Ein Ransomware-Angriff ist eine Cyberattacke, bei der Angreifer mittels Schadsoftware die Daten ihrer Opfer verschlüsseln, um ein Lösegeld (englisch: «ransom») zu erpressen.
bildmontage: watson
Im Schatten der Corona-Pandemie tobt die Cybercrime-Pandemie. Von der Öffentlichkeit meist unbemerkt werden Schweizer Unternehmen gehackt, erpresst und erbeutete Daten im Darknet gehandelt. Die viel zu lange Liste der neusten Hacking-Opfer.
26.01.2022, 05:2807.02.2022, 08:51
Folge mir
Folge mir
«Das ist ein Überfall!»
So beginnt für gewöhnlich ein Bankraub.
Für organisierte Cybercrime-Banden weit weniger riskant, dafür lukrativer, ist ein digitaler Angriff auf Unternehmen, Behörden und – besonders hinterhältig – Spitäler. Fast jede zweite Cyberattacke hing 2021 mit Ransomware zusammen, sprich Angriffen von Erpressungshackern. Oft werden Daten gestohlen, verschlüsselt, ganze IT-Systeme lahmgelegt und ein Lösegeld verlangt. Andernfalls, so die Drohung, werden die erbeuteten Daten verkauft oder veröffentlicht.
Die ersten Online-Angriffe mit Verschlüsselungstrojanern vor über zehn Jahren waren noch relativ harmlos, inzwischen sind sie eine der gefährlichsten Cyberbedrohungen, die Firmen und Behörden für Tage oder Wochen ausser Gefecht setzen können.
Das Jahr 2022 ist noch jung. Dennoch gibt es bereits wieder gewichtige Opfer:
Dazu gesellen sich schwere Sicherheitslücken im Kundenportal des Schwarzfahrer-Registers «ticketcontrol.ch» für ÖV-Kunden, im Schweizer Organspende-Register von Swisstransplant sowie das Datenleck bei der SBB (Swisspass-Daten offen einsehbar).
Doch welche Schweizer Firmen, Organisationen und Gemeinden wurden 2021 gehackt? Unsere erschreckend lange Liste gibt eine Übersicht. So eindrücklich sie sein mag, sie zeigt nur die Spitze des Eisberges, da die Schweiz bislang keine generelle Meldepflicht bei Cyberangriffen kennt.
Schweizer Hacking-Opfer 2021: Die Chronologie
Hacking-Opfer? Ruag Space ist die Raumfahrt-Division des Schweizer Technologiekonzerns Ruag.Bild: keystone
Das SRF berichtet über IT-Schwachstellen beim Schweizer Rüstungs- und Technologiekonzern Ruag.Video: SRF
- April: Die Hacker-Gruppe «Conti» verschlüsselt die Daten des Storen-Hersteller Griessers im thurgauischen Aadorf, legt die Produktion lahm und fordert «mehrere Millionen Franken» Lösegeld. Griesser gibt den Erpressern laut Eigenaussage nicht nach.
- April: Hacker dringen in die Systeme des IT- und Hosting-Unternehmens Online Consulting in Wil ein. Die Webseiten der Kunden, darunter jene von Kanton und Stadt St.Gallen, sind temporär offline.
Im Darknet zugängliche Dateiverzeichnisse der Westschweizer Gemeinde Rolle.screenshot: watson
- Mai: Die Ransomware-Bande «Vice Society» dringt in das Computer-Netzwerk der Westschweizer Gemeinde Rolle VD ein und lässt heimlich Dutzende Gigabyte an Daten abfliessen. Der massive Datendiebstahl wird im August durch watson publik gemacht, nachdem sensible Informationen während länger Zeit im Darknet zugänglich waren.
- Mai: Hacker schleusen einen Verschlüsselungstrojaner ins Unternehmensnetzwerk des Pharmazulieferers Siegfried in Zofingen AG ein. Das Unternehmen muss die Produktion, darunter auch die Impfstoffabfüllung, mehrere Tage herunterfahren.
- Juni: Die Daten tausender spanischer Kundinnen und Kunden der Zurich Versicherung werden gestohlen und ab Oktober im Darknet angeboten. Die Lücke wird rasch geschlossen, aber in der Schweiz wird der Datendiebstahl nicht kommuniziert.
