Switzerland

Hacker veröffentlichen gestohlene Daten von Stadler – und fordern sechs Millionen Dollar

Vor gut drei Monaten hat der Schienenfahrzeugbauer Stadler einen Cyberangriff auf sein IT-Netzwerk publik gemacht. Die unbekannten Täter haben demnach das System mit einer Schadsoftware (Ransomware) attackiert und Daten unbekannten Ausmasses gestohlen. Mit der Drohung, die Daten zu veröffentlichen, wollen die Kriminellen von Stadler «hohe Geldbeträge» erpressen.

Nun scheint etwas Licht ins Dunkel zu kommen: Auf einem kürzlich eröffneten Twitter-Account, der sich Ransom Leaks nennt, sind erste Bilder des mutmasslichen Datendiebstahls aufgetaucht. Das hat der «Tages-Anzeiger» publik gemacht.

Stadler will sich auf die Erpresser nicht einlassen

Wie die Zeitung schreibt, hat Stadler ihr gegenüber die Veröffentlichung von Daten in einer Stellungnahme bestätigt. Und: Stadler sei auf eine Summe von sechs Millionen Dollar in Bitcoin erpresst worden. Laut «Tages-Anzeiger» sagte eine Sprecherin:

Als Folge habe die Täterschaft nun interne Dokumente von Stadler veröffentlicht, «um Stadler und seinen Mitarbeitenden zu schaden». Es handle sich dabei um vertrauliche Dokumente und Daten, die mittels krimineller Machenschaften Stadler gestohlen worden seien.

Hinweise auf Jahresabschlüsse, Kreditverträge, Landkauf

Stadler weist laut dem Bericht weist zudem darauf hin, dass die Nutzung und Verwendung der Dokumente und Daten illegal sei, die kriminelle Täterschaft unterstütze und eine stetige Zunahme weiterer Cyberangriffe auf Unternehmen jeglicher Art fördere. Stadler hat Anzeige erstattet, die Thurgauer Staatsanwaltschaft ermittelt. Weil vom Cyberangriff die ganze Firmengruppe betroffen ist, hat Stadler laut der Sprecherin in allen Ländern mit Niederlassungen die Datenschutzbehörden kontaktiert.

Auf den auf Twitter veröffentlichten Bildern sind Hinweise ersichtlich auf Jahresabschlüsse, Budgets, einen Konsortialkreditvertrag mit der UBS, das Ruling mit dem Kanton Thurgau hinsichtlich Steuererleichterungen, Dokumente im Zusammenhang mit Stadlers Revisionsgesellschaft KPMG, Bauprojekte am Standort Altenrhein oder einen Landkauf in Erlen, wo Stadler vor zehn Jahren sein neues Inbetriebsetzungszentrum eingeweiht hat. Die Daten scheinen allesamt älter zu sein und aus den Jahren 2008 bis 2016 zu stammen.

Täter drohen mit weiteren Veröffentlichungen

Bild auf Twitter, das den Datendiebstahl bei Stadler belegen soll.

Im Ransom-Leaks-Tweet schreiben die Erpresser, man habe nun einen ersten Teil von Daten veröffentlicht, den man beim Angriff auf Stadler mit einer Schadsoftware namens Nefilim erbeutet habe. Damit zeige man, dass man die Daten besitze und gebe Stadler eine Chance, zu bezahlen, bevor man andernfalls Teil zwei der Daten veröffentliche.

Ein weiteres Twitter-Bild zeigt vor allem Dokumente mit Bezug auf Stadlers Revisionsgesellschaft KPMG.

Wann es für Stadler heikel werden könnte

Stadler hatte betont, man habe von den mutmasslich gestohlenen Daten funktionierende Back-up-Daten. Deshalb könne die Produktion neuer Züge und die Erbringung von Serviceleistungen wie gewohnt weitergehen.

Die Hacker drohen deshalb mit der Publikation von Daten. Das kann für Stadler heikel werden, falls Daten über Mitarbeitende oder Kunden veröffentlicht werden.

Auch die australische Toll Group wurde infiltriert

Falls beim Angriff auf Stadler tatsächlich eine Schadsoftware namens Nefilim verwendet worden ist, wäre das nicht der erste Fall. Auch die australische Transport- und Logistikfirma Toll ist davon betroffen.

Diese wurde Anfang Monat von Nefilim infiltriert, wobei sich die Hacker Zugang verschafft hätten unter anderem zu Lohnlisten. Im Februar waren bereits die IT-Systeme der Toll Group durch einen Angriff mit einer Schadsoftware namens Mailto erheblich beschädigt worden.

So beurteilt ein Sicherheitsexperte Nefilim

In einem zwei Monate alten Artikel auf dem Sicherheitsportal pcrisk.de schreibt dessen Gründer Tomas Meskauskas über Nefilim. Dieses bösartige Programm funktioniere durch Verschlüsselung der Daten infizierter Systeme mittels kryptografischer Algorithmen, die mit der Software von Drittanbietern nicht entschlüsselt werden können.

Eine Entschlüsselung ist laut Meskauskas ohne den einzigartigen Entschlüsselungsschlüssel, der sich im Besitz der Cyberkriminellen befindet, nicht möglich. Diese Kriminellen versprechen, die betroffenen Daten schnell und sicher wiederherzustellen, wenn ihre Forderungen erfüllt werden.

Normalerweise eine Frist von sieben Tagen

Darüber hinaus behaupten die Täter, eine grosse Menge an Daten ausgefiltert zu haben. Das gehackte Unternehmen wird normalerweise innert sieben Arbeitstagen zur Kontaktaufnahme aufgefordert, andernfalls würden die Daten veröffentlicht. Das Gleiche passiere, falls nicht auf die Geldforderung der Täter eingegangen wird.

Meskauskas rät «in jedem Fall dringend davon ab, mit Kriminellen zu kommunizieren und oder den Anforderungen von Kriminellen nachzukommen». Denn oft erhalten Opfer trotz Bezahlung nicht die notwendigen Werkzeuge, um ihre Daten wiederherzustellen, oder diese werden trotz Bezahlung dennoch veröffentlicht.

Football news:

Rashford ist das vorrangige transferziel von PSG. Manchester United will dafür mehr als 100 Millionen Pfund
Barcelona präsentierte die Form für die nächste Saison. Messi nahm an der Präsentation Teil
Über die Drohungen: es reicht Nicht, einfach Nein zu Rassismus zu sagen. Wir brauchen Aktionen, Erziehung
Liverpool und andere Klubs sind an Schalke-Keeper Mckenny Interessiert
Real Madrid ist bereit, den Vertrag mit Bale zu kündigen, zahlt ihm ein Gehalt für zwei Jahre (ABC)
Man City hatte sich auf eine Sitzung beim CAS vorbereitet, bevor die UEFA ein Verbot der Teilnahme an der Champions League beschloss
Zidane über Hazard: Das ist eine schwierige Situation. Ich hoffe, dass er am Donnerstag zu 100 Prozent fertig ist