Hacker erhöhen mit der Veröffentlichung gestohlener Daten den Druck auf Stadler und fordern sechs Millionen Dollar

Im Internet sind erste Daten aufgetaucht, die Cyberkriminelle beim Schienenfahrzeugbauer entwendet haben. Sie erpressen Stadler mit der Drohung, weitere Daten zu publizieren. Ein Sicherheitsexperte rät dringend davon ab, mit den Tätern zu kommunizieren geschweige denn zu bezahlen.

Thomas Griesser Kym
Drucken
Teilen
Die Produktion bei Stadler läuft weiter: Fabrik am Hauptsitz in Bussnang.

Die Produktion bei Stadler läuft weiter: Fabrik am Hauptsitz in Bussnang.

Bild: Urs Bucher

Vor gut drei Wochen hat der Schienenfahrzeugbauer Stadler einen Cyberangriff auf sein IT-Netzwerk publik gemacht. Die unbekannten Täter haben demnach das System mit einer Schadsoftware (Ransomware) attackiert und Daten unbekannten Ausmasses gestohlen. Mit der Drohung, die Daten zu veröffentlichen, wollen die Kriminellen von Stadler «hohe Geldbeträge» erpressen.

Nun scheint etwas Licht ins Dunkel zu kommen: Auf einem kürzlich eröffneten Twitter-Account, der sich Ransom Leaks nennt, sind erste Bilder des mutmasslichen Datendiebstahls aufgetaucht. Das hat der «Tages-Anzeiger» publik gemacht.

Stadler will sich auf die Erpresser nicht einlassen

Stadler bestätigt auf Anfrage die Veröffentlichung von Daten und Dokumenten. Stadler sei auf eine Summe von sechs Millionen Dollar in Bitcoin erpresst worden, wie Firmensprecherin Marina Winder schreibt. Und weiter:

«Stadler ist und war zu keinem Zeitpunkt bereit, Zahlungen an die Erpresser zu leisten und ist nicht in die Verhandlungen eingetreten.»

Als Folge habe die Täterschaft nun interne Dokumente von Stadler veröffentlicht, «um Stadler und seinen Mitarbeitenden zu schaden». Es handle sich dabei um vertrauliche Dokumente und Daten, die mittels krimineller Machenschaften Stadler gestohlen worden seien.

Stadler-Chef Peter Spuhler: Die Cyberkriminellen wollen von seinem Unternehmen sechs Millionen Dollar erpressen.

Stadler-Chef Peter Spuhler: Die Cyberkriminellen wollen von seinem Unternehmen sechs Millionen Dollar erpressen.

Bild: Urs Bucher

Hinweise auf Jahresabschlüsse, Kreditverträge, Landkauf

Stadler weist zudem darauf hin, dass die Nutzung und Verwendung der Dokumente und Daten illegal sei, die kriminelle Täterschaft unterstütze und eine stetige Zunahme weiterer Cyberangriffe auf Unternehmen jeglicher Art fördere. Stadler hat strafrechtliche Schritte eingeleitet und kooperiere mit sämtlichen zuständigen Behörden. Die Thurgauer Staatsanwaltschaft ermittelt. Weil vom Cyberangriff die ganze Firmengruppe betroffen ist, habe Stadler in allen Ländern mit Niederlassungen die Datenschutzbehörden kontaktiert.

Auf den auf Twitter veröffentlichten Bildern sind Hinweise ersichtlich auf Jahresabschlüsse, Budgets, einen Konsortialkreditvertrag mit der UBS, das Ruling mit dem Kanton Thurgau hinsichtlich Steuererleichterungen, Dokumente im Zusammenhang mit Stadlers Revisionsgesellschaft KPMG, Bauprojekte am Standort Altenrhein oder einen Landkauf in Erlen, wo Stadler vor zehn Jahren sein neues Inbetriebsetzungszentrum eingeweiht hat. Die Daten scheinen allesamt älter zu sein und aus den Jahren 2008 bis 2016 zu stammen.

Täter drohen mit weiteren Veröffentlichungen

Bild auf Twitter, das den Datendiebstahl bei Stadler belegen soll.

Bild auf Twitter, das den Datendiebstahl bei Stadler belegen soll.

Bild: Twitter

Im Ransom-Leaks-Tweet schreiben die Erpresser, man habe nun einen ersten Teil von Daten veröffentlicht, den man beim Angriff auf Stadler mit einer Schadsoftware namens Nefilim erbeutet habe. Damit zeige man, dass man die Daten besitze und gebe Stadler eine Chance, zu bezahlen, bevor man andernfalls Teil zwei der Daten veröffentliche.

Ein weiteres Twitter-Bild zeigt vor allem Dokumente mit Bezug auf Stadlers Revisionsgesellschaft KPMG.

Ein weiteres Twitter-Bild zeigt vor allem Dokumente mit Bezug auf Stadlers Revisionsgesellschaft KPMG.

Bild: Twitter

Wann es für Stadler heikel werden könnte

Stadler hatte betont, man habe von den mutmasslich gestohlenen Daten funktionierende Back-up-Daten. Deshalb könne die Produktion neuer Züge und die Erbringung von Serviceleistungen wie gewohnt weitergehen.

Die Hacker drohen deshalb mit der Publikation von Daten. Das kann für Stadler heikel werden, falls Daten über Mitarbeitende oder Kunden veröffentlicht werden.

Auch die australische Toll Group wurde infiltriert

Falls beim Angriff auf Stadler tatsächlich eine Schadsoftware namens Nefilim verwendet worden ist, wäre das nicht der erste Fall. Auch die australische Transport- und Logistikfirma Toll ist davon betroffen.

Diese wurde Anfang Monat von Nefilim infiltriert, wobei sich die Hacker Zugang verschafft hätten unter anderem zu Lohnlisten. Im Februar waren bereits die IT-Systeme der Toll Group durch einen Angriff mit einer Schadsoftware namens Mailto erheblich beschädigt worden.

So beurteilt ein Sicherheitsexperte Nefilim

In einem zwei Monate alten Artikel auf dem Sicherheitsportal pcrisk.de schreibt dessen Gründer Tomas Meskauskas über Nefilim. Dieses bösartige Programm funktioniere durch Verschlüsselung der Daten infizierter Systeme mittels kryptografischer Algorithmen, die mit der Software von Drittanbietern nicht entschlüsselt werden können.

Eine Entschlüsselung ist laut Meskauskas ohne den einzigartigen Entschlüsselungsschlüssel, der sich im Besitz der Cyberkriminellen befindet, nicht möglich. Diese Kriminellen versprechen, die betroffenen Daten schnell und sicher wiederherzustellen, wenn ihre Forderungen erfüllt werden.

Normalerweise eine Frist von sieben Tagen

Darüber hinaus behaupten die Täter, eine grosse Menge an Daten ausgefiltert zu haben. Das gehackte Unternehmen wird normalerweise innert sieben Arbeitstagen zur Kontaktaufnahme aufgefordert, andernfalls würden die Daten veröffentlicht. Das Gleiche passiere, falls nicht auf die Geldforderung der Täter eingegangen wird.

Meskauskas rät «in jedem Fall dringend davon ab, mit Kriminellen zu kommunizieren und oder den Anforderungen von Kriminellen nachzukommen». Denn oft erhalten Opfer trotz Bezahlung nicht die notwendigen Werkzeuge, um ihre Daten wiederherzustellen, oder diese werden trotz Bezahlung dennoch veröffentlicht.