Am 3. April forderte eine der grossen Ransomware-Banden ein weiteres Opfer in der Schweiz. Dieses Mal wurden die Daten eines kleinen Unternehmens aus dem Kanton Zürich verschlüsselt. So weit, so wenig spektakulär. Bloss war der Vorfall dem Nationalen Zentrum für Cybersicherheit (NCSC) eine eigene Mitteilung wert: Trotz mehrmaliger Warnung habe man nämlich keine Antwort von der Firma erhalten.

Das Unternehmen, das nicht namentlich genannt wird, erhielt neben einem E-Mail auch einen eingeschriebenen Brief seitens des NCSC. Es gehört zu den rund 130 kleineren und grösseren Firmen sowie Gemeinden, die auf diesem Weg auf ihre verwundbaren Exchange-Server aufmerksam gemacht wurden. Die Lücken sind seit Anfang 2021 bekannt. Warum reagierte die Firma nicht auf die Warnungen?

Inside-it.ch hat sie ausfindig gemacht und nachgefragt. Der Chef ist dort persönlich für die Informatik zuständig. Er will nicht namentlich genannt werden, sagt aber, der Brief des NCSC sei sehr hilfreich gewesen und habe Hinweise auf die notwendigen Patches enthalten. Bloss: Der Server habe sich nicht mehr einfach patchen lassen, da dieser nach dem Upgrade auf Server2016 nur noch als Hybridversion gelaufen und nicht mehr geupdatet worden sei. Für grössere Umtriebe habe er schlicht keine Zeit gehabt, so der Unternehmer.

"Da ich wusste, dass mein Backup einem Angriff standhalten würde, habe ich mich auf das laufende Geschäft konzentriert", erklärt er. In der Folge wurden die gesamten Systeme verschlüsselt und Daten abgezogen. "Ich hatte 4 Tage, bis ich das System komplett neu aufgesetzt und die Daten von einem Backup wiedereingespielt hatte", erklärt der Firmen-Chef.

Er habe auf der Darkwebpräsenz der Kriminellen nachgeschaut, es seien lediglich interne Dokumente geleakt worden, die nicht brisant seien. Ein Blick auf die Website zeigt: tatsächlich nennt die Gruppe interne Dokumente wie Lohnausweise, Rechnungen, Krankenkassenangaben und einiges weiteres. "Es ist zwar peinlich, aber keine Katastrophe", so der Unternehmer.

Der Fall zeigt, welche Gründe kleine Firmen haben, wenn sie nicht auf NCSC-Hinweise reagieren. Für die Cyberstelle ist es ein Ärgernis, wenn ihre Warnungen nicht genügend ernst genommen oder ignoriert werden. Schliesslich springt sie bei Bedarf im Falle eines Incidents ein, der oftmals nicht so glimpflich abläuft, wie dies der Firmenchef aus dem Kanton Zürich schildert.

Bereits am 30. April will die Ransomware-Bande, die hinter dem Angriff auf dessen Firma steckt, ein weiteres Unternehmen aus der Schweiz blossstellen. Diesmal hat es ein KMU aus dem Kanton Aargau erwischt. Welche Daten dabei auftauchen, wird in einigen Stunden feststehen.