Rheinfelden

Cyberangriff auf Thermalresort: Aargauer Firmen werden zunehmend Opfer von Onlinekriminellen

Auch das Parkresort Rheinfelden wurde Opfer von Cyberkriminellen.

Auch das Parkresort Rheinfelden wurde Opfer von Cyberkriminellen.

Auch im Aargau geraten KMU vermehrt in den Fokus von Onlinekriminellen – die Zahl der Attacken steigt.

Die Aufforderung war eindeutig: Gehen Sie ins Darknet und folgen Sie dort den Anweisungen! Darauf verzichteten Thomas Kirchhofer und seine Mitarbeitenden. Auf Anraten der Polizei. Was sie vermutlich gefunden hätten? Eine Lösegeldforderung und die Anweisung, wie sie das Geld in Bitcoins an die Erpresser zu überweisen hätten.

Ende Juni wurde das Parkresort Rheinfelden, zu dem das Thermalbad Sole Uno gehört, Opfer einer Cyberattacke. Dateien wurden verschlüsselt, klickte man sie an, poppte die Aufforderung auf, ins Darknet zu gehen.

«Ich habe schon von Fällen gehört, in denen ein fünfstelliger Betrag bezahlt wurde und danach die Dateien tatsächlich wiederhergestellt wurden», sagt Kirchhofer, der Geschäftsführer des Parkresorts mit seinen rund 400 Mitarbeitenden. Die Polizei rät dringend davon ab. Wenn niemand zahle, würden diese Attacken aufhören.

«Entführen von Daten» wäre dann kein Geschäftsmodell mehr. IT-Spezialisten sprechen von Ransom- ware, also einer Software, die Daten verschlüsselt mit dem Zweck, ein Lösegeld (Englisch: ransom) zu erpressen. Die Zahl der Fälle nimmt im Aargau zu: 2018 wurden 7 gemeldet, 2019 waren es 8, dieses Jahr bisher schon 17. Die Tendenz sei klar zunehmend, teilt die Kantonspolizei Aargau mit. Allerdings könne man nicht beurteilen, ob dies auf mehr Angriffe zurückzuführen sei oder ob mehr Fälle gemeldet würden. Seit 2019 gehe man stärker auf Unternehmen zu, um sie für Cybersicherheit zu sensibilisieren.

Angriff auf Parkresort über einen Remote-Server

Doch es ist gut möglich, dass das Coronajahr nicht zufällig ein Spitzenjahr ist. «Es ist nicht von der Hand zu weisen, dass besonders kleine und mittlere Unternehmen teilweise vom Lockdown überrascht wurden und nicht genügend auf die Herausforderungen des Homeoffice vorbereitet waren», sagt Pascal Lamia, Leiter Operative Cybersicherheit beim Bund. Wer zuvor schon Remote-Arbeit kannte, war besser vorbereitet. Eine Schutzgarantie gegen Cyber- angriffe war auch das nicht.

Der Angriff auf das Park- resort Rheinfelden erfolgte über einen sogenannten Remote-Server, einen Server, der es Mitarbeitern erlaubt, von aussen auf Dateien des Geschäfts zuzugreifen. Patienten- oder Lohndaten waren dort nicht gespeichert, sie sind speziell geschützt. Aber die Daten der Transaktionssysteme, des Bäderbereichs sowie Office-Dokumente wurden von den Angreifern verschlüsselt.

Dabei gehörte das Parkresort nicht zu den Firmen, die kurzfristig eine Lösung für den externen Zugriff aufbauen mussten. «Wir haben mehrere Aussenstationen und waren vor Corona schon so organisiert. Aber der Remote-Server wurde während des Lockdowns natürlich viel intensiver genutzt», sagt Geschäftsführer Kirchhofer.

Corona als Einflussfaktor

Die Melde- und Analysestelle Informationssicherheit des Bundes (Melani), die zum nationalen Zentrum für Cybersicherheit (NCSC) gehört, hält in ihrem Ende Oktober veröffentlichten Halbjahresbericht dazu fest: «Nach der pandemiebedingten Zunahme der Verwendung von Fernzugriffslösungen haben entsprechende Scanning-Akti- vitäten signifikant zugenommen.» Die Cyberkriminellen haben die Situation genutzt, im Wissen, dass die Zahl der Verwundbaren zugenommen hat.

Und sie sind beim Parkresort auf ein Unternehmen gestossen, das vor der Viruskrise anfällig gewesen wäre. Kein Zufall, wenn man den Bericht der Bundesexperten liest. «Jedes verwundbare System wird früher oder später gefunden und angegriffen.»

Auch kleine Firmen sind im Visier der Cyberkriminellen

Zuletzt gerieten dabei insbesondere auch KMU in den Fokus der Kriminellen. Auf Anfrage teilt die Kantonspolizei Aargau mit: «KMU haben meist keine grossen IT-Budgets und entsprechend fällt das Eindringen in die Systeme leichter.» Und die Angreifer wissen, was sie tun. Denn sie passen auch ihre Forderungen den Zahlungsmöglichkeiten der Unternehmen an.

Damit die Firmen versucht sind zu zahlen, wenn dies günstiger ist, als die IT-Systeme zu bereinigen und allfällige Back-ups zurückzuspielen. «Selbst eine Firma mit nur einer Million Umsatz kann interessant sein, wenn der Aufwand gering ist und sie damit 10000 Franken erpressen können», sagt Pascal Lamia, der ­Cyber-Fachmann des Bundes.

Das Parkresort Rheinfelden hat einen einzigen IT-Angestellten

Bei Bedarf werden externe Spezialisten zugezogen. Beim Angriff im Juni halfen sie beim Wiederherstellen der Daten, führten eine Sicherheitsanalyse durch, schlugen 30 Massnahmen vor und legten Prioritäten fest. Alles in allem hat die Attacke laut Geschäftsführer Kirchhofer Kosten in Höhe von rund 150000 Franken verursacht. Eine Versicherung habe ungefähr einen Drittel davon übernommen. Hinzu kommen weitere 100000 Franken für Investitionen in die IT-Sicherheit.

Den 100-prozentigen Schutz gibt es nicht. Lamia sagt: «Eine der zentralsten Massnahmen gegen Cyberkriminalität ist ein aktuelles und funktionierendes Business Continuity Management. Dabei darf man die ständige Aktualisierung der Betriebssysteme nicht vergessen.» Zudem empfiehlt der Experte eine Firewall, für grössere Unternehmen auch auf den Remote-Servern. Und die Sensibilisierung der Mitarbeitenden, die vermutlich noch immer das schwächste Glied in der ganzen Sicherheitskette sind.

Verwandtes Thema:

Meistgesehen

Artboard 1