Unico Data, IT-Dienstleister aus dem bernischen Münsingen, wurde Ende Mai von der Ransomware-Bande Play angegriffen. Es war einschneidend:
Alle Dienstleistungen des Unternehmens und zahlreiche Kunden waren offline. Vier Monate nach dem Angriff gibt CEO Vince Lehmann im Interview transparent Auskunft darüber, wie sein Unternehmen die Situation bewältigte, inwiefern ihm dabei Versicherungen halfen und welche Ratschläge er anderen Unternehmen geben würde.
Sie wurden Ende Mai Opfer eines Ransomware-Angriffs. Wie sind die Angreifer der Gruppe Play damals in die Systeme eingedrungen?
Es gibt Hinweise darauf, dass die Täter über einen von uns gehosteten Service eingestiegen sind. Von dort aus konnten sie sich im System ausbreiten. Aus Rücksicht auf unsere Kundinnen und Kunden sowie die laufenden Ermittlungen kann ich nicht ins Detail gehen.
Wie weit sind Sie mit der Fehleranalyse? Was wurde falsch gemacht?
Wir haben keinen Fehler im eigentlichen Sinne gemacht. Die Angreifer sind über eine etablierte, ISO-zertifizierte Shared-Plattform eingedrungen, welche wir seit Jahren anbieten.
Aber wie war das konkrete Vorgehen der Cyberkriminellen? Kam Phishing zum Einsatz?
Abschliessend wissen wir das nicht. Nebst Phishing könnte es auch Social Engineering gewesen sein. Was wir ebenfalls nicht wissen ist, ob unser Kunde oder wir selbst das Ziel des Angriffs waren.
Zur Kundschaft gehören unter anderem die Kinokette Pathé, der Werkzeughersteller PB Swiss Tools, die Gemeinde Rüegsau oder das Brauhaus Rugenbräu. Wie gingen diese mit der Situation um?
Im Nachhinein würde ich die Situation in zwei Phasen unterteilen: Die erste war ein Sprint, wo es darum ging, möglichst schnell wieder online zu sein. Die zweite Phase war hingegen ein Marathon, weil die Nachbearbeitung sehr viel Zeit in Anspruch genommen hat. Unsere Kundinnen und Kunden waren in der ersten Phase durchs Band kooperativ, in der zweiten nahm die Anspannung verständlicherweise zu. Aber wir konnten leider nicht alle Probleme gleichzeitig lösen.
Wie lange hat der Marathon gedauert?
Die meisten unserer Kunden konnten sich bereits nach wenigen Tagen wieder einloggen. Aber bis alle Applikationen und Applikationsserver wieder liefen, dauerte es teilweise mehrere Wochen. Die letzten Services wie zum Beispiel "Scan to Mail" gingen erst Mitte September wieder live. Alleine haben wir das nicht geschafft, wir haben dazu auch Partnerfirmen an Bord geholt, die uns geholfen haben.
Gabs Schadensersatzforderungen seitens der Kunden?
Ja, das steht im Raum. Zum Glück aber nur bei sehr wenigen unserer Kundinnen und Kunden.
Haben Sie eine Versicherung dafür?
Ja. Aber das nützt nur zu einem kleinen Teil. Wesentlich schwerwiegender waren der interne Aufwand und die Belastung der eigenen Mitarbeitenden. Das lässt sich nicht versichern. Die Schadensminimierung durch die Versicherung ist – etwas zugespitzt – nur ein Tropfen auf den heissen Stein.
Die Gruppe Play fordert nach erfolgreichen Angriffen die Opfer dazu auf, mit ihr Kontakt aufzunehmen und in Verhandlungen zu treten. Haben Sie das gemacht?
Nein. Wir haben es thematisiert, uns dann aber in Absprache mit den Strafverfolgungsbehörden und dem NCSC dagegen entschieden. Unsere Kunden haben wir laufend und transparent über unseren Entscheid informiert.
Haben Sie ausgerechnet, was der Fall Sie insgesamt gekostet hat?
