Eine Swissport-Mitarbeiterin kontrolliert die Tickets von Passagieren am Genfer Flughafen. Unbekannte haben das IT-System des Unternehmens attackiert – mit Folgen.archivbild: keystone

Analyse

Angriff auf kritische Infrastruktur: So nimmt Swissport zur Ransomware-Attacke Stellung

Der Hackerangriff auf das weltweit tätige Unternehmen soll glimpflich abgelaufen sein. watson hat nachgehakt.

10.02.2022, 08:2310.02.2022, 08:25

Daniel Schurter

Die Ransomware-Attacke auf den Flughafendienstleister Swissport sorgte letzte Woche weltweit für Schlagzeilen. Es kam zu Verspätungen beim Flugbetrieb. Die IT-Verantwortlichen bekamen die technischen Probleme relativ schnell wieder in den Griff. Viel mehr passierte nicht. Oder doch?

watson hat beim betroffenen Unternehmen nachgehakt und Antworten auf die dringlichsten Fragen gesucht.

Inhaltsverzeichnis

Droht ein Daten-GAU?Wie viel Schaden wurde angerichtet? Wie wurde der Angriff gestoppt?Welche Kommunikations-Strategie verfolgt das Unternehmen?Wer steckt hinter dem Angriff?Quellen

Droht ein Daten-GAU?

Einige der gefährlichsten derzeit aktiven Ransomware-Banden lösen den eigentlichen Verschlüsselungs-Angriff (mittels Schadsoftware) in der Regel erst dann aus, nachdem es ihnen gelungen ist, das Opfer-Netzwerk auszuspionieren.

Häufig werden im fremden System mithilfe von Hacker-Werkzeugen zunächst potenziell wertvolle Dateien gestohlen – um damit ein zusätzliches Druckmittel für die geplante Erpressung in die Hände zu bekommen. Damit lässt sich das Opfer zusätzlich einschüchtern und mit der Veröffentlichung der Daten über die eigene Leak-Site im Darknet drohen.

watson hat bei Swissport nachgehakt, ob das Unternehmen ausschliessen kann, dass es einen «mehr als marginalen» Datenabfluss gegeben hat und deshalb nicht mit der Veröffentlichung von gestohlenen Daten zu rechnen ist.

Dazu erklärt Sprecher Stefan Hartung:

«Erste Analysen haben gezeigt, dass mit extrem hoher Wahrscheinlichkeit keine sensiblen Daten abgeflossen sind.»

Auf die Frage, ob der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) informiert werden musste, gibt das Unternehmen Entwarnung:

«Swissport hat das Nationale Zentrum für Cybersicherheit (NCSC) über den Vorfall in Kenntnis gesetzt sowie Anzeige bei der Kantonspolizei Zürich erstattet. Eine Information des EDÖB ist bislang noch nicht erfolgt, da es in Folge des IT-Sicherheitsvorfalles zu keinem Abfluss von Daten gekommen ist, der eine entsprechende Informationspflicht nach sich ziehen würde.»

Beim NCSC wird bestätigt, dass man in Kontakt stehe. Zu konkreten Fällen und laufenden Verfahren äussere man sich nicht, schreibt Medienverantwortliche Gisela Kipfer.

Wie viel Schaden wurde angerichtet?

Die Ransomware-Attacke auf die IT-Infrastruktur des Gepäckabfertigers Swissport begann am frühen Donnerstagmorgen und wurde laut Darstellung des betroffenen Unternehmens sofort entdeckt. Dennoch dauerte es bis Samstag, bis die IT-Fachleute die Lage vollständig im Griff hatten.

Laut Medienberichten war bei mehreren von Swissport abgefertigten Flughäfen der Betrieb gestört, darunter Zürich.

Fehlermeldung auf der Swissport-Website.screenshot: wayback machine

Der Mutterkonzern ist weltweit an 310 Standorten aktiv. Waren sie alle von Betriebsstörungen betroffen?

