Interview
Sicherheitsexperte Max Klaus: «Hackerangriffe werden immer professioneller»

Die Schwerzenbacher Firma Meier Tobler wurde Opfer eines Hackerangriffes. Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung (Melani) des Bundes, erklärt, wie sich Unternehmen vor solchen Cyberattacken schützen können.

Kevin Weber
Drucken
Teilen
Max Klaus von der Melde- und Analysestelle Informationssicherung des Bundes (Melani) rät Unternehmen ab, auf Lösegeldforderungen einzugehen.

Max Klaus von der Melde- und Analysestelle Informationssicherung des Bundes (Melani) rät Unternehmen ab, auf Lösegeldforderungen einzugehen.

PD

Das Gebäudetechnik-Unternehmen Meier Tobler in Schwerzenbach (Bezirk Uster) geriet ins Fadenkreuz von Hackern: Ein Cyberangriff legte letzte Woche die Firma mit über 1300 Angestellten lahm. Hacker hatten sich Zugriff auf die Systeme verschafft und diese so verschlüsselt, dass sie nicht mehr funktionierten. Das Unternehmen konnte erst gestern Morgen den Betrieb langsam wieder aufnehmen. So liefen die für die Arbeiten notwendigen Betriebssysteme wieder. Heute Dienstag sollen die ersten Lieferungen wieder ausgeführt werden können. Einige andere Systeme, wie beispielsweise die Zeiterfassung der Mitarbeiter, funktionieren dagegen noch nicht.

Die Firma Meier Tobler wurde Opfer eines Cyberangriffes. Wie schätzen Sie den Fall ein?

Max Klaus: Wir wissen, dass es sich um einen Kryptotrojaner handelt, der Daten verschlüsselt. Ein solcher Virus kann ein Unternehmen, wie im Fall von Meier Tobler, wo bis auf den Onlineshop alles lahmgelegt wurde, heftig treffen.

Haben Sie im Fall Meier Tobler Ermittlungen aufgenommen?

Die Untersuchung obliegt der Kantonspolizei. Melani hat keinen Ermittlungsauftrag.

Gemäss der Kantonspolizei häufen sich Cyberangriffe gegen KMU und Grossunternehmen mit einer sogenannten Ransomware. Was ist darunter zu verstehen?

Dies ist ein Schädling, der erpresserische Forderungen stellt. Dieser ist beispielsweise in einem Mailanhang oder einem Link versteckt. Sobald man diesen Anhang öffnet, verbreitet sich der Virus im System. Ob im Fall von Meier Tobler Lösegeldforderungen eingegangen sind, ist uns zurzeit nicht bekannt.

Sollten Firmen das geforderte Lösegeld zahlen?

Wir raten generell von Lösegeldzahlungen ab. Es gibt keine Garantie, dass die betroffenen Firmen danach wieder an die Daten kommen. Zudem unterstützen sie dadurch die Angreifer, die mit der Zahlung ihre Technologie ausbauen können.

Wie können sich Unternehmen gegen solche Angriffe schützen?

Ein tägliches Back-up der Daten ist wichtig. Es lohnt sich auch, verschiedene Datensicherungen auf externen Festplatten zu speichern. Zudem können Firmen eine Cyber-Versicherung abschliessen. Viele Unternehmen stellen Kosten-Nutzen-Rechnungen auf und entscheiden sich für oder gegen eine Cyber-Versicherung.

Wie sollte ein Unternehmen im Angriffsfall handeln?

Dazu gibt es widersprüchliche Meinungen. Eine Option wäre, die Geräte sofort vom Netz zu trennen. Dadurch könnten aber wichtige Daten für eine allfällige Strafverfolgung verloren gehen. Am besten setzt man sich mit einem professionellen IT-Unternehmen in Verbindung, um die infizierten Geräte neu aufzusetzen, und reicht danach Strafanzeige gegen unbekannt ein.

Kann man die anonymen Täter überhaupt ausfindig machen?

Die Kantonspolizei Zürich, in deren Zuständigkeit der Angriff auf Meier Tobler fällt, verfügt über Spezialisten im Cyber-Bereich. Die Ermittlungsarbeit ist aber nicht einfach. Die Hacker wissen genau, wie sie ihre Spuren verwischen können, und sie werden deshalb leider selten verhaftet.

Was sind die Motive der Hacker?

Die meisten wollen durch einen Angriff Geld verdienen oder wichtige Informationen stehlen. Es gibt aber auch sogenannte Hacktivisten, die eine Seite hacken, um politische Propaganda zu verbreiten. Als Beispiel fällt mir da die Badi Wülflingen ein. Deren Website wurde vor einiger Zeit von türkischen Aktivisten gehackt und mit einer türkischen Flagge in der Form der Schweiz versehen.

