Die grossen Hacker-Angriffe 2019

3. Januar 2020, 09:00
  • security
  • crealogix
  • meier tobler
  • cyberangriff
image

Ein Jahresrückblick auf die fünf meistbeachteten Cyber-Angriffe auf Schweizer Unternehmen.

Den Startschuss für die Artikel-Serie zu gehackten Unternehmen gab im Mai die Offix-Gruppe, zu der unter anderem Ecomedia und Oridis gehören. Die Systeme der Firmen wurden "durch einen gezielten, geplanten, massiven und durchorchestrierten Hacker-Angriff lahmgelegt", informierte die Gruppe seine Kunden.
Eingedrungen war die Malware Emotet getarnt als Word-Macro am 15. Mai. Die Schadsoftware kann weitere Schadprogramme nachladen. Im Fall von Offix handelte es sich um Trickbot. Die Malware ist auf das Ausspähen von Kontozugangsdaten spezialisiert und gab diese Informationen dann an die Ransomware Ryuk weiter, die als letzte nachgeladen wurde.
In der Nacht auf Freitag, dem 17. Mai hätten die IT-Security-Systeme zwar Alarm geschlagen, erklärte uns CEO Martin Kelterborn, aber es sei bereits zu spät gewesen da das Citrix-System für einen Fernzugriff auf die Systeme bereits lahmgelegt gewesen sei. Nachdem im Laufe des Freitags das Ausmass des Angriffs ersichtlich geworden war und laufend weitere Systeme nicht mehr funktionierten, habe man alle Systeme heruntergefahren.
Wie Kelterborn weiter ausführte, sei ein Grossteil der IT-Systeme betroffen gewesen, jedoch mit Ausnahme aller Linux-Server und des Warenwirtschaftssystems. Man war "faktisch tot". Dies obwohl man zu Jahresbeginn die IT-Security noch von externen Experten überprüfen liess.
Das Krisenmanagement im Unternehmen habe sehr gut funktioniert, lobte Kelterborn sein Team. Im Grunde hätten sämtliche Mitarbeitende zwischenzeitlich für eine von zwei Abteilungen gearbeitet: entweder um die IT zu unterstützen oder um dem Verkauf unter die Arme zu greifen.
Ende Juli wurde dann die IT-Infrastruktur des Gebäudetechnikers Meier Tobler, der 2018 rund 520 Millionen Franken umgesetzt hatte, lahmgelegt. Das zentrale SAP-System, das Lagerleitsystem, die Festnetz-Telefonie, die Website und alle E-Mail-Adressen funktionierten nicht mehr. Da Lager und Lieferlogistik direkt betroffen waren, könne das Unternehmen erst nach rund einer Woche wieder Auslieferungen vornehmen, hiess es seitens des Unternehmens.
Durch Medien und Melani wurde bekannt, dass Meier Tobler eine Ransomware eingefangen hatte. Nach vier Tagen hätten die zentralen Systeme wie SAP und das Lagerleitsystem wieder funktionieren, so dass dann wieder Waren ausgeliefert werden konnten, sagte Pressesprecher Martin Schäpp auf unsere Nachfrage. Noch nicht vollfunktionsfähig war aber die Website, die nicht oberste Priorität geniesse.
Kundendaten sollen von dem Cyberangriff nicht betroffen gewesen sein. Im August nannte Meier Tobler Details zum Angriff: Demnach hatte der Vorfall für das gesamte Geschäftsjahr 2019 Umsatzeinbussen von mutmasslich rund fünf Millionen Franken zur Folge. Kosten, die auf immaterielle Fakten wie Kundenärger oder Imageverlust und ähnliches zurückzuführen seien, seien nur schwer zu beziffern, sagte Schäppi.
Bei der eingesetzten Ransomware habe es sich um eine bösartige Variante von "Cobalt Strike" gehandelt. Konkret ins Haus gekommen war der Virus über die Hotelbuchung eines Kollegen.
