Das Schweizer Unternehmen Swisswindows AG wurde Opfer eines Hacker-Angriffs mit einem Verschlüsselungs-Trojaner und überlebte die Folgen nicht. Das Computersystem des Betriebes wurde im Mai 2019 durch die Ransomware Ryuk infiziert und meldete am 26. Februar 2020 Insolvenz an. Der kriminelle Akt kostete 170 Mitarbeitenden den Arbeitsplatz.
Der inhabergeführte Fensterbauer verwies auf eine über hundertjährige Geschichte. Ursprung des heutigen Unternehmens war eine 1912 gegründete Schreinerei. Sie fusionierte 2009 mit zwei weiteren Unternehmen zur Swisswindows AG. Kunden schätzten die Firma als Produzent hochwertiger Fenster. Zur Produktpalette gehörten ebenfalls moderne Türsysteme. Unternehmenssitz war Mörschwil im Kanton St. Gallen. Der alteingesessene Fensterbauer hatte weitere Produktionsstandorte in Müllheim und Härkingen.
Schon früher Schwierigkeiten
Swisswindows hatte örtlichen Medienberichten zufolge seit einiger Zeit gegen wirtschaftliche Probleme zu kämpfen. Viele Konkurrenten verlagerten die Produktion ins günstigere Ausland. Die Swisswindows-Geschäftsführung hielt dagegen an den Schweizer Standorten fest. Bis 2014 beschäftigte der Betrieb 350 Mitarbeitende. Dann kam es zu einer ersten Entlassungswelle.
Trotz des harten Wettbewerbs gelang es den Managern, den Betrieb als einen der grössten Fensterhersteller in der Schweiz zu etablieren. Die Auftragsbücher waren voll. Nichts deutete auf eine Pleite hin.
Ransomware Ryuk gibt dem Schweizer Fensterbauer den Rest
Im Mai 2019 wurde alles anders. Das Unternehmen erlitt einen Produktionsausfall von mehr als einem Monat. Grund war ein Cyberangriff, der den Verschlüsselungs-Trojaner Ryuk ins Computernetz schleuste. Die Ransomware verschaffte sich Zugang zum Firmennetzwerk und verschlüsselte alle Daten. Für die Freigabe verlangen Cyber-Kriminelle in solchen Fällen hohe Lösegeld-Summen.
Mit einem Schlag stand die Firma ohne Daten da. Das Fensterbauprogramm war komplett verschlüsselt. Alle Aufträge waren nicht mehr einsehbar. Die Mitarbeitenden hatten keinen Zugriff auf Kunden- und Maschinendaten. Das Unternehmen stand still. Eine externe IT-Firma führte zwar täglich Datensicherungen durch. Die Sicherungsdateien hingen aber am Firmenserver und waren dadurch ebenfalls unbrauchbar.
Die Erpresser nutzten aus, dass die Produktion vollständig vernetzt ablief. Für die Schweizer Fensterbauer hiess das: keine einzige Maschine lief mehr. Danach folgte die übliche Masche — das Unternehmen erhielt Bitcoin-Forderungen. Gegen Zahlung eines Lösegelds versprachen die Täter, die Daten freizuschalten. Das Management entschied sich, nicht zu zahlen, und plante die Mittel lieber in den sowieso nötigen Austausch der IT-Infrastruktur zu stecken.
Wirtschaftliche Folgen wurden existenziell
Die wirtschaftlichen Folgen waren anfangs wohl nur teilweise absehbar. Nach Angaben des Managements sprang aufgrund der Ereignisse ein Investor ab. Aufträge liessen sich nicht mehr termingerecht ausführen, was zu empfindlichen Vertragsstrafen führte. Ein allgemeines Chaos entstand, weil die Mitarbeitenden keinen Zugriff auf Terminpläne hatten. Aufträge und Rechnungen suchten sie in Papierform zusammen.
Das Management sah sich bis zu dem Vorfall gut gegen Cyberattacken gewappnet. Geschäftsführer Neša Meta sagte, das Bewusstsein für die Gefahr durch Angriffe aus dem Internet sei in der Schweiz zu gering. So etwas könne ein ganzes Unternehmen zerstören.