Wie viele solcher Cyberangriffe verfolgen Sie pro Jahr?

Im vergangenen Jahr erreichten uns rund 9000 Meldungen. Dabei registrieren wir jedoch alle Arten von Meldungen. Vom einfachen Spam-Mail bis hin zu grösseren Fällen, wie beispielsweise dem Angriff auf Meier Tobler.

Gehen Sie davon aus, dass Hackerangriffe mit der fortschreitenden Digitalisierung zunehmen werden?

Ich glaube nicht unbedingt an eine Zunahme. Die Angriffe werden aber immer professioneller. Im Gegensatz zu früher sind die Hacker-Mails heute in einwandfreiem Deutsch verfasst. Zudem gibt es einen Trend, dass Angriffe meistens mit einem Grossereignis wie einer Naturkatastrophe zusammenhängen. Da erreichen die Hacker die Leute vielmals mit einem Spendenaufruf, hinter dem sich eine Schadsoftware versteckt.

Nach und nach werden die IT-Systeme wieder in Betrieb genommen

Es handelt sich um einen schweren Angriff «mit viel krimineller Energie». So beschrieb Martin Schaeppi, Mediensprecher von Meier Tobler, den Cyberangriff auf das Schwerzenbacher Gebäudetechnikunternehmen. Hacker hatten sich letzte Woche Zugriff auf die Firmensysteme verschafft und diese so verschlüsselt, dass sie bis heute nicht mehr funktionieren. Mehr wollte das Unternehmen nicht zum Angriff sagen. Ob Lösegeldforderungen eingetroffen sind, wie in solchen Fällen üblich, wollte das Unternehmen auf Anfrage weder bestätigen noch dementieren.

Auch gestern Morgen wollte das Unternehmen keine genauen Angaben über die laufenden IT-Arbeiten machen. Schäppi bestätigt lediglich, dass man «externe Hilfe» von Fachleuten beigezogen hat. Dies sei im Notfallplan der Firma so geregelt.

Betroffen waren das zentrale Datensystem, das Lagerleitsystem, die Festnetz-Telefonie, die Website sowie alle E-Mail-Adressen des Unternehmens. Auch das Lager und die Lieferlogistik funktionierten nicht, weshalb Auslieferungen nicht möglich waren.

Bis gestern Morgen konnten die Folgen des Cyberangriffes noch nicht ganz beseitigt werden. Lediglich eine Not-Website des Unternehmens war aufrufbar. Die Firma teilt jedoch mit, dass der Wiederaufbau der Systeme am Laufen sei. Mediensprecher Schäppi sagte, dass Meier Tobler ab heute Dienstag wieder die ersten Lieferungen rauslassen könne. «Die wichtigen Systeme laufen mittlerweile wieder.» Darunter seien das für die Arbeiten notwendige Betriebssystem SAP, die Festnetz-Telefonie sowie das E-Mail-System.

Somit würden Systeme, die eine «hohe Priorität» haben, wieder funktionieren, sagt Schäppi. «Später kümmern wir uns dann um die kleineren Sachen, wie beispielsweise die Zeiterfassung der Mitarbeiter.» Wieso das Unternehmen ins Fadenkreuz der Hacker geriet und ob wichtige Daten verloren gegangen sind, wird gemäss Schäppi zurzeit untersucht.

Die Kantonspolizei Zürich hat gestern eine Medienmitteilung zum Thema Cyberangriffe versandt – allerdings ohne Bezugnahme auf Meier Tobler. Die Kantonspolizei beobachtet seit Mai einen Anstieg von Cyberangriffen im Kanton Zürich mit sogenannter Ransom-Malware. Die Malware richte bei den betroffenen KMU und Grossunternehmen einen hohen finanziellen Schaden an, da sie Computer verschlüsselt und ganze IT-Systeme lahmlegt.

Die Täter würden sich vorgängig darüber informieren, welche Unternehmen sie angreifen wollen, schreibt die Kantonspolizei. Sie empfiehlt den Unternehmen, ein besonderes Augenmerk auf externe sowie vermeintlich interne E-Mails mit Links und Anlagen zu werfen. Im Schadenfall solle umgehend Anzeige bei der Polizei erstattet werden. Je schneller die Polizei informiert werde, desto grösser sei die Chance einer «erfolgsversprechenden Täterverfolgung». Kevin Weber