Die grossen Hacker-Angriffe 2019

3. Januar 2020 um 09:00
  • security
  • crealogix
  • meier tobler
  • cyberangriff
image

Ein Jahresrückblick auf die fünf meistbeachteten Cyber-Angriffe auf Schweizer Unternehmen.

Den Startschuss für die Artikel-Serie zu gehackten Unternehmen gab im Mai die Offix-Gruppe, zu der unter anderem Ecomedia und Oridis gehören. Die Systeme der Firmen wurden "durch einen gezielten, geplanten, massiven und durchorchestrierten Hacker-Angriff lahmgelegt", informierte die Gruppe seine Kunden.
Eingedrungen war die Malware Emotet getarnt als Word-Macro am 15. Mai. Die Schadsoftware kann weitere Schadprogramme nachladen. Im Fall von Offix handelte es sich um Trickbot. Die Malware ist auf das Ausspähen von Kontozugangsdaten spezialisiert und gab diese Informationen dann an die Ransomware Ryuk weiter, die als letzte nachgeladen wurde.
In der Nacht auf Freitag, dem 17. Mai hätten die IT-Security-Systeme zwar Alarm geschlagen, erklärte uns CEO Martin Kelterborn, aber es sei bereits zu spät gewesen da das Citrix-System für einen Fernzugriff auf die Systeme bereits lahmgelegt gewesen sei. Nachdem im Laufe des Freitags das Ausmass des Angriffs ersichtlich geworden war und laufend weitere Systeme nicht mehr funktionierten, habe man alle Systeme heruntergefahren.
Wie Kelterborn weiter ausführte, sei ein Grossteil der IT-Systeme betroffen gewesen, jedoch mit Ausnahme aller Linux-Server und des Warenwirtschaftssystems. Man war "faktisch tot". Dies obwohl man zu Jahresbeginn die IT-Security noch von externen Experten überprüfen liess.
Das Krisenmanagement im Unternehmen habe sehr gut funktioniert, lobte Kelterborn sein Team. Im Grunde hätten sämtliche Mitarbeitende zwischenzeitlich für eine von zwei Abteilungen gearbeitet: entweder um die IT zu unterstützen oder um dem Verkauf unter die Arme zu greifen.
Ende Juli wurde dann die IT-Infrastruktur des Gebäudetechnikers Meier Tobler, der 2018 rund 520 Millionen Franken umgesetzt hatte, lahmgelegt. Das zentrale SAP-System, das Lagerleitsystem, die Festnetz-Telefonie, die Website und alle E-Mail-Adressen funktionierten nicht mehr. Da Lager und Lieferlogistik direkt betroffen waren, könne das Unternehmen erst nach rund einer Woche wieder Auslieferungen vornehmen, hiess es seitens des Unternehmens.
Durch Medien und Melani wurde bekannt, dass Meier Tobler eine Ransomware eingefangen hatte. Nach vier Tagen hätten die zentralen Systeme wie SAP und das Lagerleitsystem wieder funktionieren, so dass dann wieder Waren ausgeliefert werden konnten, sagte Pressesprecher Martin Schäpp auf unsere Nachfrage. Noch nicht vollfunktionsfähig war aber die Website, die nicht oberste Priorität geniesse.
Kundendaten sollen von dem Cyberangriff nicht betroffen gewesen sein. Im August nannte Meier Tobler Details zum Angriff: Demnach hatte der Vorfall für das gesamte Geschäftsjahr 2019 Umsatzeinbussen von mutmasslich rund fünf Millionen Franken zur Folge. Kosten, die auf immaterielle Fakten wie Kundenärger oder Imageverlust und ähnliches zurückzuführen seien, seien nur schwer zu beziffern, sagte Schäppi.
Bei der eingesetzten Ransomware habe es sich um eine bösartige Variante von "Cobalt Strike" gehandelt. Konkret ins Haus gekommen war der Virus über die Hotelbuchung eines Kollegen.
