Digital
Ransomware

Ransomware-Attacke auf IT-Dienstleister Unico Data: viele Betroffene

Hacker vor Bildschirm (Symbolbild).
Ein Schweizer Private-Cloud-Anbieter ist gehackt worden. Mit gravierenden Folgen.Bild: watson / Midjourney

Angriff auf Schweizer IT-Dienstleister betrifft diverse Firmen und legt Gemeinde lahm

Eine Ransomware-Attacke gegen die Berner Unico Data AG hat weitreichende Konsequenzen. Betroffen sind zahlreiche Kundinnen und Kunden, darunter die Kinokette Pathé und eine Spitalbetreiberin.
02.06.2023, 09:0102.06.2023, 20:16
Mehr «Digital»

Ein Hackerangriff auf die Berner IT-Dienstleisterin Unico Data AG zieht immer weitere Kreise. Am vergangenen Mittwoch mussten die Verantwortlichen an einer eilends einberufenen Medienkonferenz über die Cyberattacke informieren.

Unico Data betreue von Münsingen aus mit rund 75 Angestellten über 100 Kundinnen und Kunden von kleiner und mittlerer Grösse, berichtete das «Thuner Tagblatt». Diese seien schwergewichtig im Raum Bern zu Hause.

«Leider sind wir aktuell von einem Cyberangriff betroffen, welcher zu einer vorsorglichen Abschaltung aller Systeme geführt hat.»
Telefonbeantworter der IT-Dienstleisterin
am Freitagmorgen
quelle: watson

Die Folgen waren für mehrere private Firmen und staatliche Institutionen gravierend, wie Recherchen zeigen.

Kinotickets nur vor Ort erhältlich

Im Verlauf der Woche zeigten sich die weitreichenden Konsequenzen der Ransomware-Attacke. So musste die Kinokette Pathé auf ihrer Website darüber informieren, dass der Online-Ticketverkauf bis auf Weiteres nicht möglich sei.

«Aufgrund technischer Probleme ist der Verkauf von Tickets auf unserer Website und in der App aktuell eingeschränkt. Unsere Kinos sind jedoch für euch geöffnet und Tickets können vor Ort gegen Barzahlung gekauft werden (Kreditkarte/Twint nicht möglich).»
Hinweis zum Ticketkauf am Freitagmorgenquelle: pathe.ch

Die Wiederherstellung der IT-Systeme war gemäss einer Medienmitteilung vom Donnerstag «in Zusammenarbeit mit den zuständigen Behörden im Gang». Die Kommunikation per E-Mail sei vorläufig nicht möglich. Und es könnten noch keine Angaben dazu gemacht werden, wann die Systeme wieder vollumfänglich verfügbar seien.

Pathé Schweiz betreibt Kinos in Basel, Bern, Dietlikon ZH, Ebikon LU, Genf, Lausanne und Spreitenbach AG.

Bekannter Werkzeughersteller kämpft mit Problemen

Betroffen ist offenbar auch der Schweizer Werkzeughersteller PB Swiss Tools. Das Traditionsunternehmen mit Sitz in Wasen im Emmental informierte auf seiner Website:

«Seit dem Pfingstwochenende unterliegen die Rechenzentren der Unico Data AG einem Cyberangriff. PB Swiss Tools kann seither als Kunde der Unico Data AG nicht mehr auf die gehosteten Services (VDI, Mail-Exchange, Daten, Applikationen) zugreifen, was den direkten schriftlichen Kontakt mit unseren Anspruchsgruppen einschränkt, den Zugriff auf Daten und interne Programme aktuell verunmöglicht.»
quelle: pbswisstools.com
Hinweis auf der Website der Firma PB Swiss Tools zu einem IT-Sicherheitsvorfall. (2. Juni 2023). Die Ransomware-Bande Play hat den IT-Dienstleister des Werkzeugherstellers attackiert und dessen Infras ...
Das Unternehmen weist transparent auf den Cyberangriff hin. Dahinter steckt die Ransomware-Bande Play.Screenshot: pbswisstools.com

Trotz der Einschränkungen könne man die Produktion im Schichtbetrieb aufrechterhalten, versicherte die Geschäftsführerin Eva Jaisli und bat die Kundschaft um Geduld.

