notifications
Baar

Cyberattacke  bei KMU sorgte für Chaos

Der Cloud-Anbieter Meta 10 hat eine hektische Woche hinter sich. Mitte Februar wurde das KMU Opfer eines Hackerangriffs mit Schadsoftware. Während mittlerweile fast alle Daten wiederhergestellt werden konnten, laufen die Ermittlungen noch immer.
Bei Ransomware werden Daten verschlüsselt und erst gegen eine Lösegeldzahlung wieder freigegeben. (Bild: Symbolbild: Keystone/Gaetan Bally)

Laura Sibold

«Mehr Sicherheit für ihre Daten» steht auf einem Banner in den Räumlichkeiten des Cloud-Providers Meta 10 in der alten Spinnerei in Baar. Der Slogan erhält einen ironischen Beigeschmack, wurde die Baarer Firma doch vor etwas mehr als einer Woche Opfer einer grossflächigen Cyberattacke. Am 22. Februar gegen 6 Uhr morgens seien die Systeme von Hackern angegriffen worden, berichtet David Frick, der die operativen Geschicke von Meta 10 leitet.

Frick sitzt im Konferenzraum und blickt mit müden Augen auf das Werbebanner. In den ersten zwei Tagen nach der Cyberattacke habe er sich grosse Sorgen gemacht und den Slogan zeitweise in Frage gestellt. «Mit etwas Abstand kann ich jetzt jedoch bestätigen, dass wir den Angriff erfolgreich abgewehrt haben. Unser System ist nach wie vor sicher. Etwa 90 Prozent der Daten waren gar nie betroffen und Verluste gab es nur punktuell», hält Frick fest. In Baar seien während einer Woche rund um die Uhr Techniker im Einsatz gestanden.

Ein lange geplanter und organisierter Angriff

Doch was ist am 22. Februar im Cloud-System der Meta 10 genau passiert? Das Baarer KMU mit knapp 40 Mitarbeitern stellt Kunden eine Cloud zur Verfügung, auf welcher alle Daten, Programme, das Betriebssystem sowie ein Back-up liegen. Das interne Netzwerk ist verschlüsselt und auf den Rechenzentren von Meta 10 gespeichert. Am 22. Februar wurden diese Rechenzentren nun von Hackern angegriffen, die versuchten, sogenannte Ransomware zu aktivieren. Ransomware ist Schadsoftware, die dem Nutzer den Zugriff auf seine Daten sperrt und sie erst gegen die Zahlung eines Lösegeldes freigibt.

«Es handelte sich um einen lange geplanten Angriff mit der neuesten Ransomware GrandCrab 5,2. Dagegen war unser modernes Abwehrsystem Cisco machtlos», sagt David Frick. Der Operative Manager ist überzeugt davon, dass das System von Meta 10 gezielt über einen längeren Zeitraum präpariert worden sei. Teile der Malware seien scheinbar zufällig im System deponiert und erst zu einem gewissen Zeitpunkt zusammengesetzt und aktiviert worden.

«Da es sich nur um einzelne Fragmente handelte, wurden diese nicht erkannt. Als unser System schliesslich doch einen Fehler bemerkte, leiteten wir sofort Gegenmassnahmen ein», erklärt Frick und deutet auf einen ausführlichen Krisenkatalog auf dem Tisch. So wurden die betroffenen Systeme schnellstmöglich heruntergefahren oder isoliert und mit der Suche nach der Malware begonnen. Zudem nahmen Frick und sein Team Kontakt mit der Zuger Polizei sowie mit Spezialisten für Cyberkriminalität auf. Die Zuger Strafverfolgungsbehörden bestätigen auf Nachfrage, dass eine Strafanzeige gegen unbekannt eingegangen sei und die Ermittlungen laufen.

Zur Prävention ist eine Community angedacht

Wie die Täter ins System eingedrungen sind und wer dahintersteckt, wird laut David Frick zurzeit untersucht. Von den rund 200 Kunden seien am Tag der Cyberattacke alle betroffen gewesen und hätten keinen oder nur beschränkten Zugang zu ihrer Cloud gehabt. Allerdings hätten nur etwa zehn Prozent der Kunden länger als einen Tag Probleme gehabt.

Mittlerweile haben fast alle Daten entschlüsselt oder via Back-ups wiederhergestellt werden können, und auch die Datenbankserver sind wieder in Betrieb. «Wir können mit Sicherheit sagen, dass keine Daten manipuliert oder kopiert worden sind. Das Cloud-System funktioniert wieder, es müssen einzig noch gewisse Applikationen rekonfiguriert werden», so Frick.

Meta 10 ist Transparenz ein Anliegen. So will die Firma bald weitere Erkenntnisse zur Cyberattacke offenlegen, damit andere Unternehmen daraus lernen können. David Frick kann sich eine Community aus innerschweizerischen KMU vorstellen, die gemeinsam nach Lösungen gegen Hackerangriffe sucht. «Firmen, die sich an der Community beteiligen möchten, können sich gerne melden. Gemeinsam kann mehr für die Sicherheit unserer Daten unternommen werden», ist David Frick überzeugt.

Kommentare (0)