Bild: Anja Schori

«Bei uns legt der Multifunktionsdrucker seine Scans in einen für alle zugänglichen Ordner auf dem Fileserver ab. Dort fand ein Mitarbeiter am 3. Juni eine seltsame Datei mit der Endung .crypt1. Es war kurz nach 9 Uhr, als er zu mir ins Büro kam. Ich bin der IT-Verantwortliche der Firma und obwohl ich noch nichts Genaues wusste, lief es mir kalt den Rücken runter.

Ich kontaktierte sofort unsere IT-Support-Firma: die BlueStone Consulting Group. Sie war uns in jenen Stunden eine immense Hilfe. Das Team loggte sich bei uns ein, fand heraus, dass wir uns einen Kryptovirus eingefangen hatten, und trennte sofort den Fileserver vom internen Netz. Später fuhren wir auch alle 70 Arbeitsplätze runter. Heute wissen wir, dass der Befall um 8.50 Uhr stattgefunden haben musste. Die Schadsoftware hatte 40 Minuten Zeit, sich zu verbreiten und Daten zu verschlüsseln, bevor wir sie um 9.30 Uhr stoppen konnten.

Die unmittelbar folgende Analyse zeigte, dass der Virus von einem Arbeitsplatz ausgegangen war. Dort hatten die Angreifer auch ihre Anweisungen für das weitere Vorgehen hinterlassen. Wir verschoben die verseuchten Daten an einen anderen Ort, um sie später zu analysieren, und kopierten etwa 80 Gigabyte Daten vom Back-up- auf den Fileserver zurück.

«Ich habe diese Attacke immer noch in den Knochen. Man fühlt sich wie ein Einbruchsopfer.»

Ralph Häni, Geschäftsführer und Mitinhaber Häni & Co. AG, Arch BE
Branche: Metallbearbeitung, Mitarbeiter: 116

Um 15.30 Uhr waren alle unsere Beschäftigten wieder an der Arbeit. Das Unternehmen war sechs Stunden nur beschränkt online – nur sechs Stunden, möchte ich sagen, denn ich weiss von Firmen, die nach einem derartigen Angriff tagelang lahmgelegt waren.

Das Schlimmste in einem solchen Moment ist die Hilflosigkeit. Man steht herum und kann nichts tun. Und ich muss gestehen, dass ich die Attacke immer noch in den Knochen habe. Man fühlt sich wie ein Einbruchsopfer und verliert die Selbstverständlichkeit im Umgang mit Software, Daten und der ganzen Kommunikation via Internet.

Noch heute bin ich sehr vorsichtig beim Surfen und es dürfte eine Weile dauern, bis ich meine alte Sicherheit wiedergefunden habe. Bei diesem Angriff ist mir auch klar geworden, wie wichtig ein kompetenter IT-Partner ist.»

«Die Strafanzeige gegen unbekannt habe ich wieder zurückgezogen. Der Schaden war angerichtet. Die ganze Geschichte hat uns rund 100 000 Franken gekostet.»

Matthias Müller, Mitgründer und -inhaber PerfectHair.ch, Wallisellen
Branche: Online-Vertrieb von professionellen Haarprodukten und Kosmetika, Mitarbeiter: 70

«Es war an einem Sonntagabend. Ich war bei meinen Eltern zu Besuch, wir sassen zu Tisch, als mich ein SMS-Alarm erreichte. Unser Webserver sei ‹down›. Tatsächlich erschien unter perfecthair.ch nur ein weisser Bildschirm.

Ich rief meinen Kompagnon und Mitgeschäftsführer Diego Sagarra an. Wir beschlossen, in einem ersten Schritt den Server runter- und wieder hochzufahren. Es klappte nicht und ich verbrachte schliesslich die ganze Nacht vor dem PC.

Am anderen Morgen gegen 9 Uhr wusste ich, dass wir Opfer einer Distributed-Denial-of-Service-Attacke (DDoS) geworden waren. Google Analytics sagte mir, dass unser Server zeitweise mit mehr als tausend Seitenaufrufen pro Sekunde bombardiert worden war. Im Laufe des Tages meldete sich die Täterschaft: Sie forderte 5000 Franken in Bitcoins.

Wir verweigerten die Zahlung, worauf ein mehrmonatiges Katz-und-Maus-Spiel begann. Mal hatten unsere Kunden Zugriff, mal nur eingeschränkt und manchmal gar nicht.

In dieser Zeit lastete ein enormer Druck auf uns. Ich war der IT-Chef. 70 Mitarbeiter erwarteten Lösungen von mir, gleichzeitig sass mir unser Provider im Nacken. Die Attacken auf uns blockierten auch seine Leitungen – er bekam Probleme mit anderen Kunden. In dieser Situation mussten wir nach technischen Lösungen suchen. Wir entschieden uns letzten Endes für ein sogenanntes ‹DDoS-Washing›. Seither leiten wir den ganzen Verkehr von perfecthair.ch über ein Protection Cluster, das verdächtige Anfragen erkennt und abblockt. Angegriffen worden sind wir nie mehr. Von den Tätern fehlt bis heute jede Spur. Ich vermute, dass es sich bei den Auftraggebern um Leute aus der Branche handelte, die unser Geschäft kaputt machen wollten.

Die Strafanzeige gegen unbekannt, die wir erstatteten, habe ich wieder zurückgezogen. Es erschien mir als Ding der Unmöglichkeit, die Täterschaft zu eruieren, und der Schaden war bereits angerichtet. Die ganze Geschichte hat uns rund 100 000 Franken gekostet.»