Ende Mai wurde der IT-Dienstleister Unico Data Opfer eines Ransomware-Angriffs. Das Berner Unternehmen musste seine Dienstleistungen abschalten und das hauseigene Rechenzentrum vom Netz nehmen. Services von Dritten seien aber nicht betroffen. So teilte es das 80-köpfige Unternehmen am 31. Mai mit, das bereits kurz nach dem Angriff der Cyberbande Play transparent informierte.

Damals war das Ausmass des Angriffs aber noch nicht klar. Nun zeigen sich bei mehreren Kunden gravierende Probleme. Die Kinokette Pathé etwa kann online keine Tickets mehr verkaufen und ist nicht mehr per E-Mail zu erreichen. Sämtliche Kinos seien geöffnet, heisst es in einer Mitteilung, Tickets müssten aber vor Ort erstanden werden.

Beim Werkzeughersteller PB Swiss Tools kann man nicht mehr auf die bei Unico gehosteten Services wie Mail-Exchange, Datenspeicher und Applikationen zugreifen, wie 'Watson' aufgefallen ist. Das Medium hat zudem bei der Boess-Gruppe nachgefragt. Die Unico-Kundin bestätigte, dass sie vom Angriff betroffen sei. Details wurden aber keine genannt.

Unico betreut neben Firmen auch öffentliche Institutionen. So ist die Gemeinde Rüegsau (BE) stark vom Vorfall in Mitleidenschaft gezogen worden. Das "EDV-Rechenzentrum" sei von einem Betriebsunterbruch betroffen, teilt die Gemeinde mit. Die Dienstleistungen der Verwaltung seien eingeschränkt, insbesondere könnten keine E-Mails empfangen oder verschickt werden.

Unico zählt nach eigenen Angaben über 100 Kunden. Viele dürften derzeit wichtige Dienste vermissen, nicht alle bekannten Kunden haben Probleme kommuniziert. Mehrere haben aber Hinweise auf "technische Störungen" auf ihrer Website veröffentlicht, wie unsere Nachforschungen zeigen.

Das Brauhaus Rugenbräu in Interlaken berichtet von "einer Panne beim externen IT-Partner", wie ein Blick auf die Website verrät. Man könne die Rugenbräu darum nur eingeschränkt erreichen, schreibt die Firma: Telefonleitungen sowie der E-Mail-Verkehr und das Bestellsystem Drinkline seien offline. Das Berner Tech-KMU Rototec hat eine einfache "Info" aufgeschaltet, in der ein Ausweichkontakt angegeben ist: eine GMX-Mail-Adresse und eine Telefonnummer.

Mittlerweile hat auch Play auf seiner Darknetsite den erfolgreichen Angriff publiziert: 2,8 Terrabyte Daten will die Bande gestohlen haben. Sie droht mit Veröffentlichung von vertraulichen Infos, Kunden- und Mitarbeiterunterlagen, Pässen und Verträgen bis Mitte Juni, falls Unico nicht bezahlt.

Unico informiert auf einer Statusseite über den Fortgang der Dinge. Dort heisst es derzeit, man arbeite rund um die Uhr an der Wiederherstellung der Services . "Die Hotline ist im Moment deaktiviert, damit alle Ressourcen der Behebung gewidmet werden können", schreibt die Firma und ergänzt: "Wir bedauern den aktuellen Zustand und die Auswirkungen."