"Wir haben aktuell Probleme mit unserem E-Mail-Empfang", schreibt das Lausanner Unternehmen DBS Group auf seiner Website. Dasselbe ist bei den Unternehmen Brolliet, Domicim, Duc Sarrasin, Facilitim, Immosure und Guinnard zu lesen, die ebenfalls zur Gruppe gehören.

Dahinter steckt ein Cyberangriff der Ransomware-Bande Conti, die im Darkweb einen Angriff auf die Immobilienagentur Domicim vermeldet. DBS beschäftigt in der Schweiz in allen Unternehmen über 700 Mitarbeitende. Den Angriff bestätigt Christophe Hubschmid, CEO der DBS Group gegenüber inside-it.ch. "Der Angriff wurde vor 2 Wochen entdeckt." Die Deutschschweizer Unternehmen der Gruppe seien nicht betroffen, jedoch jene in der Westschweiz. "Rund 400 Mitarbeitende waren zunächst offline."

Conti hat bislang 5% der gestohlenen Daten im Darkweb publiziert – insgesamt 700 MB. Darunter finden sich unter anderem eine Home-Office-Regelung der DBS Group, diverse Abrechnungen von Immobilienprojekten, Mietzinsübersichten und Mietverträge. Zwar sind Name, Vorname oder Firmenname von Mietern inklusiv Höhe des Mietzinses oder Datum des Einzugs sichtbar,  andere kritische Dateien sind aber bislang nicht aufgetaucht. Allerdings hat Conti den Grossteil der angeblich insgesamt 14 GB gestohlenen Daten auch noch nicht veröffentlicht.

Gegenüber inside-it.ch sagt Hubschmid, dass alle Mitarbeitenden sofort offline genommen worden seien. "Anschliessend haben wir Notfall-E-Mail-Adressen eröffnet, an die Nachrichten von Kontaktformularen auf unseren Websites weitergeleitet werden, damit weitergearbeitet werden konnte." Eine weitere Konsequenz sei, dass ein SaaS-Projekt vorgezogen und statt im Sommer vielleicht schon im Januar umgesetzt werde.

Ob eine Lösegeldforderung eingegangen ist, wusste Hubschmid nicht, da DBS nicht mit den Hackern in Kontakt getreten sei. Man wäre sowieso nicht bereit, etwas zu zahlen, so der CEO. Angesprochen auf die internen Kosten, die die Wiederherstellung aller Systeme verursachte, sagt Hubschmid: "Das ist egal. Prioritär sind die Leistungen, nicht die Kosten. Wir werden diese zusammenstellen und mit unserer Versicherung verrechnen." Wichtig sei, dass die Systeme wieder rechtzeitig online sind. Ende dieser Woche seien die E-Mail-Systeme wieder live. Ebenso gelte das für das Lohnsystem, so dass die Löhne noch vor Weihnachten bezahlt werden könnten. Keine Priorität habe die Zeiterfassung. "Das machen wir derzeit noch auf Papier."

Wie die Ransomware in die Systeme gelangt ist, konnte das Unternehmen indes genau nachvollziehen: "In einer E-Mail war ein Attachement angehängt, das aussah wie ein Begleitdokument von einer Partnerfirma", sagte Christophe Hubschmid. Der betroffene Mitarbeiter habe hervorragend reagiert, und sofort die Informatikspezialisten informiert. "Für ihn hat dies selbstverständlich keine Konsequenzen", versichert Hubschmid.