Der tägliche Kampf gegen die Angreifer aus dem Darknet

Es war eine News, die um den Globus ging; Bloomberg, Reuters und dem «Wall Street Journal» war sie eine Eilmeldung wert. Allerdings waren wichtige Details ungenau oder falsch. So war weder die Durchwahl Ermottis gestohlen worden, noch seine Handynummer, wie «20 Minuten» berichtete, sondern eine interne Telefonnummer, die von aussen ins Leere führt. Ohnehin sind die Handynummern und Privatmails von 240 000 VIPs – auch jene von Ermotti - auf dubiosen Websites abrufbar, allerdings nicht gratis, sondern für eine Monatsgebühr von 33 bis 87 Dollar.

Auch Swissmem-Ausgleichskasse betroffen

Nicht nur UBS-Daten waren betroffen, auch Rechnungszeilen des Vermögensverwalters Pictet gelangten ins Netz. Ein Reputationsschaden zweifellos. Aktuell ist Chain IQ die einunddreissigste Schweizer Firma, die dieses Jahr ins Visier von Hackern geriet. Keine Branche wird verschont, keine Firma zu klein: Zielobjekte waren schon gemäss Randomware.live die Industrieholding Artemis, die Ausgleichskasse von Swissmem, der Farb- und Lackhersteller Bosshard, der noble Golfclub Schönenberg, der Serviceanbieter Privat-Spitex, der Verkehrsbetrieb Baden-Wettingen (RVBW) oder die Finanzfirma Access Financial.

Auch die Non-Profit-Organisation Radix, die in der Gesundheitsförderung aktiv ist, bekam Mitte Juni unerwünschten Besuch. Auch hier wurden Unmengen von Daten abgezogen und obendrein im Firmennetzwerk verschlüsselt. Der Schaden sei nach aktuellem Kenntnisstand gross, heisst es bei Radix. Aufgeschreckt sind auch Bundesämter, sie Kunden von Radix sind. Die Angriffe zeigen: Hackerangriffe sind längst eine Plage: Sie lösen hohe Kosten aus und sind schlecht für die Reputation. Das Bundesamt für Cybersicherheit BACS verzeichnet pro Woche über 1000 Meldungen, die Mehrheit davon Betrugsversuche. Die Dunkelziffer dürfte viel höher liegen, sagen Experten. Cyberangriffe sind ab 1. April nur für systemrelevante Firmen wie Axpo, UBS oder EWZ meldepflichtig.

Stets geht’s um Erpressung, erzählen betroffene Firmeninhaber. Gefordert werden – je nach Umsatz - zwischen 100 000 und 300 000 Franken. Heikel und entsprechend teurer sind entwendete Personaldaten von VIPs - Firmenchefs, Vermögende, Dissidenten, Menschenrechtsanwältinnen. Problematisch sind auch Fahrausweise, die bei Firmenautos in Firmennetzwerken hinterlegt sind. Sie bergen das Risiko eines illegalen Autokaufs mit geklauten Dokumenten. 

«Wir werden dich nicht mehr angreifen»

Längst hat sich rund ums Hacking ein Ökosystem formiert, das sich «Ransomware-as-a Service» (RaaS) nennt. Dazu gehört DarkSide, ein Anbieter von Malware-Software, die man für Angriffe mieten oder kaufen kann, dazu gibt’s Tech-Supporter, die ebenfalls Anspruch auf einen Teil der Beute anmeldet. Dann bieten Plattformen anonyme Darkrooms an, die für Verhandlungs-Chats mit Opfern dienen, andere offerieren Services für Lösegeldzahlungen. Verhandelt wird in der Regel via Tor-Webbrowser, der hohe Anonymität garantiert. Dabei drängen die Hacker auf zügige Zahlung, und zwar stets in Kryptowährungen wie Bitcoin oder Monero; letztere wird mit dem Versprechen «Secure, Private, Untracable» beworben. 

Immer verweisen die Hacker auf die tickende Uhr bis zur Datenpublikation. Wird vorher bezahlt, kriegt die Firma die Entschlüsselungscodes zugeschickt. Nicht selten dazu das billige Versprechen: «Nach deiner Zahlung werden wir dich nicht mehr ein zweites Mal angreifen.» Läuft der Countdown indes ohne Zahlung ab, werden die Daten publiziert oder im Darknetz zum Kauf angeboten – sozusagen die Resterampe. 

