ANGRIFF AUF SCHWEIZER IT-DIENSTLEISTER BETRIFFT DIVERSE FIRMEN UND LEGT GEMEINDE LAHM

Eine Ransomware-Attacke gegen die Berner Unico Data AG hat weitreichende Konsequenzen. Betroffen sind zahlreiche Kundinnen und Kunden, darunter die Kinokette Pathé und eine Spitalbetreiberin.

Ein Hackerangriff auf die Berner IT-Dienstleisterin Unico Data AG zieht immer weitere Kreise. Am vergangenen Mittwoch mussten die Verantwortlichen an einer eilends einberufenen Medienkonferenz über die Cyberattacke informieren.

Unico Data betreue von Münsingen aus mit rund 75 Angestellten über 100 Kundinnen und Kunden von kleiner und mittlerer Grösse, berichtete das «Thuner Tagblatt». Diese seien schwergewichtig im Raum Bern zu Hause.

«Leider sind wir aktuell von einem Cyberangriff betroffen, welcher zu einer vorsorglichen Abschaltung aller Systeme geführt hat.»

- Telefonbeantworter der IT-Dienstleisterin am Freitagmorgen -

Die Folgen waren für mehrere private Firmen und staatliche Institutionen gravierend, wie Recherchen zeigen.

1. Kinotickets nur vor Ort erhältlich

Im Verlauf der Woche zeigten sich die weitreichenden Konsequenzen der Ransomware-Attacke. So musste die Kinokette Pathé auf ihrer Website darüber informieren, dass der Online-Ticketverkauf bis auf Weiteres nicht möglich sei.

«Aufgrund technischer Probleme ist der Verkauf von Tickets auf unserer Website und in der App aktuell eingeschränkt. Unsere Kinos sind jedoch für euch geöffnet und Tickets können vor Ort gegen Barzahlung gekauft werden (Kreditkarte/Twint nicht möglich).»

- Hinweis zum Ticketkauf am Freitagmorgen -

Die Wiederherstellung der IT-Systeme war gemäss einer Medienmitteilung vom Donnerstag «in Zusammenarbeit mit den zuständigen Behörden im Gang». Die Kommunikation per E-Mail sei vorläufig nicht möglich. Und es könnten noch keine Angaben dazu gemacht werden, wann die Systeme wieder vollumfänglich verfügbar seien.

Pathé Schweiz betreibt Kinos in Basel, Bern, Dietlikon ZH, Ebikon LU, Genf, Lausanne und Spreitenbach AG.

2. Bekannter Werkzeughersteller kämpft mit Problemen

Betroffen ist offenbar auch der Schweizer Werkzeughersteller PB Swiss Tools. Das Traditionsunternehmen mit Sitz in Wasen im Emmental informierte auf seiner Website:

«Seit dem Pfingstwochenende unterliegen die Rechenzentren der Unico Data AG einem Cyberangriff. PB Swiss Tools kann seither als Kunde der Unico Data AG nicht mehr auf die gehosteten Services (VDI, Mail-Exchange, Daten, Applikationen) zugreifen, was den direkten schriftlichen Kontakt mit unseren Anspruchsgruppen einschränkt, den Zugriff auf Daten und interne Programme aktuell verunmöglicht.»

Trotz der Einschränkungen könne man die Produktion im Schichtbetrieb aufrechterhalten, versicherte die Geschäftsführerin Eva Jaisli und bat die Kundschaft um Geduld.

3. Gemeindeverwaltung lahmgelegt

Auch bei der Berner Gemeinde Rüegsau herrschte in den vergangenen Tagen Ausnahmezustand. Die Verantwortlichen informierten am Dienstag, dass die EDV-Anlage der Gemeindeverwaltung ausser Betrieb sei.

«Das EDV-Rechenzentrum der Gemeindeverwaltung ist derzeit von einem Betriebsunterbruch betroffen. (...) Die Dienstleistungen der Verwaltung sind damit sehr eingeschränkt, insbesondere können auch keine E-Mails empfangen, beantwortet oder versendet werden.»

Die betroffenen IT-Systeme würden «in den nächsten Tagen und Wochen sukzessive wieder hochgefahren», zitiert das «Thuner Tagblatt» den Geschäftsführer von Unico Data. Die Bevölkerung müsse sich also gedulden, bis ihre Verwaltung wieder im gewohnten Rahmen funktioniere.

«Einen oder zwei Tage können wir einen solchen Ausfall überbrücken. Dann wird es schwierig.»

- Gemeindeschreiber Bernhard Liechti -

4. Elektro-Engineering-Gruppe bestätigt Angriff

Ebenfalls betroffen ist die Boess-Gruppe, wie eine Vertreterin des Unternehmens gegenüber watson bestätigte. Die auf Elektroingenieur-Leistungen spezialisierte Firmengruppe mit Sitz in Bern betreibt schweizweit 13 Standorte.

