Cyberkriminalität in der Schweiz«Zahle oder leide» – Wie die Hacker bei Comparis Lösegeld erpressten
Gegenwärtig trifft es die NZZ und CH Media, vor zwei Jahren war es Comparis: Beteiligte schildern, wie sie den Hackerangriff erlebt haben und wie professionell die Bande vorging.
Das Online-Vergleichsportal Comparis lebt von täglich über 200’000 Besuchen auf seiner Website. Da ist ein Systemausfall fatal.
Heute Freitag laufe das Ultimatum für die NZZ und CH Media ab, teilte die Erpressergruppe Play noch gestern Donnerstag mit. Inzwischen hat sie den Termin erneut verschoben. Falls die beiden Medienhäuser, die dasselbe IT-System nutzen, bis am 3. Mai nicht zahlen, will die Cyberbande vertrauliche Daten veröffentlichen – «Projekte, Lohnliste, Informationen von Mitarbeitern».
Was in solchen Fällen hinter den Kulissen geschieht, wird in der Regel nicht bekannt. Auch die NZZ mag nicht darüber informieren. Sie steckt ja noch mittendrin. Der Vergleichsdienst Comparis hingegen ist bereit, dieser Zeitung einen Einblick zu gewähren.
Vor knapp zwei Jahren wurde er auf ähnliche Art und Weise erpresst wie jetzt die beiden Schweizer Medienhäuser. Wir haben mit verschiedenen beteiligten Personen sprechen können. Laut ihnen spielte sich der Fall wie folgt ab:
An einem Mittwochmorgen im Juli 2021 kann die Website Comparis.ch plötzlich nicht mehr aufgerufen werden. Für einen Vergleichsdienst, der von täglich über 200’000 Besuchen lebt, ist dies dramatisch. Gleich mehrere IT-Systeme sind blockiert. Grund dafür ist eine sogenannte Ransomeware-Attacke, hinter der eine Erpressergruppe namens Grief steckt.
Fest entschlossen, nicht zu zahlen
Die Bande versieht die verseuchten Dateien gern mit der Namensergänzung «.payorgrief». Auf Deutsch: «Zahle oder leide.» Konkret fordern die Hacker von Comparis 400’000 Dollar in Kryptowährungen. Doch der Vergleichsdienst ist fest entschlossen, nicht zu zahlen. Eine Überzeugung, die sich später relativieren sollte.
Vorerst hingegen ist man zuversichtlich, das Problem in den Griff zu kriegen. Erstens gehen die IT-Spezialisten davon aus, dass sie die Website schnell wieder zum Laufen bringen – was ihnen auch gelingt. Zweitens sind keine Menschen in Gefahr, anders als etwa bei einem Spital.
Kommt hinzu, dass das Unternehmen unter öffentlicher Beobachtung steht. Mit Comparis lassen sich Tarife von Krankenkassen, Versicherungen, Banken und Telecom-Anbietern im Internet vergleichen. Fallen solche Websites aus, lässt sich dies nicht geheim halten, während man im Stillen das Lösegeld überweist. Überdies hat sich der Vergleichsdienst der Transparenz verpflichtet. Er informiert daher am Tag nach der Attacke per Medienmitteilung und bittet seine Kundschaft um Entschuldigung für die Unannehmlichkeiten.
Den Grossteil der Arbeit machen Bots
Comparis hält sich für gut vorbereitet für einen solchen Fall. Man hat ein Krisenkonzept erarbeitet. Und die Zusammenarbeit im dafür vorgesehenen Krisenstab wurde geübt. Dies erweist sich als grosser Vorteil, die Kommunikation klappt reibungslos. Zwar funktioniert das geschäftliche E-Mail nicht mehr, wohl aber die Chat-Software Slack, über welche die interne Kommunikation stattfindet. Ein Teil des Krisenstabs kann sogar in den Ferien bleiben. Es reicht, an den Onlinesitzungen teilzunehmen und Slack zu verfolgen.
Bei der technischen Analyse helfen externe Berater. Und gleich zu Beginn werden auch die Polizei und der Datenschützer eingeschaltet. Für die Fachleute ist der Angriff auf Comparis keine ausserordentliche Situation, für sie ist das Routine. Denn derartige Erpressungen kommen häufig vor, nur werden sie in den meisten Fällen nicht publik. Das Hacken von Firmen ist längst ein lukratives Business. Ein Wachstumsmarkt.
