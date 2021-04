Cyberattacke «Die Angreifer haben keine Lösegeldforderung gestellt»: War der Angriff auf die Wiler IT-Firma halb so wild? Weil Hacker in ihrem Netzwerk wüteten, hat die Firma Online Consulting AG die Websites ihrer Kunden vorübergehend vom Netz genommen. Dazu gehörten auch jene vom Kanton und der Stadt St.Gallen. Hinweise, dass Daten entwendet wurden, gibt es dem Unternehmen zufolge bislang nicht.

Mit sogenannter Ransomware wollten Unbekannte im Netzwerk der Wiler Hostingfirma Online Consulting AG die Kontrolle übernehmen. Bild: Getty Imgaes / Cultura RF

Professionell und aggressiv sei er vorgegangen, der unbekannte Benutzer «Lucy», der in der Nacht auf Donnerstag versuchte, das System der Wiler Softwarefirma Online Consulting AG zu kapern. Zwar konnte der Angriff abgewehrt werden, wie die Firma mitteilt. Vorsichtshalber nahm diese aber sämtliche Systeme ihrer Kunden vorübergehend vom Netz. Darunter auch die Website des Kantons St.Gallen, der Stadt St.Gallen, der St.Galler Verkehrsbetriebe (VBSG) und der Stadtwerke. Die St.Galler Behörden waren über 24 Stunden offline. Der Angriff betraf allerdings nur die Hosting-Firma und somit nur die Websites, nicht etwa die Netzwerke von Stadt und Kanton. Seit Freitagmorgen sind die Seiten wieder aktiv.

Wie lautet die bisherige Bilanz der Cyberattacke? «Wir haben keine Hinweise gefunden, dass Daten entwendet wurden», sagt Balz Zürrer, CEO der Online Consulting AG. «Die Angreifer haben auch keine Lösegeldforderung gestellt.» Das sei gemäss Experten ein gutes Zeichen.

Dem Systemadministrator der Firma war das Verhalten des unbekannten Nutzers in der Nacht auf Donnerstag aufgefallen. Gegen 3 Uhr morgens gelang es mit Hilfe externer Experten, die Angreifer aus dem Netzwerk zu drängen. Bei diesem Angriff handle es sich um eine klassische Ransomware-Attacke, sagt CEO Zürrer. Ransom ist englisch für Lösegeld, es geht also um Erpressersoftware, mit deren Hilfe sich Hacker Zugriff zum System verschaffen, um Daten zu verschlüsseln und Lösegeld zu verlangen. Einmal im Netz der Wiler Firma, habe dann der Eindringling versucht, mit Hilfe von speziellen Tools höhere Zugriffsrechte zu erlangen, sagt Zürrer.

«Wir erleben alle zwei Wochen einen solchen Fall»

Wieso aber greifen Hacker ein mittelgrosses Ostschweizer Hosting-Unternehmen an? Die Frage geht an Cyrill Brunschwiler, er ist Experte für Cybersicherheit und Geschäftsführer der Firma Compass Security in Rapperswil. Es sei unwahrscheinlich, dass es sich um eine gezielte Attacke gehandelt habe, sagt Brunschwiler. «Ich nehme eher an, dass das Unternehmen Opfer eines Massenangriffs wurde.» Für solche Angriffe streuen Hacker Dateien mit schädlicher Software, zum Beispiel über E-Mail. Das sind häufig sogenannte Makros, programmierte Ketten von Ausführungen, die mit einem einzigen Befehl aktiviert werden – etwa beim Öffnen einer angehängten Datei. So stossen sich Hacker ein Türchen zum System auf. Wie genau das Netzwerk der Wiler Firma infiziert wurde, ist derzeit noch unklar.

Erpressungsversuche seien häufig, sagt Brunschwiler. «Wir erleben alle zwei Wochen einen solchen Fall.» Gerade wegen der Häufigkeit solcher Attacken sei man gut vorbereitet gewesen, sagt Online-Consulting-CEO Balz Zürrer. Ein professionelles Team von Spezialisten sei ebenso vorhanden wie eine hochwertige Firewall und andere Sicherheitsmassnahmen. «Die Vielzahl der betroffenen Firmen in der Schweiz zeigt, dass ein hundertprozentiger Schutz leider nicht möglich ist.»

Welche Lehre ziehen Kanton und Stadt aus dem Zwischenfall? Man werde die Sachlage im Kantonalen Führungsstab und mit dem externen Anbieter genau analysieren, schreibt der Kanton. «Erst dann werden wir eine Schlussfolgerung ziehen und konkrete Schritte tätigen können.» Analysieren will auch die Stadt. Grundsätzlich sei man aber mit der externen Hosting-Lösung bislang gut gefahren. Sensible Daten wie Steuerdaten seien wegen des Angriffs gemäss Kanton nie gefährdet gewesen, da diese über andere Systeme laufen.