Darum kam es in Zürich trotz mehrfacher Warnung zum Ransomware-Vorfall

29. April 2022, 14:51
  • security
  • cyberangriff
  • ncsc
  • ransomware
image
Ransomware-Angriffe können enorme Schäden anrichten. Foto: Elisa Ventur / Unsplash

Das Nationale Zentrum für Cybersicherheit (NCSC) schreibt, eine Firma habe auf Warnungen nicht reagiert. Wir haben sie ausfindig gemacht und nachgefragt.

Am 3. April forderte eine der grossen Ransomware-Banden ein weiteres Opfer in der Schweiz. Dieses Mal wurden die Daten eines kleinen Unternehmens aus dem Kanton Zürich verschlüsselt. So weit, so wenig spektakulär. Bloss war der Vorfall dem Nationalen Zentrum für Cybersicherheit (NCSC) eine eigene Mitteilung wert: Trotz mehrmaliger Warnung habe man nämlich keine Antwort von der Firma erhalten.
Das Unternehmen, das nicht namentlich genannt wird, erhielt neben einem E-Mail auch einen eingeschriebenen Brief seitens des NCSC. Es gehört zu den rund 130 kleineren und grösseren Firmen sowie Gemeinden, die auf diesem Weg auf ihre verwundbaren Exchange-Server aufmerksam gemacht wurden. Die Lücken sind seit Anfang 2021 bekannt. Warum reagierte die Firma nicht auf die Warnungen?
Inside-it.ch hat sie ausfindig gemacht und nachgefragt. Der Chef ist dort persönlich für die Informatik zuständig. Er will nicht namentlich genannt werden, sagt aber, der Brief des NCSC sei sehr hilfreich gewesen und habe Hinweise auf die notwendigen Patches enthalten. Bloss: Der Server habe sich nicht mehr einfach patchen lassen, da dieser nach dem Upgrade auf Server2016 nur noch als Hybridversion gelaufen und nicht mehr geupdatet worden sei. Für grössere Umtriebe habe er schlicht keine Zeit gehabt, so der Unternehmer.
"Da ich wusste, dass mein Backup einem Angriff standhalten würde, habe ich mich auf das laufende Geschäft konzentriert", erklärt er. In der Folge wurden die gesamten Systeme verschlüsselt und Daten abgezogen. "Ich hatte 4 Tage, bis ich das System komplett neu aufgesetzt und die Daten von einem Backup wiedereingespielt hatte", erklärt der Firmen-Chef.
Er habe auf der Darkwebpräsenz der Kriminellen nachgeschaut, es seien lediglich interne Dokumente geleakt worden, die nicht brisant seien. Ein Blick auf die Website zeigt: tatsächlich nennt die Gruppe interne Dokumente wie Lohnausweise, Rechnungen, Krankenkassenangaben und einiges weiteres. "Es ist zwar peinlich, aber keine Katastrophe", so der Unternehmer.
Der Fall zeigt, welche Gründe kleine Firmen haben, wenn sie nicht auf NCSC-Hinweise reagieren. Für die Cyberstelle ist es ein Ärgernis, wenn ihre Warnungen nicht genügend ernst genommen oder ignoriert werden. Schliesslich springt sie bei Bedarf im Falle eines Incidents ein, der oftmals nicht so glimpflich abläuft, wie dies der Firmenchef aus dem Kanton Zürich schildert.
Bereits am 30. April will die Ransomware-Bande, die hinter dem Angriff auf dessen Firma steckt, ein weiteres Unternehmen aus der Schweiz blossstellen. Diesmal hat es ein KMU aus dem Kanton Aargau erwischt. Welche Daten dabei auftauchen, wird in einigen Stunden feststehen.

Loading

Mehr zum Thema

image

Mutmasslicher Cyberangriff auf den Vatikan

Russische Hacker sollen verschiedene Websites des Zwergstaates angegriffen haben, weil der Papst den Angriffskrieg in der Ukraine als "grausam" bezeichnete.

publiziert am 1.12.2022
image

Polizei in San Francisco will Roboter zum Töten einsetzen

Eine Mehrheit eines kommunalen Gremiums hat die umstrittene Richtlinie nach wochenlanger Prüfung und einer hitzigen Debatte angenommen. Kritische Stimmen wehren sich gegen den Entscheid.

publiziert am 30.11.2022
image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022