DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Habasit-Hauptsitz in Reinach bei Basel: Die Cybercrime-Bande «Conti» hat zugeschlagen.
Habasit-Hauptsitz in Reinach bei Basel: Die Cybercrime-Bande «Conti» hat zugeschlagen.
bild: KEYSTONE/Georgios Kefalas

Gefürchtete Cybercrime-Bande schlägt wieder zu – erneut trifft es eine Schweizer Firma

Das Schweizer Grossunternehmen Habasit ist ein weiteres Opfer der berüchtigten Hackergruppe «Conti». Vertrauliche Firmendokumente sind im Darknet einsehbar. Der Bund warnt Unternehmen eindringlich vor weiteren Angriffen.
30.08.2021, 06:0231.08.2021, 07:30

Schon wieder ist eine Schweizer Firma von einem Datenleck betroffen. Kriminelle haben grosse Mengen an vertraulichen Daten des Schweizer Industrie-Konzerns Habasit aus Reinach BL veröffentlicht, wie Recherchen von watson zeigen.

Der weltweit führende Hersteller von Transportbändern mit rund 3800 Angestellten und einem Umsatz von über 700 Millionen Franken wurde im Juli gehackt. Primär betroffen von der Cyberattacke ist die französische Tochtergesellschaft in Mulhouse.

Hinter dem Angriff steckt die berüchtigte Internet-Erpresserbande Conti (früher als Ryuk bekannt), die auch schon das irische Gesundheitssystem und die Technische Universität Berlin lahmgelegt hat.

Vertrauliche Firmendaten frei einsehbar

Die Angreifer erbeuteten mehrere Gigabyte an Daten, darunter Tausende teils vertrauliche Dokumente im Excel-, Word-, Powerpoint- und PDF-Format. Die gestohlenen Firmendaten wurden laut Zeitstempel Ende Juli 2021 auf der Darknet-Seite der Erpresserbande Conti veröffentlicht. Darunter finden sich auch besonders schützenswerte Daten.

  • Ersichtlich sind beispielsweise die Vergütungen der Angestellten und des Managements, Mitarbeiterbewertungen oder interne Powerpoint-Präsentationen über den Geschäftsgang.
  • Einsehbar sind Daten aus dem Rechnungswesen, etwa die Erfolgsrechnungen mehrerer Tochterfirmen, sprich Informationen, welcher Gewinn in den verschiedenen Ländern erzielt wird.
  • Auf weiteren Dokumenten figurieren die Bankangaben der Firma sowie Unterschriften des Kaderpersonals – was Betrüger auf den Plan rufen könnte.

Die Daten umfassen Dokumente aus den Jahren 2000 bis 2021. Wer sich im Internet, bzw. Darknet auch nur ein wenig auskennt, kann sie einsehen, auswerten und für weitere kriminelle Aktionen missbrauchen.

Das ganze Ausmass des Datenlecks lässt sich vorläufig weder einschätzen, noch der Schaden beziffern. Unklar ist auch, ob die vom Datenabfluss betroffen Angestellten informiert wurden. Habasit hat auf mehrere watson-Anfragen in den letzten Tagen nicht reagiert.

Erpressungs-Trojaner Conti für mindestens 444 Cyberangriffe verantwortlich

Es handelt sich gemäss den bisherigen Recherchen um eine versuchte Ransomware-Attacke. Darunter versteht man einen Cyberangriff, bei dem die Angreifer mittels Schadprogramm versuchen, die Daten oder IT-Systeme ihrer Opfer zu verschlüsseln und ein Lösegeld verlangen. Im schlimmsten Fall wird so die gesamte Produktion lahmgelegt, was bis hin zum Konkurs führen kann.

Ob in diesem Fall Daten oder IT-Systeme verschlüsselt und ein Lösegeld gefordert wurde, ist nicht bekannt. Bei anderen Ransomware-Angriffen in der Schweiz wurde «nicht selten Lösegeld in sechs oder siebenstelliger Höhe bezahlt», schreibt das Nationale Zentrum für Cybersicherheit NCSC des Bundes.

Die Internet-Erpresser nutzten für den Angriff auf Habasit offenbar die bei Kriminellen beliebte Erpressungs-Software Conti. Dabei handelt es sich um einen der aktuell aktivsten und gefährlichsten Erpressungs-, bzw. Verschlüsselungstrojaner. Die Conti-Ransomware ist für mindestens 444 Cyberangriffe verantwortlich bei denen allein in diesem Jahr mindestens 11,67 Millionen Franken (Stand Juli 2021) erpresst wurden. Die effektive Lösegeldsumme könnte weit höher liegen.

