Hackerangriffe auf Firmen werden häufiger. Ein Experte sagt, vor allem KMU würden die Gefahr unterschätzen.
Gar nichts geht. Keine Auslieferung, keine Bestellung, keine Zahlung. Bildschirme gesperrt, Server nicht erreichbar. Das erleben Unternehmen, die Opfer eines Cyberangriffs werden. Darunter etwa: die SBB, die Uni Zürich, Tamedia oder die NZZ.
Ähnliches passierte jüngst auch einem Bauunternehmen, das Fassaden für die Sanierung des Bezirksgerichts Zürich liefern sollte.
Der Bau aus den späten 1970er Jahren muss umfassend erneuert und vergrössert werden. Seit April 2023 sind die Arbeiten im Gange, das Gebäude im Kreis vier wurde komplett ausgehöhlt. Eigentlich hätten die Arbeiten im nächsten Jahr beendet sein sollen. Wegen eines «schwerwiegenden Cyberangriffs» komme es nun aber zu «erheblichen Verzögerungen», schreibt der Kanton auf einem Informationsblatt für Anwohnerinnen und Anwohner. Statt 2025 wird die Sanierung nun erst Anfang 2026 fertig werden.
Hacker blockierten Daten, der Betrieb des Unternehmens wurde teilweise unterbrochen. Etwa eine Woche lang konnte das Unternehmen nicht auf alle seine Systeme zugreifen. Das betroffene Bauunternehmen zeigte die Hacker an. Dann habe die Polizei übernommen, sagt ein Mitarbeitender gegenüber der NZZ.
Hacker erbeuten Daten und fordern Lösegeld
Ein Viertel aller Schweizer KMU hat bereits einen Cyberangriff erlebt, schätzen Experten. Viele davon zahlen grosse Lösegeldsummen oder müssen ihren Betrieb für mehrere Tage einstellen. Cyberangriffe werden ausserdem immer häufiger.
Das liege daran, dass viele Unternehmen zu wenig geschützt seien. Das sagt Marc K. Peter, Professor für Digitales an der Fachhochschule Nordwestschweiz (FHNW). «Die meisten Unternehmen betrachten Cybersicherheit als Nischenthema der IT. Sie unterschätzen, wie verwundbar sie sind.»
Cyberangriffe gegen KMU passierten auf unterschiedliche Weise, sagt Peter. In den meisten Fällen finden Hacker eine Lücke in den Sicherheitssystemen eines Unternehmens und installieren Schadsoftware, die Daten blockiert. Dann fordern die Täter Lösegeld und drohen beispielsweise damit, die Daten sonst zu veröffentlichen.
Ebenfalls häufig: Cyberkriminelle verschicken sogenannte «Phishing-Mails». In diesen sind Links, die zu Servern führen, die automatisch Schadsoftware installieren, wenn die Empfänger des Mails auf die Links klicken. Inzwischen klickten viele Menschen fast automatisch auf Links, die in ihrem Postfach landeten, sagt Peter. «Manchmal fallen sogar ausgebildete IT-Leute darauf herein.»
Wegen der Vielfalt der Strategien, die Hacker nützten, sei auch eine breite Abwehr nötig. «Es braucht nicht nur aktuelle Software und eine gute Firewall, sondern auch Schulungen für Mitarbeiter.»
Bei Cyberangriffen nicht zuerst die Polizei informieren
Und was, wenn Kriminelle trotz Vorkehrungen an Daten kommen? Nicht zuerst die Polizei rufen, sagt Peter. «Unternehmen, die eine Cyber-Versicherung haben, sollten sich zuerst bei ihrer Versicherung melden und dann ihre Mitarbeitenden und ihre IT-Abteilung informieren.» Denn: Die Polizei könne Beweise aufnehmen und allenfalls die Täter verfolgen. Den Angriff eindämmen und Verhandlungen über Lösegeld führen, das müssten betroffene Unternehmen aber selber – und das sei im Falle eines Angriffs dringender.
Wichtig sei zudem, dass zuerst alle nötigen Geräte vom Netz genommen würden. Dass also möglichst wenige Mitarbeitende auch nur den Laptop öffneten, solange sich die Schadsoftware noch ausbreite.
Und was ist mit Lösegeldforderungen? Der Bund empfiehlt, nie Lösegeld zu zahlen. Dem widerspricht Peter – zumindest teilweise: «Man muss abschätzen, was teurer ist: das Lösegeld zu bezahlen oder den Betrieb einzustellen.» Allerdings gehe man aber das Risiko ein, erneut Opfer eines Angriffs zu werden, wenn man die Lösegeldforderung erfülle.
Das Bauunternehmen, das die Fassaden für das Bezirksgericht Zürich liefert, musste kein Lösegeld zahlen. Mit dem Back-up seiner Daten hätten die Systeme des Unternehmens wieder zum Laufen gebracht werden können, sagt ein Mitarbeiter. Einzig ein kurzer Unterbruch des Betriebs sei eine Konsequenz des Angriffs gewesen. Und mit etwas Verzögerung werden auch die Bauarbeiten schliesslich fertig werden.
Kostenfolgen habe der Angriff weder für das Unternehmen noch für den Kanton. Daten des Gerichts seien ausserdem nicht betroffen, schreibt die Baudirektion des Kantons Zürich auf Anfrage der NZZ.