Ein Krimineller versucht erbeutete Daten spanischer Zurich-Kunden im Darknet zu verkaufen.bild: via @ransomwaremap 
Gemäss Zeitangabe auf der Darknet-Webseite erfolgte die Veröffentlichung der Comparis-Firmendaten am 12. Juli 2021.screenshot: watson
- Juli: Der Industriekonzern Habasit aus Reinach BL wird Opfer der Hackergruppe «Conti». Vertrauliche Firmendokumente sind im Darknet einsehbar, wie watson-Recherchen zeigen. Ersichtlich sind die Vergütungen der Angestellten und des Managements, Mitarbeiterbewertungen, interne PowerPoint-Präsentationen über den Geschäftsgang und Daten aus dem Rechnungswesen. Die Unternehmensführung meldet den Vorfall weder Bund noch Kantonspolizei (Meldungen sind bislang freiwillig) und gibt keine Stellungnahme ab.
Habasit mit Hauptsitz in Reinach bei Basel ist Weltmarktführer für Transportbänder und Antriebsriemen.
bild: keystone/georgios kefalas
- Juli: Matisa, ein Westschweizer Hersteller von Gleisbaumaschinen, steht im Fadenkreuz von Internet-Erpressern. Auch hier werden Daten gestohlen und verschlüsselt. watson-Recherchen zeigen, dass die Firma wie Comparis von der Hackergruppe «Grief» erpresst wird. Später werden Firmendaten im Darknet veröffentlicht.
- Juli: Der Haushaltsgerätehersteller V-Zug wird Ziel einer Cyberattacke. Es seien keine «Betriebsbeeinträchtigungen oder Schäden» entstanden, sagt die Firma.
- Juli: Hacker legen für mehrere Tage die IT-Systeme der Pallas-Klinik-Gruppe lahm. Pallas verweigert die Auskunft darüber, ob ein Lösegeld bezahlt wurde. Bereits im Sommer 2020 wurde die private Spitalkette Hirslanden Opfer einer Ransomware-Attacke.
- August: Exceltabellen, Mitarbeiterlisten und Finanzdokumente der Saurer Group sind im Darknet zugänglich, wie watson-Recherchen zeigen. Der Technologie-Konzern Saurer wird um den 1. August herum von einer Ransomware-Attacke getroffen, am 26. August erfolgt ein zweiter Angriff. Die Erpresser verlangen 500'000 Dollar Lösegeld. Saurer bezahlt laut Eigenaussage nicht. Der Textilmaschinenhersteller hat einen Jahresumsatz von über einer Milliarde Franken und weltweit fast 5000 Angestellte.
Die von den Angreifern gegen Saurer eingesetzte Schadsoftware blockiert den Zugriff auf Dateien, indem sie diese verschlüsselt. Ausserdem benennt sie alle Dateien um, indem sie die Erweiterung «.KARMA» an den Dateinamen anhängt. Die Lösegeldforderung ist in einer Textdatei («KARMA-ENCRYPTED.txt») enthalten.screenshot: pcrisk.com
- August: Hacker erbeuten bis zu 1500 Datensätze aus Kontakt- und Gewinnspielformularen der Neuenburger Kantonalbank. Die Angreifer nutzen eine Schwachstelle in der Webseite der Bank aus. Die E-Banking-Plattform ist nicht tangiert.
- August: Hacker legen die IT-Systeme der Corvatsch AG lahm. Der Gondelbetrieb ist durch den Hackerangriff nicht beeinträchtigt, heisst es.
- Augst: Beim Angriff auf die Webseite der Schifffahrtsgesellschaft Genf werden Kreditkartendaten von Kundinnen und Kunden erbeutet.
- August: Erpressungs-Hacker veröffentlichen im Darknet über 3 GB an internen Daten einer Treuhandfirma aus dem Kanton Zürich (Name der Redaktion bekannt). Die Unternehmensführung gibt keine Stellungnahme ab.
- August: Die gleiche Erpresser-Bande veröffentlicht im Darknet Daten einer Schreinerei aus der Innerschweiz (Name der Redaktion bekannt). Die Firma reagiert auf eine Anfrage von watson nicht.
