausser Betrieb sei.
Die betroffenen IT-Systeme würden «in den nächsten Tagen und Wochen sukzessive wieder hochgefahren», zitiert das «Thuner Tagblatt» den Geschäftsführer von Unico Data. Die Bevölkerung müsse sich also gedulden, bis ihre Verwaltung wieder im gewohnten Rahmen funktioniere.
Ebenfalls betroffen ist die Boess-Gruppe, wie eine Vertreterin des Unternehmens gegenüber watson bestätigte. Die auf Elektroingenieur-Leistungen spezialisierte Firmengruppe mit Sitz in Bern betreibt schweizweit 13 Standorte.
Als sogenannter «Managed Service Provider» (MSP) bedient Unico Data vor allem kleine und mittlere Unternehmen (KMU), aber auch grössere Unternehmen aller Branchen. Im Rechenzentrum des Berner IT-Dienstleisters nutzen Kunden «Software as a Service» (SaaS) aus der Cloud – doch nach dem Angriff mussten alle Systeme heruntergefahren werden.
Die Bierbrauerei Rugenbräu AG in Interlaken sowie das Depot Zollikofen waren wegen der Ransomware-Attacke nur eingeschränkt erreichbar. Auf der Website hiess es:
Von der Stilllegung der IT-Systeme betroffen war auch die Siloah-Gruppe in Gümligen, die «führende integrierte medizinische Versorgerin in der Altersmedizin in der Region Bern und deren angrenzenden Gebieten», wie es heisst.
Martin Gafner, Präsident und Delegierter des Stiftungsrates der Stiftung Siloah und Präsident des Verwaltungsrates der Siloah AG, zeigte sich auf Anfrage beeindruckt, wie die Angestellten die schwierige Situation bewältigt hätten. Die Patientensicherheit sei jederzeit gewährleistet gewesen. Und: «Wir sind bereits wieder am Testen der IT-Systeme.»
Die Institution beschäftigt an mehreren Standorten rund 870 Mitarbeitende und betreibt aktuell 95 Betten im Spitalbereich sowie rund 270 Betten im Heimbereich. Sie dürfte zu den grössten Kunden der Unico Data AG gehören.
Die Hacker- und Erpresser-Bande «Play» hat am Freitag (2. Juni 2023) auf ihrer Data-Leak-Seite im Darknet eine Mitteilung veröffentlicht, die wenig Gutes erahnen liess.
Die Cyberkriminellen spotten:
Zuvor hatte schon der Geschäftsführer von Unico Data, Vince Lehmann, gegenüber den Medien bestätigt, dass es sich um einen Ransomware-Angriff handelt.
Die bei verschlüsselten Daten entdeckte Datei-Endung «.play» ist tatsächlich ein klarer Beleg, dass es sich um die gleichnamige Bande handelt, zu deren früheren Opfern unter anderem die Firma Xplain AG sowie die Medienunternehmen NZZ und CH Media (zu dem watson gehört) zählen.
Typisch für die Cyberkriminellen: Den eigentlichen Verschlüsselungsangriff starteten sie ausserhalb der Bürozeiten, und zwar über das Pfingstwochenende. Die IT-Verantwortlichen von Unico Data bemerkten die Malware-Attacke demnach in der Nacht von Samstag, 27., auf Sonntag, 28. Mai.
Unico Data informiert auf ihrer Website über die Fortschritte bei der Eindämmung des Cyberangriffs. Dort heisst es: