Da hat man schon kein Glück, und dann kommt auch noch Pech dazu. Und am Ende ist man um 160 000 Franken ärmer. Ein Grund, Trübsal zu blasen, ist das für Elio Frapolli aber nicht. Der Inhaber des Dietiker Hotels Sommerau-Ticino kann immer noch lachen. «Man muss auch so etwas optimistisch nehmen. So schnell verlieren wir unseren Spirit nicht.»
An den Zeitpunkt der Attacke kann er sich noch ganz genau erinnern.

Am 23. März um 13.35 Uhr hatte ein Mitarbeiter – wohl durch das Öffnen einer verseuchten Mail – die Infektion ausgelöst, die auf die 20 anderen Arbeitsstationen und den Server übergriff. Betroffen war zwar nur das Intranet und nicht das PC-eigene Laufwerk C, aber auf das operative Geschäft des Hotels hatte der Befall massive Auswirkungen. «Praktisch alle Software-Programme wie Front-Office-Reservationssysteme, Buchungsplattformen, Zimmertüren-Schlüsselsysteme, das Debitoren-, das Finanz- sowie das Telefonsystem funktionierten nicht mehr», so Frapolli. Alle Dateien waren plötzlich codiert und liessen sich nicht mehr öffnen.

Alle Daten verloren

Dass Frapolli die Attacke so hart treffen konnte, lag nicht nur an den Cyberkriminellen, sondern auch daran, dass ihn seine bisherige IT-Betreuerfirma fahrlässig ins Messer laufen liess. «Diese Firma, eine der weltweit grössten Software-Unternehmen der USA, die uns jahrelang Zehntausende Franken von Abonnementskosten verursachte, hatte mir versichert, für ausreichenden Virenschutz gesorgt zu haben. Inzwischen mussten wir feststellen, dass dieser absolut ungenügend war», ärgert Frapolli sich. Auch eine Firewall war nicht installiert. Richtig dick kam es aber, als sich herausstellte, dass auch das Datensicherungsprogramm seit Jahren nicht funktionierte. Alle Daten waren verloren. Worst case.

Inzwischen liegt Frapollis IT in den Händen der Dietiker Firma «Graphax». Unter anderen ist der Spezialist Erasmo Presicce seit gut zwei Wochen vor Ort, um zu retten, was zu retten war. Viel war das nicht. Presicce: «Wäre eine Sicherung vorhanden gewesen, hätten wir einfach sämtliche verschlüsselten Daten gelöscht und danach das Backup neu aufgespielt.» So aber stand man dem Virus weitgehend machtlos gegenüber. Die codierten Dateien trugen alle den Anhang «Sage 2». «Das deutet darauf hin, dass es sich um einen Verwandten des aktuellen Virus vom Freitag handelt», so Presicce. Genaueres müsse aber erst analysiert werden.
Jede Datei lotste mit einem «help»-Button auf die Kontaktseite der Cyberkriminellen, wo es dann zur Sache ging. Einen Decodierungsschlüssel sollte es nur gegen die umgehende Zahlung von 1,5 Bitcoins geben; das waren zu diesem Zeitpunkt 2000 Franken. Nach sieben Tagen sollte sich der Betrag verdoppeln. Wenn dann noch nicht gezahlt worden sei, würden die Daten komplett gelöscht.

Nur 50 Prozent entschlüsselt

Also entschloss sich Frapolli, das Lösegeld zu bezahlen. «Einerseits wurde ich ungeduldig, ich wollte das Problem beseitigt haben. Andererseits erwachte meine Neugier. Ich wollte sehen, was passiert», so Frapolli. Über einen Mittelsmann, der über ein Konto für die virtuelle Geldeinheit Bitcoin verfügt, wurden die 1,5 Bitcoins angewiesen. Obwohl schliesslich ein Entschlüsselungscode übermittelt wurde und auch keine weitere Erpresserforderung einging, gelang das Decrypting nur unvollständig. «50 Prozent sind uns immer noch nicht zugänglich», so Frapolli.

Er hoffe aber, dass mit einem noch zu entwickelnden Anti-Viren-Programm auch die restlichen Daten wieder hergestellt werden können. Das Kuriose sei, dass die verlangten Beträge nicht sehr hoch seien, «sonst würden Leute vielleicht noch seltener zahlen». Aber die finanziellen Folgen für die Betroffenen seien gravierend. 160 000 bis 180 000 Franken werde ihn der erpresserische Angriff am Ende gekostet haben, meint er. Dass sein Unternehmen das überhaupt stemmen kann, liegt an dem guten Deal, den er mit der neuen Firma schliessen konnte. Diese hat nun die Systeme im Hotel komplett ersetzt und ist derzeit noch dabei, die Software aufzuspielen.

«Verklagen Sie mal eine US-Firma»

Frapolli trägt sich mit dem Gedanken, die Vorgänger-Firma zu verklagen. «Aber klagen Sie mal gegen eine grosse amerikanische Firma», meint er sarkastisch. Dennoch werde er ihnen Rechnungen schicken. Jetzt ist die Installation auf jeden Fall auf dem neusten Stand und die Daten werden in Echtzeit in der Cloud gesichert. Kann jetzt nichts mehr passieren? «Eine 100-prozentige Sicherheit kann es leider beim Virenschutz nicht geben», meint Presicce. Wie bei der menschlichen Immunisierung durch Impfungen müssten für Computer-Viren immer erst individuelle Anti-Viren-Programme geschrieben werden.

Anderen Betroffenen rät Frapolli, auf keinen Fall Lösegeld zu zahlen, das Risiko sei zu hoch, dass man am Ende den Code trotzdem nicht bekomme. Er mache seinen Fall wo immer möglich publik, um alle KMUs darauf aufmerksam zu machen, wie wichtig eine Überprüfung ihrer IT-Sicherheitsmassnahmen in diesen Zeiten ist. Diese Cyber-Kriminalität sei erst der Anfang einer weltweiten Bedrohung, deren Methoden immer fieser und menschenverachtender würden. «Sie hat uns fast an den Rand des Ruins unserer 86-jährigen Unternehmung gebracht.»