- August: Die EasyGov-Plattform des Bundes wird gehackt: Unbekannte erbeuten eine Liste mit rund 130'000 Corona-Kreditbezügern. Der Datenabfluss wird erst im Oktober publik.
Hackern gelingt es, eine Liste mit Namen von bis zu 130'000 Unternehmen zu entwenden, die über die Bundesplattform Easygov einen Covid-19-Kredit beantragt haben.Bild: keystone
- September: Suisse Velo, Anbieterin der «Suisse Velo Vignette», wird gehackt. Die Täter erbeuteten rund 30'000 E-Mail-Adressen und Passwörter.
- September: Hacker dringen ins Informatiksystem des Alters- und Pflegeheim «Maison De Vessy» im Kanton Genf ein, in dem die medizinischen und persönlichen Daten der Heimbewohner gespeichert sind. Die Cyberkriminellen fordern ein Lösegeld, das laut Heimleitung nicht bezahlt wurde.
Selbst vor Pflegeheimen machen die Erpresser nicht halt.
- September: Das Schweizer Filmarchiv Cinémathèque suisse wird gehackt und Opfer eines Erpressungsversuchs. Server inklusive E-Mail-System fallen aus, aber die digital archivierten Filme werden separat gesichert und sind nicht betroffen.
- Oktober: Das Casinotheater Winterthur wird Opfer einer Ransomware-Attacke. Betroffen sind das E-Mail- und das Reservationssystem für das Restaurant. In einem auf dem Server hinterlassenen Erpresserschreiben fordern die Täter Geld für die Freigabe der Daten.
- Oktober: Die Verwaltung von Montreux wird Opfer eines Ransomware-Angriffs. Die Informatiksysteme der Stadt fallen für neun Tage aus.
- Oktober: Der Schokoladenhersteller Camille Bloch wird gehackt.
- Oktober: Hacker legen das IT-System der Messeveranstalterin MCH Group, Betreiberin der Kunstmesse Art Basel, für über eine Woche lahm. Beim Hack werden vermutlich persönliche Kundendaten gestohlen. Die Kundendatei der Art Basel ist ein Who-is -who der Kunstwelt.
- Oktober: Steuerunterlagen von Schweizer Bürgern und Unternehmen tauchen im Darknet auf. Betroffen sind Kunden einer Treuhandfirma aus dem Kanton Schwyz, die zuvor gehackt und erpresst wurde (Name der Redaktion bekannt).
- Oktober: Erpressungs-Hacker veröffentlichen Firmendaten der Rudolf Reust AG, einem Gemüsegrosshändler aus Zürich. Die Firma äussert sich nicht zum Vorfall.
- Oktober: Hacker verschaffen sich Zugriff auf die E-Mail-Konten von Mitarbeitenden der Gemeinde Mellingen im Aargau.
- Das Treuhandbüro GRF in Morges VD wird Opfer eines Cyberangriffs. Die Firma arbeitet für rund ein Dutzend Gemeinden. Die Hacker fordern ein Lösegeld von 180'000 bis 200'000 Franken. Laut GRF wird kein Lösegeld bezahlt.
- Hacker verschlüsseln auf den Servern des Luxushotels Waldhaus in Flims Daten zu Gästen, Mitarbeitenden und Geschäftspartnern und fordern ein Lösegeld. Das Hotel sagt, man sei nicht auf die Forderung eingegangen.
- November: Media Markt wird Opfer der Ransomware-Bande «Hive». Betroffen sind rund 1000 Filialen in 13 Ländern, darunter 25 Elektronikmärkte in der Schweiz. Kreditkartenzahlungen oder das Ausstellen von Quittungen kann mehrere Tage nur eingeschränkt ausgeführt werden. Die Erpresser verlangen angeblich 50 Millionen Dollar Lösegeld, um die verschlüsselten Daten wieder freizugeben.
Das Erpresser-Schreiben der Mediamarkt-Hacker
Böses Erwachen für Mediamarkt-Angestellte im November: Ein Verschlüsselungstrojaner befällt Kassen- und Warenwirtschaftssystem. screenshot: bleepingcomputer - November: Ein Hackerangriff auf Bucher Industries legt die Produktion des Maschinen- und Fahrzeugbauers in elf Ländern temporär lahm. Der Konzern aus Niederweningen ZH beschäftigt weltweit 11'000 Arbeitnehmende und erwirtschaftet einen Umsatz von 2,7 Milliarden Franken.
