Darum kam es in Zürich trotz mehrfacher Warnung zum Ransomware-Vorfall

29. April 2022, 14:51
  • security
  • cyberangriff
  • ncsc
  • ransomware
image
Ransomware-Angriffe können enorme Schäden anrichten. Foto: Elisa Ventur / Unsplash

Das Nationale Zentrum für Cybersicherheit (NCSC) schreibt, eine Firma habe auf Warnungen nicht reagiert. Wir haben sie ausfindig gemacht und nachgefragt.

Am 3. April forderte eine der grossen Ransomware-Banden ein weiteres Opfer in der Schweiz. Dieses Mal wurden die Daten eines kleinen Unternehmens aus dem Kanton Zürich verschlüsselt. So weit, so wenig spektakulär. Bloss war der Vorfall dem Nationalen Zentrum für Cybersicherheit (NCSC) eine eigene Mitteilung wert: Trotz mehrmaliger Warnung habe man nämlich keine Antwort von der Firma erhalten.
Das Unternehmen, das nicht namentlich genannt wird, erhielt neben einem E-Mail auch einen eingeschriebenen Brief seitens des NCSC. Es gehört zu den rund 130 kleineren und grösseren Firmen sowie Gemeinden, die auf diesem Weg auf ihre verwundbaren Exchange-Server aufmerksam gemacht wurden. Die Lücken sind seit Anfang 2021 bekannt. Warum reagierte die Firma nicht auf die Warnungen?
Inside-it.ch hat sie ausfindig gemacht und nachgefragt. Der Chef ist dort persönlich für die Informatik zuständig. Er will nicht namentlich genannt werden, sagt aber, der Brief des NCSC sei sehr hilfreich gewesen und habe Hinweise auf die notwendigen Patches enthalten. Bloss: Der Server habe sich nicht mehr einfach patchen lassen, da dieser nach dem Upgrade auf Server2016 nur noch als Hybridversion gelaufen und nicht mehr geupdatet worden sei. Für grössere Umtriebe habe er schlicht keine Zeit gehabt, so der Unternehmer.
"Da ich wusste, dass mein Backup einem Angriff standhalten würde, habe ich mich auf das laufende Geschäft konzentriert", erklärt er. In der Folge wurden die gesamten Systeme verschlüsselt und Daten abgezogen. "Ich hatte 4 Tage, bis ich das System komplett neu aufgesetzt und die Daten von einem Backup wiedereingespielt hatte", erklärt der Firmen-Chef.
Er habe auf der Darkwebpräsenz der Kriminellen nachgeschaut, es seien lediglich interne Dokumente geleakt worden, die nicht brisant seien. Ein Blick auf die Website zeigt: tatsächlich nennt die Gruppe interne Dokumente wie Lohnausweise, Rechnungen, Krankenkassenangaben und einiges weiteres. "Es ist zwar peinlich, aber keine Katastrophe", so der Unternehmer.
Der Fall zeigt, welche Gründe kleine Firmen haben, wenn sie nicht auf NCSC-Hinweise reagieren. Für die Cyberstelle ist es ein Ärgernis, wenn ihre Warnungen nicht genügend ernst genommen oder ignoriert werden. Schliesslich springt sie bei Bedarf im Falle eines Incidents ein, der oftmals nicht so glimpflich abläuft, wie dies der Firmenchef aus dem Kanton Zürich schildert.
Bereits am 30. April will die Ransomware-Bande, die hinter dem Angriff auf dessen Firma steckt, ein weiteres Unternehmen aus der Schweiz blossstellen. Diesmal hat es ein KMU aus dem Kanton Aargau erwischt. Welche Daten dabei auftauchen, wird in einigen Stunden feststehen.

Loading

Mehr zum Thema

image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

image

Jetzt hat ein grosser Krypto-Hack Harmony getroffen

Hacker haben Coins im Wert von rund 100 Millionen Dollar aus einem Schlüsselprodukt der US-Kryptofirma gestohlen.

publiziert am 24.6.2022
image

NCSC mahnt: Bitte keine Privatgeräte im Homeoffice

Der Zugriff aufs Firmennetzwerk mit privaten Geräten ist mit erheblichen Risiken verbunden. Das zeigt ein aktueller Ransomware-Angriff.

publiziert am 24.6.2022 6
image

Bericht zeigt russische Cyber­aktivitäten seit Kriegs­beginn

Mit dem russischen Angriffskrieg gehen massive Cyber­kampagnen einher. Diese betreffen die Ukraine, aber auch weitere Länder, darunter die Schweiz, zeigt ein Report.

publiziert am 23.6.2022