5. Spitalbetreiberin und Bierbrauerei betroffen

Als sogenannter «Managed Service Provider» (MSP) bedient Unico Data vor allem kleine und mittlere Unternehmen (KMU), aber auch grössere Unternehmen aller Branchen. Im Rechenzentrum des Berner IT-Dienstleisters nutzen Kunden «Software as a Service» (SaaS) aus der Cloud – doch nach dem Angriff mussten alle Systeme heruntergefahren werden.

Die Bierbrauerei Rugenbräu AG in Interlaken sowie das Depot Zollikofen waren wegen der Ransomware-Attacke nur eingeschränkt erreichbar. Auf der Website hiess es:

«Die IT-Probleme haben zur Folge, dass die über das Internet aktiven Leitungen unterbrochen sind. Es sind dies die Telefonleitungen sowie der E-Mail-Verkehr und das Bestellsystem Drinkline. Wir informieren Sie umgehend, wenn die Panne behoben ist.»

Von der Stilllegung der IT-Systeme betroffen war auch die Siloah-Gruppe in Gümligen, die «führende integrierte medizinische Versorgerin in der Altersmedizin in der Region Bern und deren angrenzenden Gebieten», wie es heisst.

Martin Gafner, Präsident und Delegierter des Stiftungsrates der Stiftung Siloah und Präsident des Verwaltungsrates der Siloah AG, zeigte sich auf Anfrage beeindruckt, wie die Angestellten die schwierige Situation bewältigt hätten. Die Patientensicherheit sei jederzeit gewährleistet gewesen. Und: «Wir sind bereits wieder am Testen der IT-Systeme.»

Die Institution beschäftigt an mehreren Standorten rund 870 Mitarbeitende und betreibt aktuell 95 Betten im Spitalbereich sowie rund 270 Betten im Heimbereich. Sie dürfte zu den grössten Kunden der Unico Data AG gehören.

Wer sind die Angreifer?

Die Hacker- und Erpresser-Bande «Play» hat am Freitag (2. Juni 2023) auf ihrer Data-Leak-Seite im Darknet eine Mitteilung veröffentlicht, die wenig Gutes erahnen liess.

Die Cyberkriminellen spotten:

«Nachdem wir in das Unternehmen Unico eingeführt wurden, haben wir die Dateien der Organisationen, denen es dient, bearbeitet und mitgenommen. Private und persönliche vertrauliche Daten, Kunden- und Mitarbeiterunterlagen, Pässe, Verträge und vieles mehr.»

Zuvor hatte schon der Geschäftsführer von Unico Data, Vince Lehmann, gegenüber den Medien bestätigt, dass es sich um einen Ransomware-Angriff handelt.

«Im Moment haben wir unser gesamtes Rechenzentrum vom Netz getrennt. Wir werden es erst wieder ans Netz anschliessen, wenn wir sicher sind, dass wir dies machen dürfen.»

Die bei verschlüsselten Daten entdeckte Datei-Endung «.play» ist tatsächlich ein klarer Beleg, dass es sich um die gleichnamige Bande handelt, zu deren früheren Opfern unter anderem die Firma Xplain AG sowie die Medienunternehmen NZZ und CH Media (zu dem watson gehört) zählen.

Typisch für die Cyberkriminellen: Den eigentlichen Verschlüsselungsangriff starteten sie ausserhalb der Bürozeiten, und zwar über das Pfingstwochenende. Die IT-Verantwortlichen von Unico Data bemerkten die Malware-Attacke demnach in der Nacht von Samstag, 27., auf Sonntag, 28. Mai.

Unico Data informiert auf ihrer Website über die Fortschritte bei der Eindämmung des Cyberangriffs. Dort heisst es:

«Wir arbeiten an der raschen Wiederherstellung sämtlicher Services. Die Hotline ist im Moment deaktiviert, damit alle Ressourcen der Behebung gewidmet werden können.»

Ebenfalls betroffen?

Das ganze Ausmass des Cyberangriffs gegen die Unico Data AG lässt sich derzeit nur schwer abschätzen. watson nimmt Hinweise zu weiteren betroffenen Organisationen und Unternehmen entgegen. Schreib Digitalredaktor Daniel Schurter per E-Mail oder über die sichere Schweizer Messenger-App Threema. Seine Threema-ID lautet: ACYMFHZX. Alle Hinweise werden vertraulich behandelt.

Quellen

Ransomware-Bande Play hackt Schweizer Anbieterin von Polizei-Software

2023-06-02T07:05:52Z dg43tfdfdgfd