Ende Juli traf den Bankensoftware-Anbieter Crealogix eine Phishing-Attacke. Die damit eingeschleuste Malware legte "gewisse interne Windows-Arbeitsplätze" lahm, wie Mediensprecherin Jasmin Epp bestätigte. Kunden von Crealogix, RZ-Dienstleistungen oder der Quellcode der hauseigenen Software seien nicht betroffen gewesen.
Man habe den Angriff schnell unter Kontrolle gekriegt, so Epp. Anschliessend wurde laut der Sprecherin intensiv am Wiederaufbau der Systeme gearbeitet, oberste Priorität habe dabei, dass man für die Schadsoftware nicht weitere Türen öffne.
Wie weit der Schaden bereits behoben war sowie genaueres zur Malware oder dem Angriffsvektor, wollte Crealogix aus Sicherheitsgründen und wegen den laufenden Ermittlungen nicht sagen. Aus dem Software-Haus hiess es eine Woche nach dem Angriff: "Wir sind effizient auf dem Weg zum normalen Tagesgeschäft."
Ebenfalls im August erwischte es Omya, einen international tätigen Schweizer Hersteller von Industriemineralien, der 2018 fast dreieinhalb Milliarden Franken umgesetzt hatte. Der Konzern musste aufgrund eines Ransomware-Angriffs den Betrieb in seinen Werken in rund 50 Ländern einstellen.
Die meisten seien nur wenige Stunden stillgelegt gewesen. "Aktuell laufen wieder deutlich mehr als die Hälfte der Werke, mehr als 100 Standorte sind voll in Betrieb", hiess es auf unsere Nachfrage. Man könne die Kunden beliefern, auch wenn es teilweise Engpässe geben könne.
Noch nicht voll in Betrieb war fast eine Woche nach dem Vorfall aber der Konzernsitz im aargauischen Oftringen, so konnte die Telefonistin nur mit einer einzigen Telefonleitung arbeiten. Welche weiteren IT-Systeme betroffen waren, wollte der Sprecher nicht präzisieren.
Im selben Monat fiel schliesslich die Auto AG Group in Rothenburg Hackern zum Opfer. Das Unternehmen führt für den öffentlichen Verkehr Buslinien, ist im Fahrzeugbau tätig und verkauft jährlich rund 1600 Nutzfahrzeuge.
Die IT des Unternehmens war beeinträchtigt, die E-Mail-Kommunikation unterbrochen. Der öffentliche Verkehr sei nicht betroffen, hiess es. Allerdings sei es "möglich, dass in den nächsten Tagen Dienstleistungen durch die Auto AG Group aufgrund des Hackerangriffs und der dadurch entstandenen Beeinträchtigung der IT eingeschränkt erbracht werden können", schrieb die Luzerner Polizei.
Betroffen war der Bereich Nutzfahrzeuge, dort mussten die gesamten Systeme offline genommen werden und Bestellungen seien nur noch manuell möglich, so CEO Marc Ziegler. Eine Forderung der Hacker war noch nicht eingetroffen. (ts)

Loading

Mehr zum Thema

image

Beginnt das WEF, starten die DDoS-Attacken

Prorussische Gruppen melden erste Angriffe in Graubünden. Das Bundesamt für Cybersicherheit sieht kritische Infrastrukturen gewappnet.

publiziert am 20.1.2025
image

Datasport gewinnt den Courage Award

Mit dem Award zeichnen Inside IT und ISSS Unternehmen aus, die nach einem Cyberangriff besonders vorbildlich kommunizierten.

publiziert am 16.1.2025
image

Podcast: Von Melani zum Bacs

Eine gewisse Narrenfreiheit und viel Aufbauarbeit: So verlief die Anfangszeit der Melde- und Analysestelle des Bundes. Im Podcast spricht Inside IT über den Start der Stelle vor 20 Jahren und die Entwicklung zum Bundesamt.

publiziert am 17.1.2025
image

UK-Regierung will Lösegeldverbot und Ransomware-Meldepflicht

Keine Lösegelder mehr von Behörden und allgemeine Meldepflicht auch für Privatunternehmen und -personen, so ein Vorschlag der britischen Regierung.

publiziert am 16.1.2025