Die Medienstelle will auf Anfrage nicht ins Detail gehen und versichert, der Schaden habe sich in Grenzen gehalten.

«Durch Back-up-Prozesse konnten die Auswirkungen auf unseren operativen Betrieb gut kontrolliert werden. Die vollständige und sichere Wiederherstellung der betroffenen IT-Systeme schreitet derweil voran.»

Der Angriff traf unter anderem auch das Pharmazentrum des Unternehmens in Machelen in der Nähe des Brüsseler Flughafens. Das «Swissport Pharma Center» dient der Lagerung und dem Transport von Medikamenten und medizinischen Geräten, darunter Covid-Impfstoffe und Schutzmasken.

Der Swissport-Sprecher relativiert:

«Das Pharma Center war nicht in besonderem Ausmass betroffen. Dies war eine Falschmeldung. An unserem Standort in Brüssel haben wir die Auswirkungen auf den Betrieb durch die Anwendung von Back-up-Prozessen minimieren können. Unsere ‹Operation› dort verzeichnete Ende vergangener Woche nur leichte Verzögerungen im Betriebsablauf und läuft seitdem stabil.»

Insider-Infos

watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst per Mail an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann ohne viel Aufwand verschlüsselt kommunizieren.

Wie wurde der Angriff gestoppt?

Aufgrund der (spärlichen) öffentlichen Informationen zur Ransomware-Attacke äusserten unabhängige Beobachter die Einschätzung, dass die von Swissports IT-Fachleuten getroffenen «vorbeugenden Massnahmen» wie etwa eine «Netzwerk-Segmentierung» Schlimmeres verhindert haben.

Dazu muss man wissen, dass die Architektur eines Computer-Netzwerks eine Schlüsselrolle dabei spielt, wie effektiv eine Organisation sich gegen Sicherheitsvorfälle verteidigen, diese identifizieren und sich von ihnen erholen kann.

Ein sinnvoll unterteiltes Netzwerk mit abgeschotteten, bzw. einzeln abgesicherten Netzwerksegmenten kann die Möglichkeiten eines Angreifers entscheidend einschränken. So wird verhindert, dass jemand von System zu System wechselt und immer neue Bereiche unter Kontrolle bringen kann.

So weit die Theorie.

Die Swissport-Medienstelle geht aus nachvollziehbaren Gründen nicht auf technische Details ein, bestätigt aber:

«Unsere IT-Security-Systeme haben den Vorfall in einem sehr frühen Stadium entdeckt, so dass wir unmittelbar wirksame und damit erfolgreiche Abwehrmassnahmen ergreifen konnten.»

Welche Kommunikations-Strategie verfolgt das Unternehmen?

Schon in einer Stellungnahme in den Tagen nach der Attacke hiess es, Swissport nenne «keine Details zur verwendeten Ransomware, den Angreifern, den verschlüsselten Daten, dem geforderten Lösegeld oder den betroffenen Kunden und Betrieben». An dieser Haltung hat sich nichts geändert, wie Swissport-Sprecher gegenüber watson erklärt.

«Wir konzentrieren unsere Ressourcen derzeit auf die vollständige und vor allem sichere Wiederherstellung der betroffenen Systeme. Parallel dazu haben die Untersuchungen zu den Ursachen begonnen. Zu weiteren Details möchten wir uns zum jetzigen Zeitpunkt nicht äussern.»

Laut Empfehlung des Nationalen Zentrums für Cybersicherheit (NCSC) ist es jeweils dem betroffenen Unternehmen überlassen, eine passende Kommunikationsstrategie zu wählen. Das bedeutet im konkreten Fall, dass die Swissport-Führung selbst entschieden hat, keine weiteren Details zu kommunizieren. Wie begründet man den Entscheid?

Dazu der Sprecher:

«Neben dem Fokus auf die Wiederherstellung aller Systeme sind interne Untersuchungen angelaufen, deren Ergebnisse wir selbstverständlich abwarten.»