Der Verwaltungsrat begründete die Insolvenz ebenfalls mit dem Cyberangriff. Das Unternehmen hatte demnach seit zwei Jahren erfolgreich an einem Sanierungsplan gearbeitet. Die Cyberattacke wurde zum nicht mehr verkraftbaren Rückschlag für das Traditionsunternehmen.
E-Mail mit Folgen
Wahrscheinlich hat eine unscheinbare E-Mail den Fensterbauer in den Ruin gestürzt. Eine Geschichte, aus der sich einiges lernen lässt. Schadsoftware gelangt nicht selten als Anhang unscheinbar aussehender E-Mails auf das Computersystem. Wer den Anhang anklickt, hat meist verloren.
Häufig verstecken sich die Schädlinge in einem Word-Dokument. Ryuk kommt dabei selten allein — es taucht meist als Teil eines mehrstufigen Angriffs auf. Mit dem Klick auf das Dokument aktiviert der Nutzer zunächst einen Schädling namens Emotet. Die US-Behörde für Computersicherheit bezeichnet ihn als das zerstörerischste Schadprogramm der Welt — und als eines der kostenintensivsten.
Ausspähen des Opfers
Emotet ist vor allem Transporteur für weitere Schädlinge. Das Programm rollt zusätzliche Komponenten aus, die den Angriff gefährlich machen. Zunächst kommt Trickbot zum Einsatz. Früher ein reiner Banking-Trojaner, leistet die neueste Version diverse Spionagedienste: Das Tool liest Zugangsdaten aus Webbrowsern und E-Mail-Programmen aus. Ausserdem verankert Trickbot die Schadsoftware im Netzwerk — über Sicherheitslücken in Windows, die früher nur Nachrichtendienste nutzten. Besonders fatal ist die Fähigkeit, die Antivirensoftware unbemerkt abzuschalten. Trickbot versucht, Administratorrechte zu erlangen, und setzt in der Windows-Registry einen Schlüssel, der Passwörter im Klartext abgreift.
Danach kundschaftet Trickbot Systeminformationen aus und analysiert das Netzwerk. Alle gesammelten Daten landen auf einem Server der Täter. Dort wird ausgewertet, ob sich ein Angriff finanziell lohnt.
Mit Ryuk saugen die Erpresser ihr Opfer aus.
Die nächste Eskalationsstufe lässt sich meist etwas Zeit. Die Täter sammeln weitere Informationen über das potenzielle Opfer, das vom Angriff in der Regel nichts mitbekommt. Bei zahlungskräftigen Zielen rollen sie die Ransomware Ryuk aus. Die Software verschlüsselt die Daten, legt einen Grossteil der IT-Infrastruktur lahm, platziert sich auf einem Dateiserver und kopiert sich auf alle anderen Systeme. Betroffene erhalten dann eine Nachricht: wie viel Lösegeld zu zahlen ist, um die Daten zurückzubekommen.
Eine Schwachstelle des Schlüssels ist bisher nicht bekannt. Ohne den passenden Schlüssel ist die Wiederherstellung der Daten nicht möglich. Umso wichtiger ist es, solchen Angriffen von vornherein vorzubeugen.
Gewappnet gegen Cyberkriminalität
Bekannte Schwachstellen müssen geschlossen werden — das ist die Grundvoraussetzung, um Angriffe abzuwehren. Alle Sicherheitsupdates gehören zeitnah eingespielt. System-Backups sind entscheidend, um nach einem Befall Systeme und Daten wiederherzustellen. Sie nützen aber nichts, wenn sie ins Netzwerk eingebunden sind — dann werden sie bei einem Angriff ebenfalls verschlüsselt. Backup-Daten müssen offline aufbewahrt werden. System-Administratoren sollten auf eine saubere Netzwerksegmentierung und eine strikte Rechtetrennung in der Active Directory achten. Lokale Administrator-Konten mit identischen Passwörtern über mehrere Systeme hinweg erleichtern Angreifern die Arbeit erheblich — und sollten vermieden werden.