- November: Der Westschweizer Buchverlag Slatkine wird gehackt und Firmendaten werden verschlüsselt. Die Erpresser drucken ihre Lösegeldforderung, mehrere zehntausend Franken, auf sämtlichen Druckern der Firma aus. Slatkine bezahlt das Lösegeld.
Der Slatkine-Chef erklärt, warum seine Firma das Lösegeld bezahlt hat. Video: SRF
- November: Hacker veröffentlichen vertrauliche Firmendaten der Gröflin AG im Darknet. Das Unternehmen ist im Autoteile- sowie Zubehör- und Tuningmarkt im Oberbaselbiet tätig.
- Dezember: Der Lebensmittel-Grosshändler CultureFood aus Fribourg wird gehackt. Der Händler beliefert zahlreiche Läden und Restaurants in der Westschweiz. Es kommt zu Lieferunterbrüchen.
- Dezember: Der Immobilienkonzern DBS Group (Domicim) aus Lausanne wird Opfer einer Erpresserbande. Sie verschlüsselt Firmendaten und fordert ein Lösegeld. Mehr als 700 Mitarbeitende haben tagelang keinen Zugriff auf E-Mails.
- Dezember: Bei der Vermögensverwaltungs-Gruppe Aquila aus Zürich verschlüsselt ein Erpressungstrojaner kurz vor Weihnachten diverse IT-Systeme. «Die Hacker konnten dank einer gestohlenen Identität über ein Fernzugriff-Tool ins System eindringen», berichtet inside-it.ch. Die Kriminellen drohen 1,7 Terabyte an angeblich gestohlenen Daten zu veröffentlichen. Die Wiederherstellung der Systeme dauert bis zu sechs Wochen.
Die Liste ist nicht abschiessend. 161 Opfer von Erpresserbanden haben sich 2021 beim Bund gemeldet, rund zweieinhalb Mal mehr als im Vorjahr. Die Dunkelziffer liegt weit höher.
«30 bis 50 Prozent der Firmen zahlen Lösegeld.»
Steven Meyer, Geschäftsführer der Genfer Cybersicherheitsfirma Zendatasrf Wer Lösegeld zahlt, wird Teil des Problems
Zwischen August 2020 und August 2021 sollen professionelle Ransomware-Gangs Daten von 2694 Schweizer Unternehmen gestohlen und ins Darknet gestellt haben, berichtete der «Beobachter» im Oktober. Nicht eingerechnet darin sei «die Anzahl Angriffe, bei denen die erpressten Firmen Lösegeld für die Entschlüsselung ihrer Daten bezahlten».
Der IT-Sicherheitsexperte Steven Meyer verhandelt im Auftrag von Ransomware-Opfern mit Kriminellen. Nach seiner Erfahrung zahlen 30 bis 50 Prozent der Firmen Lösegeld, sagt er im Interview mit dem SRF.
Produktionsausfälle können rasch viel teurer als die Lösegeldforderung werden. Nicht selten zahlen die Opfer daher – insbesondere wenn auch die Sicherungskopien verschlüsselt sind – um die IT-Systeme und somit die Produktion schnellstmöglich wieder in Gang zu bekommen oder weil ein Reputationsverlust befürchtet wird. Doch selbst mit Back-ups kann die Wiederherstellung und Absicherung der IT-Systeme mehrere Wochen oder gar Monate dauern.
Können die Angreifer glaubhaft machen, dass sie sensible, vertrauliche oder strategische Informationen erbeutet haben, steigt die Bereitschaft auf ihre Forderungen einzugehen. Dies ist etwa der Fall, wenn durch die Veröffentlichung andere Menschen einen Schaden erleiden oder in Gefahr kommen, beispielsweise bei Anwaltsbüros, Ärzten oder humanitären Organisationen wie dem Roten Kreuz. Beim IKRK wurden zuletzt vertrauliche Informationen von mehr als 515'000 besonders schutzbedürftige Menschen kompromittiert.