Intern wendeten wir tausende von Stunden auf, das geht locker in die Millionenhöhe. Die externen Kosten sind sechsstellig.
War es existenzgefährdend für das Unternehmen?
Nein. Wir kommen gestärkt aus der Situation und wachsen weiter. Für uns war der Angriff kein Grund, den Kopf in den Sand zu stecken. Im Gegenteil denke ich, dass wir fitter sind für die Zukunft.
Sie haben eng mit der Kantonspolizei Bern zusammengearbeitet?
Ja, teilweise tauschten wir uns täglich aus. Ich fühlte mich sehr gut betreut und aufgehoben.
Nun liegt aber ihr Fall genauso wie jener von Xplain nicht mehr bei der Kapo Bern, sondern bei der Bundesanwaltschaft und beim Fedpol.
Das ist richtig. Meines Wissens werden alle Angriffe der Gruppe Play auf Bundesebene behandelt. Soweit ich weiss, dauern die Ermittlungen an. Ein Abschlussbericht liegt unseres Wissens jedenfalls noch nicht vor.
Was würden Sie sich für die Aufarbeitung des Falls rückblickend für eine Note geben?
Unsere Konzepte haben funktioniert und wir und unsere Kunden mussten keinen Datenverlust erleiden. Deshalb sind wir insgesamt zufrieden. Während wir die Technik und die Prozesse im Griff hatten, waren wir auf die notwendige Kommunikation mit Kunden und der Öffentlichkeit zu wenig gut vorbereitet. Da erhielten wir aber glücklicherweise rasch Unterstützung und Beratung.
Oft greifen die Cyberkriminellen Opfer ein zweites Mal an. Welche Vorkehrungen haben Sie getroffen, dass das Ihnen nicht passiert?
Die Liste ist lang. Wir haben technische und operative Massnahmen getroffen. Beispielsweise haben wir die Admin-Accounts neu erstellt und sämtliche Passwörter geändert. Ausserdem haben wir das Management unserer Kunden-Accounts aufgetrennt, das war vor dem Angriff noch übergeordnet.
Play erklärt, 2,8 Terabyte an gestohlenen Daten zu publizieren. Haben Sie diese analysiert?
Sie haben nur behauptet, 2,8 Terabyte gestohlen zu haben. Publiziert wurde nur 1% davon. Diese haben wir sehr schnell analysiert und sind direkt mit den betroffenen Kunden in Kontakt getreten. Warum der Rest bis jetzt nicht publiziert wurde, wissen wir nicht. Wir haben jedoch ein aktives Monitoring aufgesetzt, damit wir betroffene Kunden informieren können, falls noch was kommt.
Sie informieren transparent und vorbildlich. Das ist unüblich bei betroffenen Unternehmen, gerade wenn es dieses Ausmass annimmt. Warum?
Wer proaktiv und transparent kommuniziert, kann Gerüchten vorbeugen und ist glaubwürdig. Aber es geht auch darum, dass wir als Branche und als Gesellschaft lernen, mit solchen Angriffen umzugehen. Das einzige, was meiner Meinung nach dabei hilft, ist darüber zu reden. Dazu möchte ich beitragen. Cyberangriffe sind ein übergeordnetes Problem und keines, das nur einzelne Unternehmen wie halt jetzt uns betrifft.
Welchen Ratschlag geben Sie Unternehmen, die ebenfalls Opfer eines Cyberangriffs werden?
Abgesehen von den Basics wie Disaster-Recovery-Konzepten sollten sich Unternehmen auf die Auswirkungen von Cyberangriffen vorbereiten und sich Fragen stellen: Wem kommuniziere ich, was geschehen ist? Und auf welchen Kanälen? Wir mussten zum Beispiel in der Krise auf Threema umstellen. Ebenso sollte man klären, wie man sich als Firma organisiert und welche Partner einem potenziell helfen können. Ich rate allen, schon im Voraus einen Schritt weiterzudenken.