Bahnbauer

Hacker veröffentlichen gestohlene Daten von Stadler – und fordern sechs Millionen Dollar

Stadler-Chef Peter Spuhler: Die Cyberkriminellen wollen von seinem Unternehmen sechs Millionen Dollar erpressen.

Stadler-Chef Peter Spuhler: Die Cyberkriminellen wollen von seinem Unternehmen sechs Millionen Dollar erpressen.

Im Internet sind erste Daten aufgetaucht, die Cyberkriminelle beim Schienenfahrzeugbauer entwendet haben. Sie erpressen Stadler mit der Drohung, weitere Daten zu publizieren. Ein Sicherheitsexperte rät dringend davon ab, mit den Tätern zu kommunizieren geschweige denn zu bezahlen.

Vor gut drei Monaten hat der Schienenfahrzeugbauer Stadler einen Cyberangriff auf sein IT-Netzwerk publik gemacht. Die unbekannten Täter haben demnach das System mit einer Schadsoftware (Ransomware) attackiert und Daten unbekannten Ausmasses gestohlen. Mit der Drohung, die Daten zu veröffentlichen, wollen die Kriminellen von Stadler «hohe Geldbeträge» erpressen.

Nun scheint etwas Licht ins Dunkel zu kommen: Auf einem kürzlich eröffneten Twitter-Account, der sich Ransom Leaks nennt, sind erste Bilder des mutmasslichen Datendiebstahls aufgetaucht. Das hat der «Tages-Anzeiger» publik gemacht.

Stadler will sich auf die Erpresser nicht einlassen

Wie die Zeitung schreibt, hat Stadler ihr gegenüber die Veröffentlichung von Daten in einer Stellungnahme bestätigt. Und: Stadler sei auf eine Summe von sechs Millionen Dollar in Bitcoin erpresst worden. Laut «Tages-Anzeiger» sagte eine Sprecherin:

Als Folge habe die Täterschaft nun interne Dokumente von Stadler veröffentlicht, «um Stadler und seinen Mitarbeitenden zu schaden». Es handle sich dabei um vertrauliche Dokumente und Daten, die mittels krimineller Machenschaften Stadler gestohlen worden seien.

Hinweise auf Jahresabschlüsse, Kreditverträge, Landkauf

Stadler weist laut dem Bericht weist zudem darauf hin, dass die Nutzung und Verwendung der Dokumente und Daten illegal sei, die kriminelle Täterschaft unterstütze und eine stetige Zunahme weiterer Cyberangriffe auf Unternehmen jeglicher Art fördere. Stadler hat Anzeige erstattet, die Thurgauer Staatsanwaltschaft ermittelt. Weil vom Cyberangriff die ganze Firmengruppe betroffen ist, hat Stadler laut der Sprecherin in allen Ländern mit Niederlassungen die Datenschutzbehörden kontaktiert.

Auf den auf Twitter veröffentlichten Bildern sind Hinweise ersichtlich auf Jahresabschlüsse, Budgets, einen Konsortialkreditvertrag mit der UBS, das Ruling mit dem Kanton Thurgau hinsichtlich Steuererleichterungen, Dokumente im Zusammenhang mit Stadlers Revisionsgesellschaft KPMG, Bauprojekte am Standort Altenrhein oder einen Landkauf in Erlen, wo Stadler vor zehn Jahren sein neues Inbetriebsetzungszentrum eingeweiht hat. Die Daten scheinen allesamt älter zu sein und aus den Jahren 2008 bis 2016 zu stammen.

Täter drohen mit weiteren Veröffentlichungen

Bild auf Twitter, das den Datendiebstahl bei Stadler belegen soll.

Bild auf Twitter, das den Datendiebstahl bei Stadler belegen soll.

Im Ransom-Leaks-Tweet schreiben die Erpresser, man habe nun einen ersten Teil von Daten veröffentlicht, den man beim Angriff auf Stadler mit einer Schadsoftware namens Nefilim erbeutet habe. Damit zeige man, dass man die Daten besitze und gebe Stadler eine Chance, zu bezahlen, bevor man andernfalls Teil zwei der Daten veröffentliche.

Ein weiteres Twitter-Bild zeigt vor allem Dokumente mit Bezug auf Stadlers Revisionsgesellschaft KPMG.

Ein weiteres Twitter-Bild zeigt vor allem Dokumente mit Bezug auf Stadlers Revisionsgesellschaft KPMG.

Wann es für Stadler heikel werden könnte

Stadler hatte betont, man habe von den mutmasslich gestohlenen Daten funktionierende Back-up-Daten. Deshalb könne die Produktion neuer Züge und die Erbringung von Serviceleistungen wie gewohnt weitergehen.

Die Hacker drohen deshalb mit der Publikation von Daten. Das kann für Stadler heikel werden, falls Daten über Mitarbeitende oder Kunden veröffentlicht werden.

Auch die australische Toll Group wurde infiltriert

Falls beim Angriff auf Stadler tatsächlich eine Schadsoftware namens Nefilim verwendet worden ist, wäre das nicht der erste Fall. Auch die australische Transport- und Logistikfirma Toll ist davon betroffen.

Diese wurde Anfang Monat von Nefilim infiltriert, wobei sich die Hacker Zugang verschafft hätten unter anderem zu Lohnlisten. Im Februar waren bereits die IT-Systeme der Toll Group durch einen Angriff mit einer Schadsoftware namens Mailto erheblich beschädigt worden.

So beurteilt ein Sicherheitsexperte Nefilim

In einem zwei Monate alten Artikel auf dem Sicherheitsportal pcrisk.de schreibt dessen Gründer Tomas Meskauskas über Nefilim. Dieses bösartige Programm funktioniere durch Verschlüsselung der Daten infizierter Systeme mittels kryptografischer Algorithmen, die mit der Software von Drittanbietern nicht entschlüsselt werden können.

Eine Entschlüsselung ist laut Meskauskas ohne den einzigartigen Entschlüsselungsschlüssel, der sich im Besitz der Cyberkriminellen befindet, nicht möglich. Diese Kriminellen versprechen, die betroffenen Daten schnell und sicher wiederherzustellen, wenn ihre Forderungen erfüllt werden.

Normalerweise eine Frist von sieben Tagen

Darüber hinaus behaupten die Täter, eine grosse Menge an Daten ausgefiltert zu haben. Das gehackte Unternehmen wird normalerweise innert sieben Arbeitstagen zur Kontaktaufnahme aufgefordert, andernfalls würden die Daten veröffentlicht. Das Gleiche passiere, falls nicht auf die Geldforderung der Täter eingegangen wird.

Meskauskas rät «in jedem Fall dringend davon ab, mit Kriminellen zu kommunizieren und oder den Anforderungen von Kriminellen nachzukommen». Denn oft erhalten Opfer trotz Bezahlung nicht die notwendigen Werkzeuge, um ihre Daten wiederherzustellen, oder diese werden trotz Bezahlung dennoch veröffentlicht.

Verwandtes Thema:

Meistgesehen

Artboard 1