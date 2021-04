IT-KRIMINALITÄT «Es ist brutal»: Die Thurgauer Firma Griesser über den Hackerangriff, den Erpressungsversuch, die Schäden und die mutmassliche Täterschaft Nach der Cyberattacke von Mitte April 2021 hat die Aadorfer Herstellerin von Sonnen- und Wetterschutz den Betrieb wieder hochgefahren und holt Rückstände in der Produktion und Auslieferung auf. Einer erpresserischen Lösegeldforderung der Hacker hat Griesser widerstanden. Hinter der Attacke dürfte die Conti-Gruppe stecken. Thomas Griesser Kym 27.04.2021, 05.00 Uhr

Ein Hacker am Werk. Symbolbild: Andrey Popov/Fotolia

Am 13. April 2021 um 2 Uhr nachts haben bei der Griesser AG die Alarmglocken geläutet. Zu diesem Zeitpunkt wurde die Cyberattacke mit Schadsoftware auf die IT-Systeme festgestellt, worauf diese von der IT-Taskforce des Unternehmens eilends heruntergefahren wurden. Doch der Schaden war bereits angerichtet. Die Täter hatten Systemdaten sowie andere Daten verschlüsselt und solche auch abgesaugt, wie Firmenchef Urs Neuhauser sagt. Alle Mitarbeitenden, Kunden und Partner seien über den Angriff transparent informiert worden.

Am 19. April 2021 hat Griesser auf der Website Entwarnung gegeben. Seither hat das Unternehmen den Normalbetrieb wieder hochgefahren und arbeitet mit Zusatzschichten in Produktion und Logistik, um den je nach Abteilung zwei- bis viertägigen Betriebsunterbruch aufzuholen. Insgesamt dürfte der Sondereffort laut Neuhauser zwei Wochen dauern. Bei einzelnen Kunden gebe es Verzögerungen von ein paar wenigen Tagen, doch habe man keine Kundenbeschwerden erhalten, und Neuaufträge habe man per Mail und Telefon stets entgegennehmen können.

Auf «mehrere Millionen Franken» erpresst

Urs Neuhauser, Chef der Griesser-Gruppe. Bild: Reto Martin

Der geschäftliche Schaden wird laut Neuhauser momentan eruiert. Über den Cyberangriff als solchen sagt er:

«Es ist brutal.»

Am Werk gewesen sei «eine verbrecherische Organisation, hochintelligent, blitzschnell und mit hoher krimineller Energie». Mit der Attacke mit Ransomware, also einem Verschlüsselungstrojaner, hätten die Täter «enormen Druck auf das Unternehmen» ausgeübt.

Laut Neuhauser deponierten die Angreifer in Griessers IT-System eine Lösegeldforderung und verlangten für die Entschlüsselung der Daten Bitcoin im Wert von «mehreren Millionen Franken». Griesser gab der Erpressung nicht nach, unter anderem weil man über funktionierende Back-ups (Sicherungskopien) aller verschlüsselten Daten verfügte.

Genaues Ausmass des Datenabflusses wird noch ermittelt

Aktuell könne nicht ausgeschlossen werden, dass vom Cyberangriff auch Daten von Kunden, Mitarbeitenden und Partnern betroffen seien. Und man könne nicht ausschliessen, dass die Hacker gestohlene Daten veröffentlichen. Weil mit Griesser ein Industrieunternehmen attackiert wurde, «könnten auch Industriespionage und Veröffentlichung von Betriebsgeheimnissen im Vordergrund stehen», sagt Neuhauser.

Das Produktionswerk am Hauptsitz der Griesser-Gruppe in Aadorf. Bild: PD

Betroffen vom Hackerangriff war Griesser in ganz Europa, also die Produktionsstätten am Hauptsitz in Aadorf und jene in Österreich und Frankreich. Die Ermittlungen werden von den Behörden im Thurgau und im Ausland geführt. Laut Neuhauser haben die Täter im IT-System Spuren hinterlassen, aufgrund derer «ziemlich schnell klar gewesen ist, dass hinter dem Angriff mit an Sicherheit grenzender Wahrscheinlichkeit die Conti-Gruppe steckt».

«Eine zusammengewürfelte Gruppe» Krimineller

Bei Conti handle es sich um «eine zusammengewürfelte Gruppe aus Ransomware-Betrügern», die erstmals ab November 2020 in Erscheinung getreten seien. Das sagte Chester Wisniewski, ein Experte der globalen IT-Sicherheitsfirma Sophos, Ende März 2021 der Zeitung «South Florida Sun Sentinel». Innert fünf Monaten habe die Gruppe annähernd 300 Attacken ausgeführt.

Anfänglich habe die Conti-Gruppe lokale Regierungen, Spitäler oder Schulen ins Visier genommen, weil deren IT-Sicherheitssysteme «oft schwach, zu wenig überwacht und unterfinanziert» seien. Mittlerweile greifen die Conti-Hacker aber auch Unternehmen an. So werden sie etwa mit kürzlichen Attacken auf die schottische Umweltschutzbehörde in Verbindung gebracht, aber auch auf den taiwanischen Industriecomputerkonzern Advantech.

Darum lieben Erpresser Bitcoin

Wie Wisniewski weiter sagte, operieren solche Hackergruppen meist aus Russland oder daran angrenzenden Ländern. Berüchtigt ist beispielsweise die Ukraine. Lösegeld in Bitcoin zu verlangen sei beliebt, weil die Kryptowährung rasch in andere Kryptowährungen umgewandelt werden könne, deren Spuren schwierig zu verfolgen seien.

Wie gross der finanzielle Schaden ist, den Griesser für die Wiederherstellung der IT-Systeme und die Verstärkung der Sicherheitsmassnahmen erlitten hat, kann Neuhauser noch nicht beziffern.

«Aber wir haben eine Cyberversicherung.»

Experten des Versicherers hätten auch sofort Unterstützung angeboten bei der Behebung des Schadens unter Beizug von Spezialisten einer externen IT-Firma.

Die Cloud verheisst mehr Sicherheit

Sieht Neuhauser weiteren Handlungsbedarf bei der IT-Sicherheitsarchitektur? «Wir haben die gängigen Sicherheitsstandards gehabt und keine offensichtlichen Sicherheitslücken», sagt der Chef. Noch seien die Untersuchungen aber nicht abgeschlossen.

Neuhauser sagt auch, beim IT-Hauptsystem Griessers habe man vier bis sechs Tage benötigt bis zur vollen Wiederaufnahme der Geschäftstätigkeit. Dagegen habe man das neue Hauptsystem, das gegenwärtig eingeführt wird und auf einer Cloud-Lösung basiert, innert Stunden wieder hochfahren können. Für Neuhauser heisst das: «Die neuen Cloud-Lösungen bieten bessere Sicherheit.» Der Griesser-Chef sagt aber auch:

«Wenn wir eins gelernt haben, dann das: Es gibt keine absolute Sicherheit.»