Das Schweizer Unternehmen Swisswindows AG wurde Opfer eines Hacker-Angriffs mit einem Verschlüsselungs-Trojaner und überlebte die Folgen nicht. Das Computersystem des Betriebes wurde im Mai 2019 durch die Ransomware Ryuk infiziert und meldete am 26. Februar 2020 Insolvenz an. Der kriminelle Akt kostete 170 Mitarbeitern den Arbeitsplatz.
Der inhabergeführte Fensterbauer verwies auf eine über hundertjährige Geschichte. Ursprung des heutigen Unternehmens war eine 1912 gegründeten Schreinerei. Sie fusionierte 2009 mit zwei weiteren Unternehmen zur Swisswindows AG. Kunden schätzten die Firma als Produzent hochwertiger Fenster. Zu Produktpalette gehörten ebenfalls moderne Türsysteme. Unternehmenssitz war Mörschwil im Kanton St. Gallen. Der alteingesessene Fensterbauer besaß weitere Produktionsstandorte in Müllheim und Härkingen.
Schon früher Schwierigkeiten
Swisswindows hatte örtlichen Medienberichten zufolge seit einiger Zeit gegen wirtschaftliche Probleme zu kämpfen. Viele Konkurrenten verlagerten die Produktion ins günstigere Ausland. Die Swisswindows-Geschäftsführung hielt dagegen an den Schweizer Standorten fest. Bis 2014 beschäftigte der Betrieb 350 Mitarbeiter. Dann kam es zu einer ersten Entlassungswelle.
Trotz des harten Wettbewerbs gelang es den Managern, den Betrieb als einen der größten Fensterhersteller in der Schweiz zu etablieren. Die Auftragsbücher waren voll. Nichts deutet auf eine Pleite hin.
Ransomware Ryuk gibt dem Schweizer Fensterbauer den Rest
Im Mai 2019 wurde alles anders. Das Unternehmen erlitt einen Produktionsausfall von mehr als einem Monat. Grund war ein Cyberangriff, der den Verschlüsselungs-Trojaner Ryuk ins Computernetz schleuste. Die Ransomware verschaffte sich Zugang zum Firmennetzwerk und verschlüsselte alle Daten. Ein dreister Erpressungsversuch, denn für die Freigabe der Daten verlangen die Cyber-Kriminellen hohe Lösegeld-Summen.
Mit einem Schlag stand die Firma ohne Daten da. Das Fensterbauprogramm war komplett verschlüsselt. Alle Aufträge waren nicht mehr einsehbar. Die Mitarbeiter hatten keinen Zugriff auf Kunden- und Maschinendaten. Das Unternehmen stand still. Eine externe IT-Firma führte im Unternehmen zwar täglich Datensicherungen durch. Die Sicherungsdateien hingen aber am Firmenserver und waren dadurch ebenfalls nutzlos.
Die Erpresser machten sich zunutze, dass heute die Produktion vollständig vernetzt abläuft. Für die Schweizer Fensterbauer bedeutete dies, dass keine einzige Maschine mehr lief. Danach folgte die übliche Masche der Erpresser: Das Unternehmen erhielt Bitcoin-Forderungen. Gegen die Zahlung eines Lösegelds versprachen die Erpresser, die Daten wieder freizuschalten. Das Management der Schweizer Firma entschied sich, der Erpressung nicht nachzugeben. Das Unternehmen plante die finanziellen Mittel lieber in den sowieso nötigen Austausch der IT-Infrastruktur zu stecken.
Wirtschaftliche Folgen wurden existenziell
Die wirtschaftlichen Folgen waren Anfangs wohl nur teilweise absehbar. Nach Angaben aus dem Management sprang aufgrund der Ereignisse ein Investor ab. Die Aufträge konnte der Fensterbauer nicht mehr termingerecht ausführen, was zu empfindlichen Vertragsstrafen führte. Es entstand ein allgemeines Chaos, weil die Mitarbeiter keinen Zugriff auf die Terminpläne hatten. Aufträge und Rechnungen suchten die Beschäftigten in Papierform zusammen.
Das Management sah sich bis zu dem Vorfall gut gegen Cyberattacken gewappnet. Geschäftsführer Neša Meta glaubt, dass es in der Schweiz ein zu geringes Bewusstsein für die Gefahr durch Angriffe aus dem Internet gibt. So etwas könne ein ganzes Unternehmen zerstören, stellte der Unternehmer fest.
