Nach Ermotti-Datenklau – der tägliche Kampf gegen die Angreifer aus dem Darknet 

Zwei Stunden und zwei Minuten später berichtete die Westschweizer Newsplattform Letemps.ch über den Datendiebstahl bei der Firma aus Baar ZG: Ein Excel-File mit den Businesskontakten von 100’000 Mitarbeitenden der Grossbank UBS sei in Hackerhände geraten. Sogar die Direktdurchwahl von CEO Sergio Ermotti sei darunter, was die Schwere des Diebstahls erst zeige. All diese Files würden nun im Darknet zum Verkauf angeboten. 

Es war eine Nachricht, die um den Globus ging; Bloomberg, Reuters und dem «Wall Street Journal» war sie eine Eilmeldung wert. Einige Details stimmten indes nicht. So war weder die Durchwahl Ermottis unter den Daten noch seine Handynummer, wie «20 Minuten» berichtet hatte, sondern eine interne Telefonnummer, die von aussen ins Leere führt, wie Chain IQ der Handelszeitung erklärte. 

Ein Reputationsschaden

Trotzdem: Chain IQ wurde Opfer eines Datendiebstahls riesigen Ausmasses. Denn nicht nur UBS-Daten waren betroffen, auch Rechnungszeilen des Vermögensverwalters Pictet gelangten ins Netz. Zweifellos ein Reputationsschaden, der Folgen haben könnte. Laut Bankkreisen überprüft Pictet nun die Zusammenarbeit mit Chain IQ. Pictet selbst erklärt auf Anfrage, dass keine Kundendaten betroffen seien, dass die Bank aber jede Art von Sicherheitslücken sehr ernst nehme. 

Weil Chain IQ als Partner für Beschaffungswesen Dienstleister für Banken wie UBS und Pictet ist, erregte der Fall so grosse Aufmerksamkeit. Dabei ist Chain IQ bereits die 31. Schweizer Firma, die dieses Jahr ins Visier von Hackern geriet. Der Einbruch in Datenzentren ist längst zu einem lukrativen Zweig für Verbrecher geworden. 

Über tausend Angriffsmeldungen

Keine Branche wird verschont, keine Firma ist zu klein. Zielobjekte waren dieses Jahr gemäss Randomware.live die Industrieholding Artemis, die Ausgleichskasse von Swissmem, der Farb- und Lackhersteller Bosshard, der noble Golfklub Schönenberg, der Serviceanbieter Privat-Spitex, die Verkehrsbetriebe Baden-Wettingen (RVBW) und die Finanzfirma Access Financial.

Auch die Non-Profit-Organisation Radix, die in der Gesundheitsförderung aktiv ist, bekam Mitte Juni unerwünschten Besuch. Auch hier wurden Unmengen von Daten abgezogen und obendrein im Firmennetzwerk verschlüsselt. Der Schaden sei nach aktuellem Kenntnisstand gross, heisst es bei Radix. Aufgeschreckt sind auch jene Bundesämter, die Kunden von Radix sind. 

Das Bundesamt für Cybersicherheit (Bacs) verzeichnet pro Woche über tausend Meldungen, die Mehrheit davon betrifft Betrugsversuche. Die Dunkelziffer dürfte aber viel höher liegen, sagen die Experten, denn Cyberangriffe sind seit 1. April nur für systemrelevante Firmen wie Axpo, UBS oder das Elektrizitätswerk der Stadt Zürich (EWZ) meldepflichtig.

Trittbrettfahrer wollen kassieren

Stets gehe es um Erpressung, erzählen betroffene Firmeninhaber. Gefordert werden, je nach Umsatz, zwischen 100’000 und 300’000 Franken. Heikel und entsprechend teurer sind entwendete Personaldaten von VIPs – Firmenchefs, Vermögenden, Dissidenten, Menschenrechtsanwältinnen. Problematisch sind auch Fahrausweise, die bei Firmenwagen im Netzwerk hinterlegt sind. Sie bergen das Risiko eines illegalen Autokaufs mit geklauten Dokumenten. 

Längst hat sich rund ums Hacking ein Ökosystem formiert, das sich «Ransomware as a Service» (RaaS) nennt. Dazu gehören Anbieter wie Darkside, deren Malware man für Angriffe mieten oder kaufen kann. Oder es offerieren anonyme Supporterteams ihre Tech-Expertise gegen einen Prozentsatz der Lösegeldsumme. Plattformen wie Ramp stellen den Erpresserbanden Darkrooms für Verhandlungen mit Opfern zur Verfügung. Gefeilscht wird in der Regel via Torbrowser, der eine hohe Anonymität garantiert.

