Wenn die Systeme Alarm schlagen, ist es häufig zu spät. Der Virus hat sich schon vor Tagen oder gar schon vor Monaten eingenistet. Als Schläfer orientiert er sich in der Umgebung, eruiert Schwachpunkte, öffnet Hintertüren, saugt Daten ab oder installiert weitere Schadsoftware.
Im November war ein solcher Angriff beim Medienkonzern TX Group teilweise erfolgreich. Eine toxische Software legte die Verbindungen in der IT-Infrastruktur lahm. Abonnenten konnten ihre E-Papers nicht laden, Websites waren zeitweise nicht erreichbar. Der erkennbare Schaden hielt sich in Grenzen, die Angriffe hätten abgewehrt werden können, teilte das Unternehmen mit.
Der Aktienkurs sackte dennoch unmittelbar um drei Prozent ab. Nur knapp ist die TX Group damit am Schicksal der deutschen Mediengruppe Funke vorbeigeschrammt. Diese konnte nach einer Hackerattacke kurz vor Weihnachten ihre zwölf Tageszeitungen nur noch als Notausgaben herausgeben.
Die Zahl der Cyberattacken ist seit Jahren hoch, doch die Angriffe werden immer raffinierter, die Ziele immer sensibler, die Abwehrmassnahmen immer aufwendiger. Staaten wie Firmen investieren massiv in den Aufbau von Schutzwällen.
Härter als den Zürcher Medienkonzern traf ein Angriff Mitte Dezember die international tätige Industriegruppe Huber+Suhner. Drei Tage lang war die Produktion stillgelegt. Schrittweise nur konnte die IT-Infrastruktur wieder einem geordneten Betrieb zugeführt werden. Die Medienabteilung erklärt: «Aus betrieblicher Sicht erachten wir die Cyberattacke als abgeschlossen.» Die kriminaltechnischen Ermittlungen seien jedoch noch nicht abgeschlossen.
Die Cyberkriminalität betrifft grundsätzlich alle Bereiche des wirtschaftlichen wie des staatlichen Handelns. Meist geht es darum, Geld zu erpressen. Entweder um damit von den Hackern den Code zu erhalten, mit dem sich die verschlüsselten IT-Systeme wieder funktionsfähig machen lassen, so geschehen etwa im Fall der Funke Mediengruppe und wohl auch bei der TX Group. Oder um zu verhindern, dass beim Hack gestohlene, sensible Dokumente veröffentlicht werden.
Gegen eine solche Erpressung hat sich Stadler-Rail gewehrt. Der Ostschweizer Zugbauer hatte im vergangenen Mai kommuniziert, dass es nach einem Hackerangriff «mit hoher Wahrscheinlichkeit» zu einem Datenabfluss gekommen sei. Während die meisten angegriffenen Firmen zurückhaltend informieren, operiert Stadler offensiv und berichtete auch von einer Erpresserforderung in Höhe von sechs Millionen Dollar, zahlbar in Bitcoins.
Nachdem offensichtlich kein Geld geflossen war, erhöhten die Täter den Druck und stellten einen Teil der Dokumente ins Darknet, der zweiten Ebene des Internets. Über den aktuellen Stand der Ermittlungen nach der Täterschaft schweigt sich die Firma aus. Die Medienstelle erklärt: «Aufgrund des noch laufenden Verfahrens bitten wir um Verständnis, dass wir uns dazu nicht äussern können.»
Stadler ist von der Schadsoftware Nefilim angegriffen worden, die gemäss IT-Experten zu einer neueren Generation von sogenannter Ransomware gehört, die sowohl Systeme verschlüsseln, als auch Daten absaugen kann, was auch als «doppelte Erpressung» bezeichnet wird. Gegen Ersteres scheint Stadler Rail immerhin gewappnet gewesen zu sein, da alle Daten auch als zusätzlich gesicherte Kopien abgelegt waren.
Die Daten des Spuhler-Konzerns wurden veröffentlicht. (Screenshot Twitter) © CH Media
Die Möglichkeiten der Strafverfolger, die Täter zu ermitteln oder gar vor Gericht zu bringen, sind beschränkt. Denn diese operieren nicht nur global vernetzt, sondern auch arbeitsteilig. Cyberkriminelle können Lizenzen für die eingesetzte Crimesoftware erwerben so wie Firmen sich Lizenzen etwa für Microsoft-Produkte beschaffen.
Meist werden Firmen oder Institutionen aber gar nicht gezielt angegriffen, sondern werden zum Opfer eines breit gestreuten Versandes, weil ein Mitarbeiter unvorsichtigerweise einen verseuchten Anhang einers E-Mails geöffnet hat. Dies ist mit grosser Wahrscheinlichkeit der Hintergrund eines Hackerangriffs von dieser Woche auf die Berner Polizei und andere Schweizer Sicherheitsorgane mit dem Schadprogramm Emotet, das ebenfalls darauf ausgelegt ist, Dateien zu verschlüsseln, für deren Entcodierung ein Lösegeld verlangt wird.
Andreas Schneider, der IT-Sicherheitschef der TX Group, ist wenig optimistisch, dass die Angreifer gegen den Konzern ermittelt werden. Die Angriffe würden zusammen mit externen Partnern analysiert. Vielleicht lasse sich herausfinden, wer dahintersteckt, oder liessen sich gemeinsame Muster identifizieren. «Die Wahrscheinlichkeit ist eher gering.»