[English]Der in Thurgau/Schweiz angesiedelte Hersteller von Schienenfahrzeugen, die Firma Stadler Rail, ist Opfer eine Cyberangriffs geworden. Das IT-Netzwerk der Firma wurde mit Schadsoftware infiziert. Ergänzung: Das Unternehmen wird zudem mit gestohlenen Daten erpresst.
Anzeige
Blog-Leser Adrian W. hat mich vor einigen Stunden per E-Mail über den Vorfall informiert. Der Vorfall wird hier und hier durch Schweizer Medien thematisiert.
Wer ist Stadler Rail?
Die Stadler Rail AG (auch Stadler Rail Group) mit Sitz im schweizerischen Bussnang ist ein Hersteller von Schienenfahrzeugen. Der Produktschwerpunkt liegt auf angetriebenen Fahrzeugen wie Triebzügen, Stadtbahnen und Lokomotiven. Eine Spezialität sind maßgeschneiderte Bahneinzelanfertigungen und Zahnradbahn-Fahrzeuge.
Die Firma ist als Holding organisiert und besteht aus 15 Tochtergesellschaften in verschiedenen Ländern. Stadler Rail beschäftigt weltweit mehr als 8500 Mitarbeiter.
Was ist passiert?
In einer Pressemitteilung gibt Stadler an, dass das IT-Netzwerk mit Schadsoftware angegriffen wurde. Das Unternehmen habe umgehend die erforderlichen Sicherheitsmaßnahmen eingeleitet und die zuständigen Behörden involviert, heißt es in der Mitteilung. Eine detaillierte Untersuchung des Sachverhalts läuft zur Zeit noch.
Aufgefallen ist der Angriff, weil interne Überwachungsdienste von Stadler festgestellt haben, dass das IT-Netzwerk des Unternehmens mit Schadsoftware angegriffen wurde. Dabei habe mit hoher Wahrscheinlichkeit ein Datenabfluss noch nicht genau bekannten Ausmaßes stattgefunden, vermutet das Unternehmen.
Der Hersteller gibt an, dass die unbekannten Angreifer Stadler unter Forderung hoher Geldbeträge erpressen und mit der möglichen Veröffentlichung von Daten unter Druck zu setzen versuchen. Also die klassische Ransomware-Methode, die neben der Verschlüsselung von Daten und Lösegeldforderungen mit der Veröffentlichung erbeuteter Daten droht. Laut diesem Medien sind auch andere Stadler-Standorte betroffen.
Backup vorhanden, Systeme wieder handlungsfähig
Stadler gibt an, umgehend die erforderlichen Sicherheitsmaßnahmen eingeleitet, externe Spezialisten beigezogen und die zuständigen Behörden involviert zu haben. Die Backup-Daten des Unternehmens sind vollumfänglich vorhanden und funktionsfähig. Momentan werden alle beeinträchtigten Systeme wieder hochgefahren. Trotz Corona-Pandemie und Cyberangriff ist die Weiterführung der Produktion neuer Züge sowie der Service-Dienstleistungen von Stadler gewährleistet.
Bereits im April 2019 wurde ein Ransomware-Angriff auf eine Firma Aebi Schmidt des Stadler-Eigentümers Peter Spuhler ausgeführt, wie man hier nachlesen kann.
Ransomware-Gang veröffentlicht Daten
Ergänzung vom 29.5.2020: Von Sicherheitsforschern ist mir vor einigen Stunden die Information zugegangen, dass die Gang hinter dem Stadler-Ransomware-Angriff wohl Daten erbeutet hat und damit beginnt, diese im Darknet zu veröffentlichen. Bei den erbeuteten bzw. veröffentlichten Daten handelt es sich (nach der mir einsehbaren Dateiliste) zwar um Vertrauliches, aber sehr trockenes Zeugs (Jahresabschlüsse, Verträge, Finanzhandbücher, Budget-Planungen etc.).
Anzeige
Ich habe ad-hoc entschieden, nicht sofort über diesen Vorfall zu berichten (um den Erpressern keine Öffentlichkeit zu geben) und mit der Unternehmenskommunikation von Stadler vorab gesprochen. Eine Sprecherin teilte mir folgendes mit:
Nach dem Cyberangriff von Anfang Mai (Medienmitteilung vom 7. Mai 2020) erpresste die Täterschaft Stadler mit der Veröffentlichung der gestohlenen Daten und verlangte die Bezahlung von sechs Millionen US Dollar in Bitcoin.
Stadler ist und war zu keinem Zeitpunkt bereit, Zahlungen an die Erpresser zu leisten und ist nicht in die Verhandlungen eingetreten. Als Folge hat die Täterschaft nun interne Dokumente von Stadler veröffentlicht, um Stadler und seinen Mitarbeitenden zu schaden.
Ich finde diese konsequente Haltung gut, denn andernfalls wird das Geschäftsmodell der Cyber-Kriminellen unterstützt. Legal verwenden lassen sich die online gestellten Dokumente von 'interessierter Seite' nicht. Daher hat Stadler an seinem Hauptsitz in der Schweiz Anzeige erstattet. Ein Verfahren der Thurgauer Staatsanwaltschaft läuft. Zudem hat Stadler in allen Ländern mit Niederlassungen die Datenschutz-Behörden kontaktiert.
Ergänzung: Ein Leser wies mich darauf hin, dass die Argauer Zeitung weitere Details (die ich nicht veröffentlichen werde), online gestellt hat.
Ähnliche Artikel:
Fresenius vermutlich Opfer eines Snake-Ransomware-Angriffs
Ruhr-Universität Bochum (RUB) gehackt
Ransomware-Befall in US-Einrichtungen durch Schlamperei
Ransomware bei britischem Labor HMR, Daten veröffentlicht
Ransomware-Befall in Uniklinik von Brno (Brünn Tschechien)
Ransomware schlägt Nachts und am Wochenende zu
Schweizer Swisswindows AG nach Ryuk-Angriff in Konkurs
Datenleck bei Schweizer Inkassounternehmen Eos
2015
Hallo zusammen,
leider funktioniert so manche Systeme die ich täglich daran arbeite noch nicht.
Mal schauen wie sich die Situation nächste Woche entwickelt…
Und ja, über die Corona-Krise gab es keine Kurzarbeit oder ähnliches in meiner Abteilung. Alle haben unter bestimmten Regeln ( 2m Abstand, auch Arbeitstische usw) arbeiten. Desinfektionsmittel wurden bereitgestellt und täglich wurden wir über Neuigkeiten per Mail und auf Info-Tafel (Fernseher) informiert.
Während der Krise durften Grenzgänger mit Ausweis weiterhin ohne Einschränkungen in die Schweiz einreisen.