Zum Hauptinhalt springen

Spuhler-Konzern wird erpresstHacker machen Daten von Stadler Rail publik

Im Internet sind erste Bilder von gestohlenen Dokumenten aufgetaucht, die aus einem Cyberangriff gegen Stadler Rail stammen. Die Erpresser verlangten 6 Millionen Dollar.

Peter Spuhlers Stadler Rail wird von Hackern erpresst. Nun sind erste Daten veröffentlicht worden.
Peter Spuhlers Stadler Rail wird von Hackern erpresst. Nun sind erste Daten veröffentlicht worden.
KEYSTONE

Stadler Rail wird von Hackern erpresst. Das teilte die Firma Anfang Mai mit. Nun sind im Internet erste Bilder eines Verzeichnisses der gestohlenen Daten aufgetaucht. Diese Bilder zeigt ein anonymer Twitter-Account, der erst kürzlich eröffnet wurde.

Bei den Daten handelt es sich offensichtlich um gewichtige interne Aufzeichnungen. Auf den veröffentlichten Bildern sind zum Beispiel Hinweise auf einen Konsortialkredit mit der UBS, den Basisvertrag mit der Credit Suisse, ein Steuer-Ruling mit dem Kanton Thurgau und Bilder von einem Bauprojekt in Altenrhein ersichtlich. Allerdings scheinen die Daten älteren Ursprungs zu sein und einen Zeitraum rund um das Jahr 2010 zu betreffen.

Screenshot des Tweets mit den veröffentlichten Stadler-Daten aus einem Hackerangriff.
Screenshot des Tweets mit den veröffentlichten Stadler-Daten aus einem Hackerangriff.

Der Bahnbauer bestätigt die Veröffentlichung von Daten in einer Stellungnahme gegenüber dieser Zeitung. Stadler sei auf eine Summe von sechs Millionen US-Dollar in Bitcoin erpresst worden. Dieser Forderung ist man jedoch nicht nachgekommen. «Stadler ist und war zu keinem Zeitpunkt bereit, Zahlungen an die Erpresser zu leisten und ist nicht in die Verhandlungen eingetreten», sagt eine Sprecherin. Als Folge habe die Täterschaft nun interne Dokumente von Stadler veröffentlicht, «um Stadler und seinen Mitarbeitenden zu schaden».

«Es handelt sich dabei um vertrauliche Dokumente und Daten, die mittels kriminellen Machenschaften von Stadler gestohlen wurden.» Stadler Rail weist zudem daraufhin, dass die Nutzung und Verwendung der Dokumenten und Daten illegal sei, die kriminelle Täterschaft unterstütze und die stetige Zunahme von weiteren Cyberangriffen auf Unternehmen jeglicher Art fördere. «Stadler hat an seinem Hauptsitz in der Schweiz Anzeige erstattet. Zudem hat Stadler in allen Ländern mit Niederlassungen die Datenschutz-Behörden kontaktiert», so die Sprecherin.

Bei den für den Fall zuständigen Thurgauer Strafverfolgungsbehörden heisst es, dass der erwähnte Tweet bekannt war. Die Ermittlungen zum Hackerangriff würden laufen, zum derzeitigen Stand der Ermittlungen machen die Strafverfolgungsbehörden keine Angaben.

Ähnliches Vorgehen bei Schweizer Firma

Das Vorgehen der Hacker ist bei solchen Angriffen immer dasselbe: Zuerst brechen sie in die IT-Systeme ein und verschlüsseln die Datensätze. Dies passiert mit einer sogenannten Ransomware. In besagtem Tweet wird auf einen Angriff mit einer Ransomware namens «Nefilim» hingewiesen. Mittels dieser wurde vor kurzem zum Beispiel auch ein Angriff gegen die australische Logistikfirma Toll ausgeführt.

Sind die Daten verschlüsselt verlangen die Hacker Geld – meist ist eine Zahlung in Bitcoin vorgesehen - um sie wieder freizuschalten. Weil viele Firmen mittlerweile Backups machen, um sich vor solchen Angriffen zu schützen, hat das reine Verschlüsseln von Daten nicht mehr den gleichen Effekt. Dies weil die Daten wiederhergestellt werden können. So ist das auch anfangs Mai bei Stadler geschehen.

Aus diesem Grund drohen Hacker gleichzeitig damit, dass man die erbeuteten Daten veröffentlicht, wenn nicht bezahlt wird. Um dieser Drohung mehr Gewicht zu verleihen, werden dann erste Datensätze veröffentlicht. Oftmals gewähren die Hacker bei diesem Vorgehen sieben Tage Zeit, um den Forderungen nachzukommen. Danach sollen erste Daten veröffentlicht werden.

Wer hinter den Angriffen steckt, ist meist schwer herauszufinden. Möglich ist bei solchen Angriffen auch ein koordiniertes Vorgehen von mehreren Tätergruppen. Eine erste untersucht die IT-Systeme von Firmen auf mögliche Einfallstore. Haben sie diese gefunden, übernimmt eine andere Gruppe und führt den eigentlichen Hack und die Erpressung durch.

Opfer eines ähnlichen Hackerangriffs wurde im vergangenen Juli der Schweizer Haustechnik-Konzern Meier Tobler. Dort sind allerdings keine Daten abgezügelt und veröffentlicht worden. Die Hacker hatten jedoch Daten mittels Ransomware verschlüsselt. Die ganze Aufarbeitung kostete die Firma mehrere Millionen Franken. Abgeschlossen ist der Fall jedoch nicht, die Ermittlungen laufen noch immer. Jedoch gebe es kaum Hoffnung , die Täter zu finden, wie ein Firmensprecher sagt.