Ende Juli traf den Bankensoftware-Anbieter Crealogix eine Phishing-Attacke. Die damit eingeschleuste Malware legte "gewisse interne Windows-Arbeitsplätze" lahm, wie Mediensprecherin Jasmin Epp bestätigte. Kunden von Crealogix, RZ-Dienstleistungen oder der Quellcode der hauseigenen Software seien nicht betroffen gewesen.
Man habe den Angriff schnell unter Kontrolle gekriegt, so Epp. Anschliessend wurde laut der Sprecherin intensiv am Wiederaufbau der Systeme gearbeitet, oberste Priorität habe dabei, dass man für die Schadsoftware nicht weitere Türen öffne.
Wie weit der Schaden bereits behoben war sowie genaueres zur Malware oder dem Angriffsvektor, wollte Crealogix aus Sicherheitsgründen und wegen den laufenden Ermittlungen nicht sagen. Aus dem Software-Haus hiess es eine Woche nach dem Angriff: "Wir sind effizient auf dem Weg zum normalen Tagesgeschäft."
Ebenfalls im August erwischte es Omya, einen international tätigen Schweizer Hersteller von Industriemineralien, der 2018 fast dreieinhalb Milliarden Franken umgesetzt hatte. Der Konzern musste aufgrund eines Ransomware-Angriffs den Betrieb in seinen Werken in rund 50 Ländern einstellen.
Die meisten seien nur wenige Stunden stillgelegt gewesen. "Aktuell laufen wieder deutlich mehr als die Hälfte der Werke, mehr als 100 Standorte sind voll in Betrieb", hiess es auf unsere Nachfrage. Man könne die Kunden beliefern, auch wenn es teilweise Engpässe geben könne.
Noch nicht voll in Betrieb war fast eine Woche nach dem Vorfall aber der Konzernsitz im aargauischen Oftringen, so konnte die Telefonistin nur mit einer einzigen Telefonleitung arbeiten. Welche weiteren IT-Systeme betroffen waren, wollte der Sprecher nicht präzisieren.
Im selben Monat fiel schliesslich die Auto AG Group in Rothenburg Hackern zum Opfer. Das Unternehmen führt für den öffentlichen Verkehr Buslinien, ist im Fahrzeugbau tätig und verkauft jährlich rund 1600 Nutzfahrzeuge.
Die IT des Unternehmens war beeinträchtigt, die E-Mail-Kommunikation unterbrochen. Der öffentliche Verkehr sei nicht betroffen, hiess es. Allerdings sei es "möglich, dass in den nächsten Tagen Dienstleistungen durch die Auto AG Group aufgrund des Hackerangriffs und der dadurch entstandenen Beeinträchtigung der IT eingeschränkt erbracht werden können", schrieb die Luzerner Polizei.
Betroffen war der Bereich Nutzfahrzeuge, dort mussten die gesamten Systeme offline genommen werden und Bestellungen seien nur noch manuell möglich, so CEO Marc Ziegler. Eine Forderung der Hacker war noch nicht eingetroffen. (ts)

Loading

Mehr zum Thema

image

Facebook saugt Gesundheitsdaten mit Tracker ab

Eine US-NGO hat ein Tracking-Tool entdeckt, mit dem Facebook Einblick in sensible Daten erhält. Ein Drittel aller untersuchten Krankenhäuser ist betroffen.

publiziert am 21.6.2022
image

Operational Technology ist immer noch schlecht geschützt

Laut einem Bericht von Fortinet existieren weit verbreitete Lücken in der Sicherung von industriellen Steuersystemen und Cyberkriminelle nützen dies sehr häufig aus.

publiziert am 21.6.2022
image

Hackerangriff auf Schweizer Spitalverband

Zur Sicherheit wurden die Server heruntergefahren und die zuständigen Behörden informiert, schrieb der Verband H+ in einer Meldung.

aktualisiert am 21.6.2022 1
image

Vom Offline-Backup zum Krisentraining: Wie das Spital Schwyz seine IT sichert

Ransomware-Banden nehmen das Schweizer Gesundheitswesen ins Visier. Im Gespräch erklärt der IT-Leiter des Spitals, wie er mit der zunehmenden Bedrohung umgeht.

publiziert am 17.6.2022