Hacker-Angriff auf Schweizer Zugbauer Stadler Rail

Wir wissen es längst: Bei einem Hacker-Angriff sind nicht zwangsläufig nur die „Kleinen“ betroffen. Diesmal traf es den Riesen „Stadler Rail“, einen der führenden Hersteller von Schienenfahrzeugen. Höchstwahrscheinlich sind nicht nur wertvolle Daten abgeflossen — auch die Erpressung scheint noch nicht endgültig vom Tisch. Wir schauen etwas genauer hin und erkunden mögliche Zusammenhänge zwischen Erfolg und Angriffsfläche.

Der Fall Stadler

Das Unternehmen hat es selbst veröffentlicht: Über eine hauseigene Pressemitteilung wurde bekannt, dass der Konzern mit Schadsoftware angegriffen wurde. Erst wenige Tage liegt es zurück, dass interne Überwachungsdienste den Hacker-Angriff feststellten. Zudem kommuniziert Stadler eine damit einhergehende Erpressung und einen potenziellen Datenabfluss. Details — zur Höhe des Lösegelds, zur Täterschaft oder zum genauen Ausmass des Datendiebstahls — sind nicht publik.

Stadler scheint mit seiner Reaktion das Richtige getan zu haben: sofortige Sicherheitsmassnahmen, externe Spezialisten, strafrechtliche Anzeige. Der Betrieb läuft wieder wie gewohnt.

Stadler Rail

Vor über 75 Jahren etablierte sich Stadler als Hersteller von Schienenfahrzeugen — und schrieb damit global Erfolgsgeschichte. Was in der Schweiz, genauer in Zürich, begann, ist heute mit vielen Standorten international vertreten. Stadler setzt (gemäss Selbstdarstellung auf dem Unternehmensauftritt) auf modernste Technologie mit klarem Fokus auf Rentabilität und Zuverlässigkeit.

Hacker-Angriff absehbar?

Anfang des Jahres wurden Unruhen unter den Stadler-Aktionären laut. Wo es anfangs boomte, ging der Kurs zuletzt unerwartet zurück. Die Auftragslage war ausserordentlich gut: Allein im ersten Quartal holte Stadler neue Order im Wert von rund 1,4 Milliarden Franken rein. Newcastle bestellte 42 neue Züge — zugehörige Instandhaltungsverträge und Neubauten von Zugdepots sollen über 800 Millionen Franken wert sein.

Vielleicht ging das alles etwas zu schnell? Jedenfalls wurden Börsen-Investitionen vorsichtiger. Die Frage, die sich Investoren stellen dürften: Wie rasant darf Innovation vonstatten gehen, bevor sie zu riskant wird? Ob Stadler in seinem forschen Wachstum zu wenig Fokus auf Cyber-Sicherheit gesetzt hat, bleibt eine theoretische Frage.

Keine Angst vor „Public Shaming“

In einem Punkt gehen wir mit Stadler absolut konform: Es war richtig, Hacker-Angriff und Erpressung publik zu machen. Viel zu oft ziehen sich Opfer aus Scham zurück. Damit gehen wertvolle Erfahrungswerte verloren — und das wirtschaftliche Vertrauen in den Geschäftskontakt kann zusätzlich Schaden nehmen.

Stadlers Kunden machen sich jetzt wahrscheinlich Sorgen, inwiefern ihre eigenen Daten betroffen sind. Trotzdem bezieht der Konzern klare Stellung. Die Pressemitteilung ist keine „Entschuldigung“ — sie hält fest, dass der Angriff professioneller Natur war. Das ist ein wichtiger Punkt: Selbst Marktführer können wir nicht verurteilen. Die Angriffsfläche wächst automatisch mit dem Erfolg.

Trojaner hinter Hacker-Angriff?

Aufgrund der Erpressung liegt die Vermutung nahe, dass sich ein Trojaner hinter der Schadsoftware verbirgt. Trojanische Pferde fressen sich durch das betroffene System und verschlüsseln häufig sowohl ihre Spuren als auch alle Daten, mit denen sie in Berührung kommen. Manche Trojaner-Familien können dabei „Nachrichten“ der Hacker mitliefern — statt der gewohnten Programmfunktionalität erscheinen dann Meldungen mit Erpressungs-Mitteilungen.

Im Fall Stadler drohten die Hacker mit der Veröffentlichung vertraulicher Daten. Den Angriff wollten sie nur gegen Zahlung eines hohen Geldbetrags einstellen.

Die richtige Strategie bei Hacker-Angriff

Wie angedeutet, gehen wir in mehreren Punkten mit Stadlers Reaktion mit. Ein tiefgreifendes Verständnis der Hacker-Hintergründe ist dabei nicht zwingend — meistens geht es um finanzielle Motive, manchmal um Neid, manchmal geschieht es grundlos.

Du musst weder genauso erfolgreich noch ähnlich gut situiert wie Stadler sein, um bei einem Hacker-Angriff richtig zu reagieren.

1. Schnell, aber gezielt: Setz auf dein Business Continuity Management (BCM), wenn du selbst Opfer eines Angriffs bist. Das bedeutet: Systeme zunächst herunterfahren, um die Attacke kurzfristig zu stoppen — dann Schritt für Schritt und mit zusätzlichen Sicherheitsmassnahmen wieder hochfahren.
2. Stadler konnte dank umfangreicher Backups seine Systeme zügig wiederherstellen. Hier gilt: besser Vorsicht als Nachsicht — es ist nie zu spät, in Datensicherungen zu investieren.
3. «Keine Angst vor Public Shaming» klingt nach Wiederholung — ist es auch, aber wir können es nicht oft genug sagen. Informiere deine Mitarbeitenden und Geschäftskontakte. Das gegenseitige Vertrauen zahlt sich aus.
4. Langfristig sind wir nur dann vor neuen Angriffen sicherer, wenn Täter dingfest gemacht werden. Erstatte strafrechtliche Anzeige und lass dir von den Behörden helfen.
5. Hast du alle Massnahmen beherzigt? Dann gibt es keinen Grund, auf eine Erpressung einzugehen. Wer zahlt, finanziert die nächste Attacke.
6. Weitere Strategien zum Umgang bei Hacker-Angriffen findest du (unter anderem) in diesem Blog-Beitrag.