Im Regelfall, heisst es, ziehen Schweizer Firmen nach einem Cyperangriff externe Berater von Scip oder Infoguard bei. Sie haben Negotiators, die in Rücksprache mit der Firmenspitze verhandeln. Sie spielen auf Zeit, um die internen Daten zu sichern und betroffene Mitarbeitende oder Kundschaft vorzuwarnen. Meistens sind Verhandlungen nach wenigen Tage durch, nicht so bei der Nähmaschinenfirma Bernina, wo die Hackergruppe Alpha eine grosse Datenmenge entwendete und verschlüsselte. «Wir warnen Sie: Wenn sie unsere Nachrichten ignorieren, Zeit verschwenden oder sich nicht an unsere Regeln halten, werden wir verheerende DDoS-Angriffe auf ihre Server starten», schrieben sie im Verhandlungschat. Schliesslich dauerte das Hin und Her 12 Tage. Mal war die Erklärung für Verzögerung ein Feiertag, dann war die Geschäftsleitung unerreichbar, dann trat ein technisches Problem auf oder das Onboarding bei der Kryptoplattform erwies sich als komplex. Schliesslich pochte Bernina auf eine Testzahlung von 10 Dollar, um die Funktionsfähigkeit des Bezahlkanals zu prüfen. Auch das kostete Zeit.

Geschäftsmodell nicht befeuern

In der Zwischenzeit schafften es Cypersecurity, die internen Systeme abzusichern und die Daten wieder herzustellen. Die 10 Dollar, die man bezahlte, waren ein Klacks, zumal die Kriminelle anfänglich 1,3 Millionen Dollar verlangten. Das war vor zwei Jahren. Davon ist man heute weit entfernt. Das liegt auch an der Renitenz der Firmen, es darauf ankommen lassen. «Wir empfehlen als Grundsatz, nicht zu zahlen, um das kriminelle Geschäftsmodell nicht zu befeuern», sagt Scip-Chef Marc Ruef. Allenfalls könne eine Teilzahlung aus taktischen Gründen sinnvoll sein, um Zeit zu gewinnen.

Heute verweigern immer mehr KMUs, mit den Hackern in Kontakt zu treten und über Geldsummen zu diskutieren.  «Es weigern sich immer mehr Firmen zu zahlen», sagt Mathias Fuchs, Geschäftsleitungsmitglied. Zu den Verweigerern gehört Philipp Bosshard von Bosshard Farben in Rümlang: «Wir haben uns früh entschieden, nichts zu zahlen.» Die Hacker, die sich Cloak nannten, hatten 250 000 Franken verlangt. Auch die RVBW-Verkehrsbetriebe machten die lange Nase. «Wir sind zu keinem Zeitpunkt auf die Erpressungsversuche eingegangen und haben bewusst keine Verhandlungen geführt», sagt Marketingleiterin Marija Di Cerbo. Dito die Ausgleichskasse von Swissmem, wo die Anfang 2025 Hacker Daten klauten und finanzielle Forderungen stellten. «Die Spuren der Ermittlungen nach der Täterschaft führten nach Russland», stellten die Kasse fest. Anschliessend hob die Kasse das Sicherheitsniveau an und wechselte einzelne IT-Dienstleister aus.

Heute wird tieferes Lösegeld bezahlt

Mathias Fuchs führte schon manche Verhandlung, auch jene beim Bernina-Hack. Er sagt: Bei bloss 14 Prozent seiner Fälle sei bezahlt worden. Derweilen nennen internationale Quellen eine Quote von 15 bis 45 Prozent. Was den Expertinnen und Experten auffällt: Wenn ein Lösegeld bezahlt sind, dann sind es viel tiefere Beträge als früher. Vor ein paar Jahren, da durften die Hacker in der Schweiz noch auf 500 000 Franken plus hoffen, in den USA wurden vor ein paar Jahren hunderte Millionen bezahlt. 

Transparenz: Chain IQ-Gründer Claudio Cisullo ist Mitglied des Verwaltungsrats von Ringier, zu der auch die «Handelszeitung» gehört.