Das Nationale Zentrum für Cybersicherheit (NCSC) rät in der Regel eindringlich davon ab, auf die Forderungen der Erpresserbanden einzugehen. Wer zahlt, macht sich zum Komplizen einer schnell wachsenden kriminellen Industrie. Problematisch ist daher, wenn Versicherungen nicht nur den Schaden abdecken, sondern gar das Lösegeld.
Das Fazit
Die Ransomware-Mafia existiert, weil es zu viele leichte Opfer gibt, die schnelle Beute versprechen. Die Angriffe richten sich gegen Gemeinden, Organisationen und Unternehmen aus allen Branchen und jeder Grösse. Die meisten Angreifer interessiert nicht, ob das Opfer ein internationaler Konzern oder ein KMU ist, ob es sich um eine Millionenmetropole oder eine kleine Schweizer Gemeinde handelt. Für die Täter ist die Aussicht auf schnellen Profit mit wenig Aufwand entscheidend.
Schlecht gewartete IT-Systeme und im Umgang mit Cybergefahren ungeschulte Mitarbeitende erhöhen das Risiko, auf der täglich wachsenden Liste der Ransomware-Opfer zu landen. Aber schlussendlich kann es jede noch so umsichtige Firma treffen, da es immer unerkannte Sicherheitslücken und somit Einfallstore für Angreifer geben wird. Dies nicht zuletzt deshalb, weil staatlich finanzierte Nachrichtendienste das Wissen über derartige Lücken auch aus Eigennutz horten, um sie für eigene Spionage- oder Sabotageaktionen zu nutzen, statt sie den Software-Herstellern zu melden.
Die Corona-Pandemie wird irgendwann vorbei sein, ein Ende der Ransomware-Pandemie ist nicht in Sicht.
Gehackt und erpresst, brutale Cyber-Angriffe auf Schweizer Firmen
Video: SRF
Opfer einer Ransomware-Attacke? Darum sollten Betroffene nicht bezahlen
Das Nationale Zentrum für Cybersicherheit NCSC rät von der Zahlung eines Lösegeldes ab und warnt: «Es gibt keine Garantie, dass die Verbrecher nach der Bezahlung des Lösegelds die Daten nicht doch veröffentlichen oder anderen Profit daraus schlagen. Zudem motiviert jede erfolgreiche Erpressung die Angreifer zum Weitermachen, finanziert die Weiterentwicklung der Angriffe und fördert deren Verbreitung.»
Sollten Opfer dennoch das Bezahlen von Lösegeld in Erwägung ziehen, empfiehlt das NCSC dringend, diese Schritte mit der Kantonspolizei zu diskutieren.
Auf der Webseite
https://www.nomoreransom.org/ gibt es Tipps, um die Schadsoftware zu identifizieren und die Möglichkeit, bereits bekannte Schlüssel herunterzuladen. Nomoreransom.org ist ein gemeinsames Projekt der niederländischen Polizei und von Europol, an dem sich auch die Schweizerische Eidgenossenschaft beteiligt.
Das könnte dich auch noch interessieren:
Der Erfolg der Klimaseniorinnen vor dem Europäischen Gerichtshof für Menschenrechte hat in der Schweiz zu heftigen Reaktionen geführt. Der Bundesrat hat bislang geschwiegen – doch jetzt beziehen der neue SP- und SVP-Bundesrat Position.
Das Klima-Urteil gegen die Schweiz gibt auch nach zehn Tagen noch immer viel zu reden. Inzwischen ist die Causa auch in der Landesregierung angekommen. Zumindest trauen sich nun zwei Bundesräte, sich auch öffentlich zum Strassburger Entscheid gegen die Politik ihres Landes zu äussern.
Nein, eben nicht. Man ist diesen Angriffen nicht einfach ausgeliefert:
1. Design des Backups: Wer sein Backup so macht, dass ein Verschlüsselungstrojaner auch die Backups verschlüsseln kann, hat gepennt.
2. Wer zwar noch gute Backups hat, aber seine Systeme daraus nicht innert nützlicher Frist wiederherstellen kann, hat auch gepennt.
Regelmässige Systempflege minimiert das Risiko für einen erfolgreichen Angriff.