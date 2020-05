Nach dem Cyberangriff auf Stadlers IT-Netzwerk: «Die Täter sind vielleicht noch immer drin» Unbekannte haben den Ostschweizer Schienenfahrzeugbauer mit Schadsoftware attackiert, mutmasslich Daten gestohlen, und sie erpressen das Unternehmen. Cyberexperte Nicolas Mayencourt sagt, der erfolgreiche Angriff zeige, dass Stadlers IT-Verteidigung nicht gut genug sei, und: Falls Kundendaten abhanden gekommen sind, könnte es saftige Bussen absetzen. Thomas Griesser Kym 09.05.2020, 05.00 Uhr Exklusiv für Abonnenten

Stadler sagt, trotz der Cyberattacke seien die Produktion der Züge und die Serviceleistungen gewährleistet: Blick in die Fertigung am Hauptsitz in Bussnang. Bild: Urs Bucher (5. März 2020)

Cyberattacken nehmen zu. Das hat zum Beispiel vor drei Jahren eine breit angelegte Studie ermittelt, die erstellt wurde vom Versicherungsverband, von diversen IT-Organisationen und vom Bund. In der Studie «Cyberrisiken in Schweizer KMU» heisst es, vor allem mit der digitalen Vernetzung seien «neue Bedrohungen entstanden».

In Zahlen: Schweizweit waren 23'000 KMU von Erpressungen aus dem Cyberspace betroffen und 109'000 Unternehmen von Malware wie Trojanern und Viren. Diese Resultate seien «alarmierend». Vermehrt werden zudem Grossunternehmen attackiert.

Das beobachtet auch Nicolas Mayencourt. Er ist Gründer und CEO der Dreamlab Technologies AG. Das Berner Unternehmen entwickelt und realisiert seit 20 Jahren Sicherheitslösungen für gefährdete IT-Infrastrukturen. Mayencourt sagt:

«Cyberangriffe nehmen seit Jahrzehnten ständig zu. Bis vor 15 Jahren waren sie amateurhaft. Doch mittlerweile sind sie ein Geschäftsmodell der organisierten Kriminalität.»

Meier Tobler war tagelang blockiert

Seit 2016 warnt die Melde- und Analysestelle Informationssicherung des Bundes (Melani) regelmässig vor der Gefahr von Ransomware, also Verschlüsselungstrojanern. Nach einer erneuten Warnung im Mai 2019 griffen in den Wochen danach prompt Cyberkriminelle mehrere Schweizer Unternehmen an, infiltrierten deren IT-Netzwerke mit Schadsoftware und verschlüsselten die Daten mit einem Trojaner.

So geschah es beispielsweise bei der Haustechnikfirma Meier Tobler im Juli vergangenen Jahres. Als Folge konnte das Unternehmen während vier Werktagen keine Auslieferungen vornehmen, und in der Sparte Wärmeerzeugung war die Offertstellung bis in den August hinein lahmgelegt. Resultat in der Jahresrechnung: 10 Millionen Franken Umsatzverlust (auf knapp 500 Millionen Gesamtumsatz) und Sonderkosten von gut 1 Million Franken.

Wer einmal zahlt, zahlt vielleicht wieder und wieder

IT-Sicherheitsexperte Nicolas Mayencourt, Gründer und CEO der Dreamlab Technologies AG. Bild: PD

Als Schutz empfiehlt Melani unter anderem, regelmässig Sicherungskopien der Daten, also Back-ups, zu erstellen, zum Beispiel auf einer externen Festplatte. Diese sollte nach dem Back-up-Vorgang jeweils vom Computer respektive vom Netzwerk physisch getrennt werden, um sie von Angriffen fernzuhalten. Weitere Grundsätze laut Mayencourt: Software aktualisieren, Firewalls pflegen, die Mitarbeitenden kontinuierlich sensibilisieren. Und:

«Ich kann nur raten, nicht alles aus Neugier anzuklicken.»

Auf erpresserische Forderungen sollten sich Unternehmen nicht einlassen. Generell rät Melani davon ab, Lösegeld zu bezahlen. Dies aus mehreren Gründen: Mit Zahlungen unterstütze man die Kriminellen und ermögliche es diesen, ihre Infrastruktur auszubauen und damit weitere Opfer zu erpressen.

Hinzu kommt: Wer einmal zahlt, wird künftig vielleicht wieder als leichte Beute ausgemacht. Zudem gibt es keine Garantie, die Schlüssel für die Wiederherstellung der Daten zu bekommen. Und im Fall eines Datenklaus mit angedrohter Veröffentlichung dieser Daten ist nicht garantiert, dass die Diebe davon auch wirklich absehen.