Gemeindeverwaltung lahmgelegt

Auch bei der Berner Gemeinde Rüegsau herrschte in den vergangenen Tagen Ausnahmezustand. Die Verantwortlichen informierten am Dienstag, dass die EDV-Anlage der Gemeindeverwaltung ausser Betrieb sei.

«Das EDV-Rechenzentrum der Gemeindeverwaltung ist derzeit von einem Betriebsunterbruch betroffen. (...) Die Dienstleistungen der Verwaltung sind damit sehr eingeschränkt, insbesondere können auch keine E-Mails empfangen, beantwortet oder versendet werden.»
quelle: ruegsau.ch

Die betroffenen IT-Systeme würden «in den nächsten Tagen und Wochen sukzessive wieder hochgefahren», zitiert das «Thuner Tagblatt» den Geschäftsführer von Unico Data. Die Bevölkerung müsse sich also gedulden, bis ihre Verwaltung wieder im gewohnten Rahmen funktioniere.

«Einen oder zwei Tage können wir einen solchen Ausfall überbrücken. Dann wird es schwierig.»
Gemeindeschreiber Bernhard Liechtiquelle: «thuner tagblatt»

Elektro-Engineering-Gruppe bestätigt Angriff

Ebenfalls betroffen ist die Boess-Gruppe, wie eine Vertreterin des Unternehmens gegenüber watson bestätigte. Die auf Elektroingenieur-Leistungen spezialisierte Firmengruppe mit Sitz in Bern betreibt schweizweit 13 Standorte.

Spitalbetreiberin und Bierbrauerei betroffen

Als sogenannter «Managed Service Provider» (MSP) bedient Unico Data vor allem kleine und mittlere Unternehmen (KMU), aber auch grössere Unternehmen aller Branchen. Im Rechenzentrum des Berner IT-Dienstleisters nutzen Kunden «Software as a Service» (SaaS) aus der Cloud – doch nach dem Angriff mussten alle Systeme heruntergefahren werden.

Die Bierbrauerei Rugenbräu AG in Interlaken sowie das Depot Zollikofen waren wegen der Ransomware-Attacke nur eingeschränkt erreichbar. Auf der Website hiess es:

«Die IT-Probleme haben zur Folge, dass die über das Internet aktiven Leitungen unterbrochen sind. Es sind dies die Telefonleitungen sowie der E-Mail-Verkehr und das Bestellsystem Drinkline. Wir informieren Sie umgehend, wenn die Panne behoben ist.»

Von der Stilllegung der IT-Systeme betroffen war auch die Siloah-Gruppe in Gümligen, die «führende integrierte medizinische Versorgerin in der Altersmedizin in der Region Bern und deren angrenzenden Gebieten», wie es heisst.

Martin Gafner, Präsident und Delegierter des Stiftungsrates der Stiftung Siloah und Präsident des Verwaltungsrates der Siloah AG, zeigte sich auf Anfrage beeindruckt, wie die Angestellten die schwierige Situation bewältigt hätten. Die Patientensicherheit sei jederzeit gewährleistet gewesen. Und: «Wir sind bereits wieder am Testen der IT-Systeme.»

Die Institution beschäftigt an mehreren Standorten rund 870 Mitarbeitende und betreibt aktuell 95 Betten im Spitalbereich sowie rund 270 Betten im Heimbereich. Sie dürfte zu den grössten Kunden der Unico Data AG gehören.

Wer sind die Angreifer?

Die Hacker- und Erpresser-Bande «Play» hat am Freitag (2. Juni 2023) auf ihrer Data-Leak-Seite im Darknet eine Mitteilung veröffentlicht, die wenig Gutes erahnen liess.

