Cyberkriminalität Nach Hackerangriff: Comparis knickt ein und zahlt Lösegeld Der Vergleichsdienst wurde Anfang Juli Opfer einer Cyber-Attacke. Die Hacker legten die Website lahm und verschafften sich Zugang zu Kundendaten. Jetzt hat sich Comparis mit den Erpressern «geeinigt». Gabriela Jordan 30.07.2021, 15.13 Uhr

Etwa 48 Stunden nach dem Angriff konnte Comparis seine Systeme wieder in Betrieb nehmen. Gaetan Bally / KEYSTONE

Comparis hat dem Druck der Erpresser nachgegeben. Sprecherin Andrea Auer bestätigt auf Anfrage entsprechende Informationen des Finanzblogs «Inside Paradeplatz», demzufolge der Online-Vergleichsdienst auf Forderungen der Erpresser eingegangen sei und Lösegeld gezahlt habe. Der offizielle Wortlaut des Unternehmens klingt freilich anders: «Wir haben mit den Erpressern eine Einigung gefunden», sagt die Sprecherin.

Was ist geschehen? Am 7. Juli wurde Comparis von Cyberkriminellen angegriffen, woraufhin mehrere IT-Systeme blockiert wurden und auch die Website mehrere Stunden lang nicht aufrufbar war. Bei der sogenannten Ransomeware-Attacke haben die Angreifer Comparis-Daten verschlüsselt und für die Entschlüsselung Lösegeld in Höhe von 400'000 Dollar gefordert, zahlbar in Kryptowährung.

Den grössten Teil der Systeme konnte Comparis nach eigenen Angaben aus eigener Kraft und innerhalb von weniger als 48 Stunden wiederherstellen. Das ganze Ausmass des Schadens zeigte sich aber erst nach einer Weile. So hiess es zu Beginn, dass keine Kundendaten betroffen seien. Entgegen dieser ersten Vermutungen geht Comparis nun aber davon aus, dass sich die Täter auch Zugang zu Kundendaten der Unternehmensgruppe verschafft haben. Als Vorsichtsmassnahme rief Comparis seine Nutzerinnen und Nutzer deshalb dazu auf, dringend ihr Passwort zu ändern.

Schaden grösser als anfangs angenommen

Weiter blieben auch wichtige Systeme verschlüsselt: «Operativ gab es einige essenzielle Dateien, die von den Hackern verschlüsselt wurden und die wir nur mit sehr grossem Aufwand hätten wiederherstellen können», sagt die Sprecherin. Weitere Details könne sie aus Sicherheitsgründen nicht nennen. Die Ermittlungen seien noch am Laufen.

Die Kehrtwende von Comparis macht jedoch deutlich, dass sich der Schaden durch den Hacker-Angriff als weitaus grösser entpuppte als zunächst angenommen. Kurz nach der Attacke Anfang Juli hiess es von Seiten des Unternehmens offiziell nämlich noch:

«Wir haben kein Lösegeld bezahlt und werden auch keines bezahlen.»

Indem Comparis nun eingeknickt ist, tat das Unternehmen genau das Gegenteil davon, was bei solchen kriminellen Handlungen empfohlen wird. Bietet man den Tätern Hand, könnte ein nächster Angriff nicht lange auf sich warten lassen, vom Imageschaden ganz zu schweigen. Für den Moment kann Comparis aber immerhin aufatmen: Dank der Einigung konnten die wichtigen Dateien laut der Sprecherin entschlüsselt werden.

Hackergruppe knöpfte sich weitere Schweizer Firma vor

Wer hinter dem Angriff steckt, scheint nun auch geklärt. Nachdem anfangs die von Experten in Russland verortete Erpressergruppe «REvil» im Verdacht stand, wird nun auf die Ransomware-Hackergruppe «Grief» (Leid, Trauer) verwiesen. Diese knöpfte sich vor wenigen Tagen auch die Schweizer Firma Matisa Matérial Industriel S.A. in Crissier VD vor. Laut Medienberichten ist Grief wie bei Comparis heimlich in deren Systeme eingedrungen und hat Firmendaten verschlüsselt. Ob Matisa Lösegeld bezahlt hat oder wird, ist nicht bekannt.

Die Angriffe auf Comparis und Matisa sind nur zwei in einer langen Reihe aktuellen Cyber-Attacken. Beispielsweise legte Anfangs Juli ein grosser erpresserischer Cyber-Angriff über den Software-Anbieter Kaseya weltweit Hunderte Firmen in den USA und Europa lahm, darunter 800 Filialen einer schwedischen Lebensmittelkette.