Wie in anderen Industrien wird ein Grossteil der Arbeit – hier also des Hackens – maschinell erledigt. Sogenannte Bots suchen im Internet nach Schwachstellen. Haben sie eine gefunden, wägen die Hacker Kosten und Nutzen ab: Lohnt sich eine Attacke? Bei Comparis kamen sie offenbar zum Schluss, dass dem so ist.
Die Erpresser erweisen sich als zuverlässig und professionell. Sie rufen nicht aus und bluffen nicht.
Sind die Cyberkriminellen einmal im IT-System drin, nehmen sie sich Zeit, um möglichst viele Daten zu kopieren. Dann verschlüsseln sie diese, und die eigentliche Erpressung beginnt. Meist setzen die Hacker das Opfer gleich doppelt unter Druck. Zum einen legen sie den Betrieb lahm. Zum andern drohen sie damit, vertrauliche Daten wie Lohnlisten, Kundendaten und Informationen über Angestellte zu veröffentlichen oder zu verkaufen.
Dies müssen gegenwärtig auch die NZZ und CH Media erfahren. Sie haben die Wahl zwischen Pest und Cholera: Bezahlen sie ihre Erpresser, tragen sie dazu bei, dass deren Geschäft floriert und expandiert. Zahlen sie nicht, müssen sie wohl leiden. «Pay or grief.» Das ist belastend. Erst recht, wenn man unter Beobachtung der Öffentlichkeit steht.
Der eigentliche Umgang mit den Erpressern hingegen hat sich bei Comparis als überraschend nüchtern herausgestellt. Da wird nicht ausgerufen und nicht geblufft. Stattdessen erweisen sich die Cyberkriminellen als zuverlässig und professionell. Sie halten ihre Versprechen und treten wie Geschäftspartner auf.
Die Polizei verhandelt nicht
Die Verhandlungen führt nicht etwa die eingeschaltete Polizei, sondern der damalige CEO von Comparis. Er kann sich mit den Erpressern unkompliziert auf Englisch unterhalten – ohne dass es der Polizei gelingt, das Gegenüber zu identifizieren.
Es ist auch nicht die Polizei, die bestimmt, ob bezahlt wird oder nicht. Dieser schwierige Entscheid bleibt Comparis überlassen. Nach wochenlangem Leiden machen die Eigentümer des Unternehmens eine nüchterne Kosten-Nutzen-Abwägung. Sie kommen zum Schluss, dass es viel teurer käme, alle noch verschlüsselten essenziellen Dateien nach dem partiell zerstörten Back-up wiederherzustellen. Und sie zahlen einen Teil des verlangten Betrags.
Es ist eine Kehrtwende, die viele verblüfft und zum Teil verärgert. Auch im eigenen Unternehmen. Und es zeigt, dass theoretische Übungen und die brutale Realität zu unterschiedlichen Resultaten führen können.
Fruchtbarer Boden für Cyberkriminelle
Nach der Attacke hat der Vergleichsdienst seine Sicherheitsvorkehrungen nochmals verschärft. Tausende von weiteren Angriffen konnten seither abgewehrt werden. Damit auch andere aus dem Fall lernen können, dürfen wir hier ausführlich darüber berichten.
Die Angst vor einem Reputationsverlust bei den Geschäftspartnern hat sich als unbegründet erwiesen. Die meisten fanden, dies könne jedem passieren. Comparis erhielt rund 20 Rückmeldungen von ähnlichen Fällen, die nie publik gemacht wurden. Etliche der Opfer hatten bezahlt.
Offenbar ist die Schweiz ein fruchtbarer Boden für Cyberkriminelle. Zum einen ist viel Geld zu holen. Zum andern rangiert die Schweiz im «Global Cybersecurity Index», in dem die Internationale Fernmeldeunion das Engagement der Länder für Cybersicherheit misst, auf Platz 42 – hinter Aserbaidschan, Serbien und Tansania.
Fehler gefunden?Jetzt melden.