Dabei drängen die Hacker auf zügige Zahlung, und zwar meist in Kryptowährungen wie Bitcoin oder Monero – Letztere wirbt mit dem Markenversprechen «secure, private, untraceable». Immer verweisen die Hacker auf die tickende Uhr bis zur Datenpublikation. Wird vorher bezahlt, werden der Firma die Entschlüsselungscodes zugeschickt. Nicht selten verbunden mit dem Versprechen: «Nach deiner Zahlung werden wir dich kein zweites Mal angreifen.» Läuft der Countdown indes ohne Zahlung ab, werden die Daten publiziert oder im Darknet zum Kauf angeboten – sozusagen die Resterampe. 

«Wir warnen Sie»

Im Regelfall ziehen Schweizer Firmen nach einem Cyberangriff externe Berater bei, darunter Scip oder Infoguard. Diese verhandeln in enger Rücksprache mit der Firmenspitze mit den Kriminellen. Die Berater spielen auf Zeit, um die internen Daten zu sichern und betroffene Mitarbeitende oder die Kundschaft vorzuwarnen. 

Meistens sind die Verhandlungen nach wenigen Tagen beendet, manchmal dauert es auch länger, wie bei der Nähmaschinenfirma Bernina, von der die Hackergruppe Alphv Firmendaten entwendete und verschlüsselte. «Wir warnen Sie: Wenn sie unsere Nachrichten ignorieren, Zeit verschwenden oder sich nicht an unsere Regeln halten, werden wir verheerende DDoS-Angriffe auf ihre Server starten», schrieb Alphv im Verhandlungs-Chat, den sie später im Darknet publizierte.

Schliesslich dauerte das Hin und Her zwölf Tage. Mal war die Erklärung für die Verzögerung ein Feiertag, dann war die Geschäftsleitung unerreichbar, dann wieder trat ein technisches Problem auf, oder das Onboarding bei der Kryptoplattform erwies sich als komplex. Am Ende pochte Bernina auf eine Testzahlung von 10 Dollar, um die Funktionstüchtigkeit des Kryptobezahlkanals zu prüfen. Auch damit verging ein Tag.

Firmen verweigern Zahlungen

In der Zwischenzeit schafften es Cybersecurity-Experten von Infoguard, die internen Systeme abzusichern und die Daten wiederherzustellen. Die Handvoll Dollar, die man bezahlt hatte, waren ein Klacks, zumal die Kriminellen anfänglich 1,3 Millionen Dollar verlangt hatten. Das war vor zwei Jahren. 

«Wir empfehlen als Grundsatz, nicht zu zahlen, um das kriminelle Geschäftsmodell nicht zu befeuern», sagt Scip-Chef Marc Ruef. Allenfalls könne eine Teilzahlung aus taktischen Gründen sinnvoll sein, um Zeit zu gewinnen. Heute wollen sich offenbar immer weniger KMU auf das kriminelle Spiel der Hacker einlassen.  

«Es weigern sich immer mehr Firmen, zu zahlen», sagt ein Experte von Infoguard. Zu den Verweigerern gehört Philipp Bosshard von Bosshard-Farben in Rümlang ZH: «Wir haben uns früh entschieden, nichts zu zahlen.» Die Hacker, die sich Cloak nannten, hatten im Frühling noch 250’000 Franken verlangt. 

Auch die RVBW drehten den Erpressern eine lange Nase. «Wir sind zu keinem Zeitpunkt auf die Erpressungsversuche eingegangen und haben bewusst keine Verhandlungen geführt», sagt Marketingleiterin Marija Di Cerbo. Gleich ging die Ausgleichskasse von Swissmem vor, wo Hacker Anfang 2025 Daten geklaut und finanzielle Forderungen gestellt hatten. «Die Spuren der Ermittlungen nach der Täterschaft führten nach Russland», stellte die Kasse nach einer Analyse fest. Anschliessend hob sie das Sicherheitsniveau an und wechselte einzelne IT-Dienstleister aus.

Die Lösegeldsummen schrumpfen

Die Experten von Infoguard haben schon manche Verhandlung geführt. Er sagt, bei bloss 14 Prozent seiner Fälle sei bezahlt worden. Derweil nennen internationale Quellen eine Quote von 15 bis 45 Prozent. Was den Expertinnen und Experten auffällt: Wenn Lösegeld bezahlt wird, sind es viel tiefere Beträge als früher. Vor ein paar Jahren durften die Hacker in der Schweiz noch auf 500’000 Franken und mehr hoffen, in den USA waren es nicht selten 100 Millionen. Doch auch wenn die Raubzüge offenbar weniger rentabel sind als früher – das Geschäft mit dem Hacking blüht. Auch in der Schweiz.

Transparenzhinweis: Chain-IQ-Gründer Claudio Cisullo ist Mitglied des Verwaltungsrats des Verlags Ringier, zu dem auch die Handelszeitung gehört.