Hacker haben Zentralschweizer Firmen im Visier

Laut Fachleuten wiegen sich Kleinbetriebe oft in falscher Sicherheit vor Cyberangriffen. Doch jeder kann Opfer werden. Das zeigen mehrere Zentralschweizer Firmen, die von der gleichen Bande erpresst worden sind.

Autor

Kilian Küttel

In Grossbuchstaben, in schwarz und weiss, teils rot hinterlegt, schreien einem die Worte entgegen: «FILES ARE PUBLISHED». Die Hacker haben also wahrgemacht, womit sie den Betreibern eines Hotels im Kanton Luzern gedroht haben: Zahlt ihr nicht, veröffentlichen wir die Daten, die wir euch gestohlen haben.

Die Veröffentlichung ist das Resultat eines Hackerangriffs, der sich diesen Frühling ereignet haben dürfte. Wann genau, bleibt unklar. Die Hotelführung will gegenüber zentralplus nicht darüber sprechen und den Namen des Hauses nicht öffentlich lesen. Für diesen Artikel ist er auch nicht von Bedeutung.

Wichtig aber ist: Zusammen mit Hunderten anderen Geschädigten findet sich der Name des Hotels noch heute auf dem Blog von Lockbit – einer Hackergruppe, die in Computersysteme eindringt, Daten verschlüsselt, Systeme lahmlegt und den Schaden nur behebt, wenn ihre Opfer Lösegeld zahlen.

Mehrere Ransomware-Attacken erschütterten Firmen und Behörden

«Ransomware-Attacken» heisst dieses Phänomen, das in jüngster Zeit in den öffentlichen Fokus gerückt ist. Hacks auf NZZ und CH Media haben Schlagzeilen gemacht (zentralplus berichtete). Ebenso der Angriff auf die Firma Xplain, bei dem Kriminelle sensible Daten des Bundes erbeutet haben (zentralplus berichtete). Und von einer Attacke auf die Firma Concevis war auch die Stadt Luzern betroffen, wie diese kürzlich mitteilte (zentralplus berichtete).

Das Schema ist immer gleich. Zahlen die Opfer nicht, drohen die Hacker, die Daten an einem Ort zu veröffentlichen, der mehr Mythos ist als Mysterium: im verborgenen Teil des Internets, dem Darknet.

Dieses ist nur über einen speziellen Internetbrowser zu erreichen. Statt Firefox oder Chrome heisst er Tor, ausgeschrieben «The Onion Routing», was eine Anspielung auf die Besonderheit des Browsers ist: Wer Tor nutzt, wird vereinfacht gesagt über mehrere Zwischenstationen umgeleitet, ehe er auf die gewünschte Website gelangt – deshalb die Analogie zur Vielschichtigkeit der Zwiebel (engl. «onion»). Zwischen jeder Station findet eine Verschlüsselung statt, die Herkunft der Nutzerin verschwimmt, die Anonymität steigt: Je länger je mehr; Schicht um Schicht, wie bei einer Zwiebel.

Darknet: Erst Umschlagplatz für Drogen, jetzt Tummelplatz für Hacker

Das Darknet ist nicht illegal, das, was darin passiert hingegen schon. Anonymität lockt Kriminelle, Drogen kauft man auch nicht auf dem Schwanenplatz in Luzern, sondern dort, wo man nicht erkannt wird.

Und während das Darknet in der Vergangenheit fast ausschliesslich als Umschlagplatz für Waffen, Drogen und Medikamente bekannt war, wird es immer stärker zum Tummelplatz für Hackerbanden mit Namen wie Play, CL0P^ oder eben: Lockbit.

Firmen aus Luzern, Zug und Schwyz wurden Opfer von Lockbit

Alle drei Gruppen haben Schweizer Unternehmen angegriffen, immer wieder hatte es Lockbit auf Zentralschweizer Firmen und Institutionen abgesehen. Die Unternehmen sitzen in einer Luzerner Landgemeinde, am Vierwaldstättersee, im Ägerital, im Kanton Schwyz. Sie bieten Finanzdienstleistungen an oder sind im Vertrieb tätig. Fast ausschliesslich handelt es sich um KMU, teilweise kaum grösser als Einmannbetriebe.

Die meisten der fünf betroffenen Organisationen wollten gegenüber zentralplus keine Stellung nehmen und so auch die Frage nicht beantworten, ob sie das Gefühl gehabt hatten, aufgrund ihrer Grösse kein attraktives Ziel für Hacker abzugebgen.

Sie wären nicht allein. Diesem Irrglauben würden viele Leute aufsitzen, sagt Serdar Günal Rütsche, Chef Cybercrime bei der Kantonspolizei Zürich, und als Präsident des «Netzwerks digitale Ermittlungsunterstützung Internetkriminalität» (Nedik) der höchste Cyberpolizist der Schweiz: «Kleinere und mittlere Betriebe schützen sich oft viel zu wenig, weil sie glauben, dass sie nicht interessant sind – und öffnen den Hackern somit die Türen.»