Ransomware-Attacke gegen Berner IT-Dienstleisterin Unico Data betrifft unter anderem die Kinokette Pathé.
Auf ihrer Data-Leak-Seite im Darknet behaupten die Kriminellen, sie hätten 2,8 Terabyte an Daten gestohlen, und drohen mit der Veröffentlichung.Screenshot: watson

Die Cyberkriminellen spotten:

«Nachdem wir in das Unternehmen Unico eingeführt wurden, haben wir die Dateien der Organisationen, denen es dient, bearbeitet und mitgenommen. Private und persönliche vertrauliche Daten, Kunden- und Mitarbeiterunterlagen, Pässe, Verträge und vieles mehr.»
quelle: darknet / aus dem englischen übersetzt

Zuvor hatte schon der Geschäftsführer von Unico Data, Vince Lehmann, gegenüber den Medien bestätigt, dass es sich um einen Ransomware-Angriff handelt.

«Im Moment haben wir unser gesamtes Rechenzentrum vom Netz getrennt. Wir werden es erst wieder ans Netz anschliessen, wenn wir sicher sind, dass wir dies machen dürfen.»
quelle: netzwoche.ch

Die bei verschlüsselten Daten entdeckte Datei-Endung «.play» ist tatsächlich ein klarer Beleg, dass es sich um die gleichnamige Bande handelt, zu deren früheren Opfern unter anderem die Firma Xplain AG sowie die Medienunternehmen NZZ und CH Media (zu dem watson gehört) zählen.

Typisch für die Cyberkriminellen: Den eigentlichen Verschlüsselungsangriff starteten sie ausserhalb der Bürozeiten, und zwar über das Pfingstwochenende. Die IT-Verantwortlichen von Unico Data bemerkten die Malware-Attacke demnach in der Nacht von Samstag, 27., auf Sonntag, 28. Mai.

Unico Data informiert auf ihrer Website über die Fortschritte bei der Eindämmung des Cyberangriffs. Dort heisst es:

«Wir arbeiten an der raschen Wiederherstellung sämtlicher Services. Die Hotline ist im Moment deaktiviert, damit alle Ressourcen der Behebung gewidmet werden können.»
Ebenfalls betroffen?
Das ganze Ausmass des Cyberangriffs gegen die Unico Data AG lässt sich derzeit nur schwer abschätzen. watson nimmt Hinweise zu weiteren betroffenen Organisationen und Unternehmen entgegen. Schreib Digitalredaktor Daniel Schurter per E-Mail oder über die sichere Schweizer Messenger-App Threema. Seine Threema-ID lautet: ACYMFHZX. Alle Hinweise werden vertraulich behandelt.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
So läuft eine Ransomware-Attacke ab
1 / 17
So läuft eine Ransomware-Attacke ab
2021 machte watson publik, dass die am Genfersee gelegene Waadtländer Gemeinde Rolle von einem massiven Daten-Leak betroffen war – die Folge einer Ransomware-Attacke. In dieser Bildstrecke erfährst du, wie ein solcher Hackerangriff abläuft. Die wenigsten Leute wissen, was kriminelle Eindringlinge in fremden IT-Systemen so alles treiben.
Auf Facebook teilenAuf X teilen
16 Dinge, die die Generation Z (vermutlich) nicht mehr versteht
Video: watson
Das könnte dich auch noch interessieren:
31 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
31
Ukraine-Friedenskonferenz – «Das Risiko, das die Schweiz eingeht, ist berechtigt»
Cyberangriffe auf kritische Infrastruktur, Attacken auf Teilnehmende der Friedenskonferenz: Die Schweiz müsse für alles gewappnet sein, sagen ein Experte für Cybersicherheit und ein Nationalrat der SVP.

Es ist ein Anlass der Superlative: die Ukraine-Friedenskonferenz, die am kommenden Wochenende auf dem Nidwaldner Bürgenstock stattfindet.

Zur Story