Einen "Ausfall aller internen Systeme" gab Publicare Ende November bekannt. Die Firma sei Opfer eines Cyberangriffs geworden, heisst es auf der Website. Diese ist seither nur in eingeschränktem Umfang verfügbar, Bestellungen können zur Zeit lediglich per Telefon, E-Mail oder Fax entgegengenommen werden.

Publicare mit Sitz in Oberrohrdorf (AG) ist laut eigenen Angaben die "schweizweit grösste Lieferantin und Dienstleisterin von medizinischen Hilfsmitteln in den Bereichen Inkontinenz, Stoma- und Tracheostoma-Versorgung sowie zur Wundbehandlung". Hier arbeitet Publicare mit medizinischen Fachpersonen, Krankenkassen und Organisationen wie Spitex zusammen.

Ende November sei das Cybersicherheitsteam von Publicare aufgrund eines Vorfalls alarmiert worden, erklärt Geschäftsführer Martin Künzler auf unsere Anfrage. "Eine externe Gruppierung hatte sich in böswilliger und krimineller Absicht unbefugt Zugang zu den Servern von Publicare Schweiz verschafft." Kundinnen und Kunden seien am 28. November über die Cyberattacke informiert worden. "Aus Sicherheitsgründen haben wir ihnen empfohlen, das bei uns verwendete Passwort generell nicht mehr zu verwenden."

Ein Notfallplan sei umgehend aktiviert worden. "Seither arbeiten wir eng mit internen und externen Cybersicherheitsexperten und den Strafverfolgungsbehörden zusammen, um unser Netzwerk zu sichern und auf die weiteren Entwicklungen reagieren zu können", so Künzler. Aus ermittlungstaktischen Gründen könne man derzeit keine näheren Angaben zu Art und Umfang des Cyberangriffs machen.

Zur Attacke bekannt hat sich die Ransomware-Gruppe Vice Society. Diese hat kürzlich auch den Angriff auf den Solothurner Spezialisten für Zugangslösungen Glutz für sich beansprucht. Zu ihren früheren Opfern gehörte unter anderem die Waadtländer Gemeinde Rolle. Schon damals, im Spätsommer 2021, drohten die Cyberkriminellen: "Natürlich" werde man weitere Gemeinden angreifen. "Wir greifen viele Gemeinden, Spitäler, Schulen und Universitäten an", sagte ein Vice-Vertreter damals gegenüber 'RTS'.

Da Publicare offenbar nicht auf Lösegeldforderungen der Bande eingegangen ist, hat diese inzwischen angeblich erbeutete Datensätze ins Darknet gestellt. Darunter befinden sich Geschäftsdaten, Zertifikate zu Medizinprodukten und sensible Personaldaten.

"Später mussten wir feststellen, dass sich unter den Daten, die im Rahmen der Cyberattacke gestohlen wurden, Personaldossiers befinden", bestätigt uns Geschäftsführer Künzler. "Wir beobachten, ob Datensätze von Dritten publiziert werden. Die Sicherheit und die Integrität der uns anvertrauten Daten haben für uns oberste Priorität." Publicare bedauere den Vorfall und danke den "Kundinnen und Kunden für ihre Geduld und allen unseren Mitarbeitenden für ihren Einsatz und ihre Unterstützung".

In der Schweiz beschäftigt Publicare laut Künzler rund 100 Mitarbeitende. Die gleichnamige Gesellschaft in Österreich mit 35 Mitarbeitenden scheint vom Cyberangriff nicht betroffen zu sein. "Das Unternehmen in Österreich wird völlig autonom und nicht weisungsgebunden von der Schweiz geführt", bestätigt Künzler.

"Das Herunterfahren unseres Rechenzentrums führte leider auch dazu, dass wir Bestellungen aktuell nur manuell bearbeiten können", erklärt der Geschäftsführer weiter zu den Folgen des Angriffs. Publicare arbeite daran, den Webshop wenn möglich im Laufe dieser Woche wieder online schalten zu können. Sobald der Online-Zugang wieder möglich sei, würden Kundinnen und Kunden ein neues Login für ihr Benutzerkonto erhalten.

Die US-Cybersecurty-Behörde CISA hat im September in einem Alert mit Details zum Vorgehen erneut vor Vice Society gewarnt – bezog sich dabei aber vor allem auf zunehmende Angriffe auf Bildungseinrichtungen.

Am 21. Dezember konnte Publicare den Webshop wieder aufschalten. "Bestellungen können ab sofort wieder online getätigt werden, sobald Sie von uns eine E-Mail mit Angaben zum Login mit Neusetzung des Passwortes erhalten", schreibt das Unternehmen auf seiner Website. Um das Netzwerk zu sichern, seien auch Massnahmen zum Schutz vor zukünftigen Angriffen getroffen worden. Update 21.12.: Der Artikel wurde mit der Wiederaufschaltung des Webshops ergänzt.