Online-Erpressung für Dummies

Die Cybercrime-Bande Conti stellt Infrastruktur, Tools und Anleitungen bereit, mit denen andere Kriminelle eigene Ransomware-Raubzüge organisieren können. «In den Handbüchern für Affiliates (Partner) beschreiben die Kriminellen minutiös, wie man ein Firmennetzwerk auskundschaftet, Zugang ausweitet und schliesslich Daten verschlüsselt», erklärt das deutsche Techportal Heise, das die Bedienungsanleitung der Hacker untersuchen konnte. Offenbar hatte zuvor ein unzufriedener Kunde der Conti-Ransomware deren Bedienungsanleitung im Netz veröffentlicht.

Wer genau für den Angriff auf Habasit verantwortlich ist, kann nicht gesagt werden, da quasi jedermann den Erpressungs-Trojaner mieten und so eigene Ransomware-Angriffe ausüben kann. Das allfällige Lösegeld wird danach zwischen Conti, welche den Ransomware-Dienst zur Verfügung stellen, und den effektiven Angreifern, aufgeteilt.

Da Unternehmen zunehmend Backups erstellen, um ihre IT-Systeme nach einem Ransomware-Angriff wieder herzustellen, sichern sich die Internet-Erpresser zusätzlich ab und verschlüsseln die Daten nicht nur, sondern stehlen sie. Letzteres ist hier offenbar passiert.

Bei einer Ransomware-Attacke drohen die Kriminellen in aller Regel damit, die erbeuteten Daten zu veröffentlichen und die besonders wertvollen Daten in einschlägigen Untergrund-Foren zu verkaufen.

Darknet-Seite der Erpresserbande Conti

Eine Drohung der Internet-Erpresserbande Conti an gehackte Unternehmen.
Eine Drohung der Internet-Erpresserbande Conti an gehackte Unternehmen.
screenshot: watson

Behörden wurden nicht informiert

Das Nationale Zentrum für Cybersicherheit NCSC des Bundes teilt auf Anfrage mit, man sei über den Vorfall nicht informiert worden. Zu beachten sei, «dass es in der Schweiz keine generelle Meldepflicht für Cybervorfälle gibt.» Die Polizei Basel-Landschaft teilt mit, dass ihnen «dieser Fall nicht bekannt» und keine Anzeige eingegangen ist.

Das NCSC hat klare Empfehlungen, was nach einem Datenabfluss zu tun ist:

«Was die Kommunikation angeht, empfiehlt das NCSC, offen, transparent und ehrlich zu sein und die Fakten zu kommunizieren. Dadurch können weitere Unternehmen vor diesen Angriffen gewarnt werden. Das NCSC rät vor allem aber dazu, betroffene Kunden, Partner und Mitarbeitende proaktiv zu informieren, damit diese die Möglichkeit haben, geeignete Massnahmen zu treffen.»
Gisela Kipfer, Medienverantwortliche NCSC

Habasit mit Hauptsitz in Reinach bei Basel ist ein 75-jähriges Familienunternehmen mit Vertretungen in über 70 Ländern. Laut unseren Recherchen erfolgte der Datendiebstahl am oder kurz vor dem 19. Juli 2021. Am 27. Juli wurden die Daten veröffentlicht. Das ist aus mehreren Gründen problematisch:

Befinden sich in den geleakten Daten schützenswerte Informationen über Dritte, können auch diese erpresst werden. Kommt hinzu: Geleakte Datensätze mit Informationen über Angestellte inklusive Angaben wie E-Mail-Adresse, Handy-Nummer, Wohnadresse und Geburtsdatum können von anderen Kriminellen für gezielte, bzw. personalisierte und somit besonders gefährliche Phishing- oder Malware-Angriffe missbraucht werden.

Auch in diesem konkreten Datenleck finden sich Listen mit Namen, E-Mail-Adressen und teils zusätzlichen Informationen, die für weitere Straftaten genutzt werden könnten.

Es handelt sich also um einen Teufelskreis: Je mehr Firmen gehackt werden und je mehr Daten abfliessen, desto einfacher werden weitere Cyberangriffe.