Wenn es hart auf hart kommt, sei es wichtig, die Systeme vom Netz zu trennen, Logs (Ereignisprotokolle des Computers) zu sichern, bei der Polizei Anzeige zu stellen und spezialisierte Firmen zu kontaktieren, die einem bei der Krisenbewältigung helfen.

Hacker griffen Alterszentrum Dreilinden in Rotkreuz an

Also so zu handeln wie das Alterszentrum Dreilindein in Rotkreuz (zentralplus berichtete). Im Frühling 2022 dringen die Hacker von Lockbit ins System ein, mitten in der Nacht, am nächsten Morgen geht nichts mehr: «Bereits frühmorgens wurde die Attacke bemerkt und die externe IT-Abteilung hat das gesamte System heruntergefahren», sagt heute Heimleiter Felix Reichmuth.

Den Angriff hat der «Beobachter» publik gemacht, der Heimleiter spricht mit zentralplus darüber, damit es anderen nicht so ergeht wie ihm und seinem Team: «Die Angreifenden scheinen sich immer neue Wege zu suchen, um ihren Opfern Schaden zuzufügen.» 40'000 Franken waren es im Fall des Rotkreuzer Altersheims, das eine externe Firma beizgezogen hat, um herauszufinden, was passiert ist.

Das Lösegeld bezahlt hätte das Heim nicht, sagt Reichmuth, ebenso wenig hätte man mit den Hackern verhandelt. Damit haben die Verantwortlichen so reagiert, wie das auch Fachleute wie IT-Sicherheitsexperte Marc Ruef empfehlen: «Von der Zahlung eines Lösegelds wird abgeraten, um sich als Opfer nicht attraktiv zu machen und das kriminelle Geschäftsmodell nicht zu bestätigen.»

Über 25 Gigabyte landeten im Darknet

Noch heute wissen die Verantwortlichen im «Dreilinden» nicht sicher, wie die Hacker ins System eingedrungen sind. Dank eines Backups hat das Heim zwar keine Daten verloren, die mitunter sensiblen Inhalte können aber noch heute im Darknet heruntergeladen werden. Es sind über 25 Gigabyte. zentralplus hat die Daten nicht eingesehen, laut dem «Beobachter» landeten unter anderem Unterlagen zur Personalschulung, Finanzkennzahlen, aber auch persönliche Daten von Demenzkranken im Darknet.

«Grundsätzlich sind fast alle Daten betroffen gewesen. Wobei die Angreifer gemäss unseren Erkenntnissen wahllos Daten entwendet haben», sagt Felix Reichmuth. Gleichzeitig unterstreicht der Heimleiter, dass für die Bewohnerinnen und Bewohner während des Angriffs nie eine Gefahr bestanden hätte. Das Patientensystem sei offline verfügbar gewesen.

Was hat das «Dreilinden» aus dem Angriff, der vor etwas über einem Jahr stattfand, gelernt? Es sei ihm zwar immer bewusst gewesen, dass man potenzielles Ziel für einen Angriff sei, trotzdem habe der Schock «tief gesessen», als es passiert sei, sagt Heimleiter Reihmuth. Nach dem Vorfall habe das Alterszentrum die IT-Sicherheit erhöht, die Netzwerkabstimmung verfeinert und die Mitarbeiterinnen und Mitarbeiter geschult: «Mit dem Wissen», so Reichmuth, «dass es wohl nie eine 100-prozentige Sicherheit geben wird. Man darf sich nie sicher fühlen.»

weiterlesen

Dieser Fussballfan landet wegen Fedpol-Hack im Darknet

Hackerangriff: Darum zahlt «CH Media» kein Lösegeld

zentralplus und CH Media einigen sich aussergerichtlich

Immerhin: Im Fall des Luzerner Hotels, das Lockbit im Frühling gehackt haben dürfte, scheint der Downloadlink tot zu sein. Statt zu internen Dokumenten führt er ins Leere, der Dienst sei für das Programm nicht erreichbar, heisst es an mehreren Tagen vom TOR-Browser.

Glück im Unglück? Für Experten jedenfalls ist klar, dass Firmen keine andere Wahl haben, als ihre Sicherheitsmassnahmen à jour zu halten: Software aktualisieren, Programme zur Fehlerbehebung installieren (Patches), eine Firewall aufbauen.

Das kostet Geld. Wie viel, unterscheidet sich von Firma zu Firma. Eines ist ihnen allen gleich: Treffen kann es jeden. «Grundsätzlich stellt sich nicht die Frage, ob man angegriffen wird, sondern wann», so Cyberpolizist Serdar Günal Rütsche.

Und IT-Sicherheitsexperte Marc Ruef sagt: «Leider werden IT-Risiken gerne unterschätzt. Man denkt oder hofft, dass es einen schon nicht erwischen wird.» Das sei dann halt wie beim Poker: «Wer ‹All-In› geht, darf sich nicht beklagen, wenn er alles verliert.»