Darüber hinaus verrät Swissport, dass potenziell betroffene Partner-Unternehmen direkt informiert worden seien.

«Mit besorgten Kunden stehen wir selbstverständlich in einem offenen und transparenten Austausch.»

Was heisst «kritische Infrastruktur»?

Als kritische Infrastrukturen werden nicht nur Bauten und Anlagen bezeichnet, sondern Versorgungssysteme und Dienstleistungen im weitesten Sinne. Dazu gehört unter anderem auch der Luftverkehr. Schwerwiegende Ausfälle, beispielsweise ein landesweiter Strom-Blackout, können gravierende volkswirtschaftliche Schäden verursachen und die Bevölkerung massiv belasten, wie das Bundesamt für Bevölkerungsschutz (BABS) schreibt. Der Bundesrat hat 2012 eine erste nationale Strategie zum Schutz der kritischen Infrastrukturen verabschiedet und 2017 aktualisiert.

Wer steckt hinter dem Angriff?

Das ist nicht öffentlich bekannt.

Auf den einschlägigen Leak-Sites im Darknet sind keine «Bekennerschreiben» zu einem Hackerangriff auf Swissport zu finden. Und in bekannten Hacker-Foren scheint es keine Hinweise auf die mögliche Täterschaft zu geben.

Dies untermauert die Darstellung des Unternehmens, wonach der Angriff in einem frühen Stadium vereitelt wurde.

Quellen

it-markt.ch: So funktioniert Netzwerksegmentierung

Die Vorgeschichte:

Swissport von Hackern angegriffen – Verspätungen im Flugbetrieb

Swissport erholt sich dank Frachtverkehr von Corona

Bei Swissport zeigten sich erste Zeichen der Besserung nach einer harten Corona-Zeit, berichtete die Nachrichtenagentur Keystone-SDA am Dienstag. Im Frachtgeschäft melde das jüngst von einem Hackerangriff betroffene Unternehmen sogar Rekorde. Das Segment «Cargo» wies 2021 mit einem Umschlagsvolumen von 5,1 Millionen Tonnen sogar einen höheren Wert aus als vor der Krise.

Der Bereich Bodenverkehrsdienste wickelte indes nur knapp über zwei Millionen Flüge ab. Im Vor-Corona-Jahr 2019 waren es 4,1 Millionen. Immerhin: Gegenüber 2020 bedeute das eine Zunahme von gut 20 Prozent.

Mit der erwarteten Lockerung der Pandemie-Beschränkungen in vielen Ländern rechnet der Luftfrachtlogistiker und Bodenverkehrsdienstleister in den kommenden Monaten auch in diesem Bereich mit einer Belebung des Geschäfts. Dazu habe man eine Personalrekrutierungsinitiative gestartet, um weltweit rund 17'000 neue Stellen zu schaffen.

Im Zuge der Corona-Krise sind bei Swissport fast ebenso viele Stellen weggefallen. Gemäss einem Unternehmensbericht von 2019 wies das Unternehmen für 2019 einen Personalbestand von rund 64'000 Mitarbeitenden aus. Aktuell beschäftigt das Unternehmen den Angaben nach rund 45'000 Mitarbeitende an 285 Flughäfen in 45 Ländern.

Der Flughafendienstleister wurde im August 2020 an ein Konsortium von sieben Geldgebern verkauft, bestehend aus sechs Private Equity-Gesellschaften sowie der Bank Barclays. Bis dahin war Swissport in den Händen des zu dieser Zeit ebenfalls stark finanziell angeschlagenen HNA-Konzern aus China.

(awp/sda)

Das könnte dich auch interessieren:

Darknet-Leak betrifft Kundinnen und Kunden der Emil Frey Gruppe – das musst du wissen

Angriff auf kritische Infrastruktur: Swissport zur Ransomware-Attacke