Noch im alten Jahr war die Vermögensverwaltungs-Gruppe Aquila gehackt worden. In der Woche vor Weihnachten hatten Kriminelle ihre Verschlüsselungssoftware im System des Unternehmens aktiviert: Betroffen war die Dienstleistungsplattform, auf der Aquila rund 80 Schweizer Vermögensverwalter bedient.

In der Folge des Angriffs, der am 21. Dezember 2021 bemerkt wurde, fuhr Aquila  seine Systeme aus Sicherheitsgründen umgehend herunter. Auch der E-Mail-Verkehr funktionierte rund um den Jahreswechsel im Stammhaus nicht mehr. Die Vermögensverwalter konnten in dieser Zeit jedoch weiterarbeiten und auch auf ihre E-Mails zugreifen, hatten aber keinen Zugriff auf ihre im System hinterlegten Daten.

Nicht betroffen vom Angriff waren die Bank der Gruppe sowie das PMS/CRM-Tool von Aquila: E-Banking, Asset-Management und andere Dienstleistungen waren somit zu jedem Zeitpunkt möglich. Als Inhaber einer Banklizenz hat Aquila aber die Finma über den Cyberangriff informiert und die Strafverfolgungsbehörden eingeschaltet.

Auf Anfrage von inside-it.ch sagt Aquila-Chefin Vivien Jain nun, dass man gezielt und mit mehreren Tools angegriffen worden sei. Von der APT-Attacke seien die Office-Systeme und administrative Applikationen betroffen, aber auch alle virtuellen Server und Desktops seien verschlüsselt worden. "Das Corebanking-System war – wegen der konsequenten Abschottung – zu keinem Zeitpunkt bedroht", erklärt Jain.

Man habe umgehend die Systeme heruntergefahren und Security-Spezialisten eingeschaltet. Die Analyse- und Aufräumarbeiten in Zusammenarbeit mit Experten dauern bis heute an. Der Angriffsvektor wurde mittlerweile eruiert: Die Hacker konnten dank einer gestohlenen Identität über ein Remote-Access-Tool ins System eindringen.

Erst sollten die alten Systeme nach der Bereinigung wieder hochgefahren werden. Dies habe man aber sofort aus Sicherheitsgründen verworfen, sagt Jain. Stattdessen baue man eine neue, zusätzlich gesicherte Umgebung auf, um die Sicherheit noch mehr zu erhöhen. Zu den Massnahmen gehören zusätzliche Netzwerkzonen mit internen Firewalls und die Implementierung der neuesten End-Point-Security-Lösungen, die über ein externes Security Operation Center (SOC) gemonitort werden. Das alles braucht Zeit: Bis zu 6 Wochen können die Arbeiten in Anspruch nehmen, bis alle Services wieder komplett laufen.

Lösegeld will man bei Aquila nicht bezahlen, schliesslich waren die gesamten Daten in einem Backup gesichert. Konkret liege dank mehrfachem täglichen Snapshotting des zentralen Storagesystems die Recovery Point Objective (RPO) bei maximal 6 Arbeitsstunden. Der Datenverlust sei also tief.

Im Darknet ist von einer Bande mittlerweile ein Verzeichnis mit vorgeblich gestohlenen Daten veröffentlicht worden: 21 Verzeichnis-Dateien sowie 53 Office-Dateien, darunter auch Passkopien. Ob die Hacker tatsächlich über die Daten verfügen, kann man aber nicht sagen. Sie haben bislang einzig mit der Veröffentlichung von 1,7 Terabyte gedroht, aber noch keine Datensätze publiziert.

"Die im Darknet angekündigte Veröffentlichung ist uns bekannt, jedoch konnten wir noch keine Spuren eines Datenabflusses feststellen, wie auch kein Beweis, dass die Hacker effektiv über die Daten verfügen", sagt Jain. Die Spurensicherung laufe immer noch, und Aquila erwarte dazu einen detaillierten Bericht in den nächsten Wochen.