«Das sehen wir lange nicht bei jedem Unternehmen»

Peter Spuhler, Verwaltungsratspräsident und Ankeraktionär von Stadler, hat ungebetenen Besuch in Form von Cyberkriminellen erhalten. Bild: Urs Bucher (Bussnang, 5.3.20)

Ein solcher Datenklau «noch nicht genau bekannten Ausmasses» hat «mit hoher Wahrscheinlichkeit» auch den Schienenfahrzeugbauer Stadler mit annähernd 11'000 Mitarbeitenden erwischt, wie das Unternehmen von Patron Peter Spuhler am Donnerstagabend mitteilte. Immerhin: Die Back-up-Daten seien «vollumfänglich vorhanden und funktionsfähig», und «die Weiterführung der Produktion neuer Züge sowie der Servicedienstleistungen ist gewährleistet».

Mayencourt beurteilt es zunächst einmal als «extrem gut», dass Stadler funktionierende Back-ups hat. «Das sehen wir lange nicht bei jedem Unternehmen.» Aber: «Die Spurensicherung in der digitalen Forensik ist hoch komplex. Deshalb wird es auch extrem schwierig sein, zu ermitteln, welche Daten abgeflossen sind und wie tief das IT-System infiziert worden ist.» Und der Experte geht noch weiter:

«Die Täter sind in Stadlers IT-Netzwerk eingebrochen, und sie sind vielleicht noch immer drin.»

Das bedeute zum einen: «Die IT-Sicherheit war nicht gut genug, um sich gegen den Angriff zu verteidigen.» Zum anderen sei es «nahezu unmöglich, eine Garantie zu geben, dass das System nach seiner Säuberung von der Schadsoftware auch wirklich vollumfänglich davon befreit ist.»

Wenn ein Schaden richtig teuer werden kann

Bei Stadler sind nach Lesart der Mitteilung keine Daten verschlüsselt worden, und es sind keine Daten verloren gegangen, aber sie sind gestohlen worden, befinden sich jetzt also auch in der Hand der unbekannten Täter.

Das Risiko für Stadler: Die Täter drohen offensichtlich, die Daten zu veröffentlichen, und dies unter der erpresserischen «Forderung hoher Geldbeträge». Dies laut Stadler «zum Schaden des Unternehmens und damit auch seiner Mitarbeitenden».

Die Thurgauer Staatsanwaltschaft ermittelt

Wie könnte so ein Schaden aussehen? Falls die Täter Geschäftsgeheimnisse wie zum Beispiel Angebotsunterlagen zu laufenden Ausschreibungen von Rollmaterialbeschaffungen abgegriffen haben, könnte deren Veröffentlichung Konkurrenten einen Vorteil verschaffen. Eine andere Möglichkeit ist der Verlust von Kundendaten. Mit Verweis auf die EU-Vorschriften zu Datenschutz und Datenintegrität sagt Mayencourt:

«In so einem Fall könnte es für Stadler empfindliche Bussen absetzen.»

Auch Mayencourt sagt mit Blick auf die erpresserische Geldforderung: «Ja nie zahlen.» Denn sonst finanziere man das Geschäftsmodell der Kriminellen, die dafür Zeit und Geld investieren. Mayencourt sagt aber auch, man müsse den Einzelfall begutachten und abwägen zwischen dem Schaden, der aus dem Cyberangriff entstehen kann und einer Zahlung – und dem Risiko, dass die Erpressung weitergeht.

Stadler hat nach dem Angriff die Behörden involviert und die Öffentlichkeit informiert. Damit schafft das Unternehmen von Patron Peter Spuhler Transparenz und signalisiert den Kunden, dass sie keine Ausfälle befürchten müssten. Der Fall liegt nun bei der Thurgauer Staatsanwaltschaft. Dort war am Freitag für eine Stellungnahme niemand verfügbar. Auch Stadler-Sprecherin Marina Winder äussert sich wegen des laufenden Verfahrens nicht weiter.

«Ein essenzieller Erfolgsfaktor»

Bleibt die Frage: Sollten Unternehmen Cyberkriminalität in ihr Krisenmanagement integrieren? Mayencourt sagt:

«Unbedingt. Es kann jeden treffen. Jederzeit.»

Es gebe drei verschiedene Typen von Unternehmen: «Die, die schon gehackt wurden, die, die noch gehackt werden und die, die es nicht merken.» Und: «Solche Angriffe können existenzbedrohend sein.»

Mayencourt sagt auch: «Das Bewusstsein, wie wichtig der Stellenwert der IT-Sicherheit ist, ist zu wenig ausgeprägt.» Es gebe heute «kaum mehr Betriebe, die nicht technologiebasiert sind». Ohne Technologie aber funktioniere der Betrieb nicht. Deshalb müsse gelten:

«IT-Sicherheit ist kein Kostenfaktor, sondern ein essenzieller Erfolgsfaktor.»