Der Verwaltungsrat begründete die Insolvenz ebenfalls mit dem Cyberangriff. Das Unternehmen arbeitete demnach seit zwei Jahren erfolgreich an der Umsetzung eines Sanierungsplans. Die gewaltige Cyberattacke entwickelte sich aber zu einem nicht verkraftbaren Rückschlag für das Traditionsunternehmen.
E-Mail mit Folgen
Wahrscheinlich hat eine unscheinbare E-Mail den Fensterbauer in den Ruin gestürzt. Eine Geschichte, aus der jeder lernen kann. Nicht selten gelangt Schadsoftware als Anhang unscheinbar aussehender E-Mails auf das Computersystem. Klickt der Empfänger den Anhang an, ist es meist schon zu spät.
Häufig verstecken sich die Schädlinge in einem Word-Dokument. Dabei kommt selten ein Schädling allein. Ryuk kommt meist als Bestandteil eines ziemlich brutalen Cocktails auf das System. Mit dem Klick auf das Dokument aktiviert der Nutzer zunächst einen Schädling namens Emotet. In ihm sieht die US-Behörde für Computersicherheit das zerstörerischste Schadprogramm der Welt. Dazu ist es eines der kosten-intensivsten.
Ausspähen des Opfers
Dabei ist Emotet vor allem Transporteur für weitere Schadprogramm. Das Programm rollt weitere Schädlinge aus, die Emotet zu einem gefährlichen Cocktail machen. Zunächst kommt Trickbot zum Einsatz. Früher ein reiner Trojaner fürs Online-Banking, leistet die neuste Version diverse Spionagedienste. So kundschaftet das Tool Zugangsdaten von Webbrowsern oder E-Mail-Programm aus. Außerdem verankert Trickbot die Schadsoftware im Netzwerk. Dazu verwendet es Sicherheitslücken von Windows, die früher nur Nachrichtendienste gegen Firmen und Organisationen nutzten. Fatal ist die Fähigkeit, unbemerkt vom Nutzer die Antivirensoftware auszuschalten. Das Tool versucht, an Administratorrechte zu gelangen und setzt in der Windows-Registry einen Schlüssel, der es ermöglicht, Passwörter in Klarschrift abzufangen.
Danach späht Trickbot Systeminformationen aus und analysiert das Netzwerk. Alle gesammelten Daten sendet es an einen Server der Täter, welche die Daten auswerten. Dabei lässt sich feststellen, ob sich ein Angriff finanziell lohnt.
Mit Ryuk saugen die Erpresser ihr Opfer aus.
Die nächste Eskalationsstufe lässt meist etwas auf sich warten. Die Täter sammeln weitere Informationen über das potenzielle Opfer, das in der Regel vom Angriff nichts merkt. Bei zahlungskräftigen Opfern rollen sie die Ransomware Ryuk aus. Durch das Verschlüsseln der Daten legen sie einen großen Teil der IT-Infrastruktur lahm. Die Software platziert eine Verschlüsselungssoftware auf einen Dateiserver und kopiert sie dann auf alle anderen Systeme. Opfer erhalten von den verschlüsselten Systemen eine Nachricht der Erpresser. In ihr steht, wie viel Lösegeld sie zahlen müssen, um ihre Daten zurückzuerhalten.
Eine Schwachstelle des Schlüssels ist übrigens nicht bekannt. Ohne die Erlangung des passenden Schlüssels ist somit die Wiederherstellung von Daten unmöglich. Umso wichtiger ist es, derartigen Angriffen vorzubeugen.
Gewappnet gegen Cyberkriminalität
Eine wichtige Voraussetzung, um den Einfall ungebetener Gäste ins System zu verhindern, ist das Schießen bekannter Schwachstellen. Alle Sicherheitsupdates sind zeitnah zu ihrem Erscheinen auszuführen. System-Backups sind eine wichtige Komponente, um bei einem Befall System und Daten wiederherzustellen. Sie nutzen aber nichts, wenn sie im Netzwerk integriert sind. Dann werden die Daten bei einem Befall ebenfalls infiziert und verschlüsselt. Die Offline-Aufbewahrung der Backup-Daten ist deshalb entscheidend. System-Administratoren sollten auf eine gute Netzwerkssegmentierung und eine strikte Rechte-Trennung in der Active Directory achten. Lokale Administrator-Konten, die vielleicht für verschiedene System über identische Passwörter verfügen, erleichtern Erpressern ihre Arbeit und sind zu vermeiden.