So bauen die Erpresser Druck auf

Die Cybercrime-Banden drohen teils auch, Kunden und Partner ihrer Opfer zu informieren, wenn kein Lösegeld bezahlt werde. Dies erhöht den Druck zu bezahlen, selbst wenn die gehackte Firma ihre Daten mittels externem Backup wieder herstellen kann.

Die Behörden raten davon ab Lösegeld zu zahlen, da dies weitere Angriffe befeuere und es keine Garantie gäbe, dass die Kriminellen den Schlüssel zur Entschlüsselung der Daten bereitstellen. Offenbar wird relativ oft trotzdem bezahlt, da inzwischen viele Unternehmen eine Cybercrime-Versicherung haben und hoffen, sich mit der Bezahlung ohne Reputationsverlust aus der Affäre zu ziehen.

Teils helfen die Kriminellen ihren Opfern gar bei der Wiederherstellung der IT-Systeme, um andere Opfer zu ermutigen, der Lösegeldforderung nachzukommen. Es liegt anscheinend im Interesse der Cybercrime-Banden, dass sich herumspricht, dass sie zuverlässige «Geschäftspartner» sind.

2021 mehr Ransomware-Angriffe: Bund warnt Schweizer Unternehmen

Allein im August wurden Ransomware-Angriffe auf die Gemeindeverwaltung von Rolle im Kanton Waadt, die Schweizer Klinikgruppe Pallas sowie die Universität Liechtenstein bekannt. Im Juli traf es unter anderem Comparis und die Westschweizer Firma Matisa, wie watson aufdeckte.

Das Nationale Zentrum für Cybersicherheit NCSC warnt Unternehmen daher einmal mehr «mit Nachdruck» vor Ransomware-Attacken. In zahlreichen Unternehmen würden die empfohlenen Massnahmen, etwa die Zwei-Faktor-Authentisierung (2FA), «nicht flächendeckend umgesetzt».

«Insgesamt sind im letzten Jahr 68 Meldungen zu Ransomware-Vorfällen beim NCSC eingegangen und in diesem Jahr 112 Meldungen», schreibt Gisela Kipfer, Medienverantwortliche des NCSC. Von der Zunahme seien nicht nur Firmen, sondern auch Private betroffen. Zu berücksichtigen sei zudem, «dass nicht jede Meldung zwingend einen gelungenen Angriff bedeutet und/oder dass finanzieller Schaden entstanden ist.»

Cyberangriffe seien ein «zunehmend signifikantes Problem für Schweizer KMU», also kleinere und mittlere Unternehmen, schreibt die Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) in einer Anfang 2021 publizierten Studie zu Cyberrisiken für KMU (PDF). «Etwa ein Drittel von ihnen war bereits Opfer von Cyberangriffen, und vier Prozent wurden infolgedessen erpresst», heisst es darin.

Laut der Umfrage bei betroffenen Unternehmen begannen die Probleme meist «mit Phishing-Angriffen, wobei Kriminelle durch Ausnutzung eines Fehlers oder Versehens seitens eines Mitarbeitenden Zugang zum IT-System gewannen.»

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

Ransomware – Angriff der Verschlüsselungstrojaner

1 / 22
Ransomware – Angriff der Verschlüsselungstrojaner
quelle: screenshot: youtube
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russische Hacker beeinflussen politische Debatten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Anonymous versetzt Corona-Leugner Attila Hildmann den finalen Schlag

Das Hackerkollektiv Anonymous will bei einem Angriff auf den Corona-Leugner über 100'000 E-Mails und Kontakte erbeutet haben. Darunter sollen Daten von Geschäftspartnern, Mitstreitern und sogar Dominas sein. Anonymous kündigt den Hack als das «Finale Kapitel» im Kampf gegen Hildmann an.

Egal ob man am Montagmorgen die Seite attilahildmann.de, attila-hildmann.de, whattheyhide.org oder eine weitere der knapp zwei Dutzend Websites besuchte, die vom Corona-Leugner und antisemitischen Hetzer Attila Hildmann betrieben werden, das Bild war immer dasselbe: Statt der Seite sahen die Besucher das Logo von Anonymous sowie ein Video mit einem programmatischen Bekenner-Text.

Darin erklären die Verfasser, dass Hildmann ihnen unfreiwillig Zugang zu seinen Telegram-Kanälen und Gruppen, …

Artikel lesen
Link zum Artikel