Die IT von Stadler Rail ist mit Schadsoftware angegriffen worden, sogenannter Ransomware. Wahrscheinlich seien Daten gestohlen worden, meldet der Ostschweizer Schienenfahrzeughersteller. Die Täter hätten Geld verlangt und damit gedroht, Daten zu veröffentlichen. Letztes Jahr konnte die Haustechnikfirma Meier Tobler wegen eines ähnlichen Angriffs vier Tage lang keine Waren ausliefern. Das Vorgehen sei typisch, sagt Cyrill Brunschwiler von Compass Security, einer Firma für IT-Sicherheit.
Cyrill Brunschwiler
Security Analyst
SRF News: Sind Attacken wie diese auf Stadler Rail üblich?
Cyrill Brunschwiler: Dieses Vorgehen beobachtet man erst seit ungefähr einem Jahr. Davor war es so, dass die Ransomware nur die Daten verschlüsselt hat. Die Angreifer haben sich aber inzwischen umorientiert, denn wenn Sie ein gutes Backup haben, können Sie die Daten wiederherstellen. Also werden die Daten von den Angreifern heute zuerst gestohlen, damit man Sie im Nachhinein trotzdem noch erpressen kann.
Stadler Rail betont, ein Backup sei vorhanden, Kunden müssten nicht mit Verzögerungen rechnen. Nimmt die Firma die Veröffentlichung in Kauf?
Nicht primär. Stadler Rail wird sicher Untersuchungen eingeleitet haben, um herauszufinden, welche Daten entwendet wurden. In einer Firma fallen viele unterschiedliche Daten an. Das können Daten über Mitarbeiter oder Produktionsgeheimnisse sein. Es wird höchste Priorität haben, herauszufinden, was entwendet wurde. Je nachdem wird man sich entscheiden, ob man mit der Veröffentlichung der Daten leben kann oder nicht.
Wie gross ist die Versuchung, dass man die Erpresser bezahlt?
Das hat zwei Aspekte. Der eine ist die wirtschaftliche Überlegung: Wenn die Analyse und die Wiederherstellung so teuer ist, dass die Ransomware eine günstige Alternative dazu ist, ist man geneigt, die Summe zu zahlen. Man muss sich aber bewusst sein, dass wenn Sie das Geld bezahlen, der Erpresser dann vielleicht sagt: «Vielen Dank! Jetzt hätte ich gern noch mal den gleichen Betrag.» Oder es kann auch sein, dass wenn Sie zwar bezahlen und einen Schlüssel bekommen, trotzdem nicht alle Daten wiederhergestellt werden.
Je nachdem wird man sich dann entscheiden, ob man mit der Veröffentlichung dieser Daten leben kann oder nicht.
Und dann gibt es natürlich noch den ethischen Aspekt. Sie müssen wissen, solange sie diese kriminelle Seite nähren, werden sie nicht aufhören. Denn solange es etwas zu holen gibt, werden die ihr Schindluder weiter treiben.
Verhindern, dass man angegriffen wird, kann man nicht?
Man kann Massnahmen treffen. Man kann Viren schon auf dem E-Mail-Server herausfiltern oder wenn die Mitarbeiter surfen – mit einem Mechanismus, der zuschlägt, bevor der Schadcode überhaupt auf den Computer trifft. Es gibt aber Restrisiken. Das ist wie eine Impfung. Sie können sich zwar gegen bestimmte Viren impfen, aber wenn sie mutieren, werden Sie dennoch krank.
Stadler Rail ist an die Öffentlichkeit gegangen und sagt, man werde die Summe nicht zahlen. Ist das unüblich?
Nein, wir haben das letztes Jahr schon bei Meier Tobler beobachtet. Es ist eine Frage der Firmenkultur, ob man seine Kunden über alles informiert und nicht etwas unter der Decke mauschelt und nach drei Wochen mit der Botschaft vor der Tür steht, dass man nicht liefern kann. Es gehört einfach zum guten Ton.
Würden Sie sagen, das Bewusstsein für diese Gefahr ist gestiegen?
Absolut. Wir erkennen in der Zusammenarbeit mit anderen Partnern, dass diese Nachricht auch bei den Kleinstunternehmen mittlerweile angekommen ist und man sich um das Thema kümmern muss, weil der Arbeitsausfall sonst existenziell werden kann.
Das Gespräch führte Marc Allemann.
