Update: St. Galler Gewerbeverband zieht Lehren aus dem Hack
Die Geschäftsstelle der St. Galler Gewerbeverbände hat eine Zwischenbilanz gezogen, nachdem sie Opfer eines Hackerangriffs wurde. Geschäftsführer Felix Keller erklärt, wie teuer der Vorfall zu stehen kommt - und was man daraus lernen kann.
Update vom 11.7.2017, 10:21 Uhr:
Nach der Cyberattacke auf die Geschäftsstelle der Gewerbeverbände St. Gallen zieht Geschäftsführer Felix Keller eine Zwischenbilanz. "Wir rechnen mit einer Schadenssumme zwischen 35'000 und 45'000 Franken", sagt er am Telefon. Und dies seien nur die Kosten für die Wiederherstellung der Daten und für das Neuaufsetzen der Server. Zusätzlich zu Buche schlagen die Massnahmen, die man zur Erhöhung der Sicherheit angestellt habe, um solche Vorfälle künftig zu verhindern.
Was hat die Geschäftsstelle aus dem Hack gelernt? "Ich habe eine Checkliste gemacht", sagt Keller. Die Liste erhebe keinen Anspruch auf Vollständigkeit und entspreche ausschliesslich der Sichtweise der Geschäftsleitung, nicht derjenigen von IT-Experten.
Auf der Liste stehen einige Sofortmassnahmen und Handlungsanweisungen an Geschäftsleitungsmitglieder sowie EDV-Verantwortliche. Hier ein Auszug aus der Liste:
Sofortmassnahmen
- PC und Server vom Netz nehmen. Stecker raus!
- Information Polizei und Staatsanwaltschaft (im Kanton St. Gallen: Cyber Crime Unit)
- Information EDV-Verantwortlicher respektive EDV-Firma
- Information Mitarbeitende
- Information Verwaltungsrat
- Englischkompetenz für Kommunikation mit allfälligen Erpressern
- Festlegung E-Mail-Adresse für Kommunikation mit Erpressern (kein Rückschluss auf das betroffene Geschäft, keine Namen und Firmenbezeichnungen im Mailverkehr verwenden)
Tätigkeiten Geschäftsleitung
- Regelung Kommunikation nach Innen und Aussen (Sprachregelung Telefonauskünfte, weitere Anfragen, periodische Information Verwaltungsrat und Mitarbeitende beispielsweise via Whatsapp)
- Kompetenzregelung: Wer entscheidet über welche Massnahmen? Wer verhandelt bis zu welchem Preis mit den Erpressern?
- Zeitplanung: Wie lange dauert es, bis das Netz wieder online ist?
- Information Kunden, Geschäftspartner, Medien. Achtung: Medien werden durch allfällige Kunden/Geschäftspartner informiert.
- Kommunikation: immer offen, transparent und umfassend
- EDV-Massnahmen beschliessen (inkl. Sicherheitscheck aller Geräte mit Serverzugriff)
Tätigkeiten EDV-Verantwortlicher / externe EDV-Firma
- Kommunikation zwischen allen Geräten und Internet trennen
- Erkennung der Ausbreitung: Welche PCs, Server, Mobile-Geräte etc. sind betroffen?
- Passwortwechsel für alle Systeme und User
- Server, Clients und alle betroffenen Systeme neu aufsetzen
- Datensicherung, Datenwiederherstellung
Tätigkeiten danach
- Audit durch externe Firma
- Regelmässige Schulung der Mitarbeiter und Phishing-Tests
- Alle Systeme periodisch komplett prüfen (auch Mobile)
- Stetige Aktualisierung aller Systeme (auch Firmware von Druckern, Scannern, Kopierern)
- Konzept erstellen: Welche Daten sind geschäftskritisch? Wie können die Geschäftsdaten am besten wiederhergestellt werden?
Originalmeldung vom 25.6.2019, 10:37 Uhr:
Der kantonale Gewerbeverband St. Gallen (KGV) ist am vergangenen Donnerstagmorgen Opfer eines Hackerangriffs geworden. Die Unbekannten legten das Netzwerk des KGV lahm und erpressten den Verband, wie das Nachrichtenportal "FM1 Today" berichtet.
Zum Zeitpunkt des Angriffs waren die Mitarbeiter des KGV dem Bericht zufolge mit der Verarbeitung der Lehrabschluss-Noten beschäftigt. Nachdem die Attacke festgestellt worden sei, hätten die meisten Mitarbeiter ihre Arbeit niederlegen müssen, sagte Felix Keller, Geschäftsführer KGV, gegenüber FM1Today. "Betroffen war auch die Notenverarbeitung der Lehrabschlussprüfungen."
Datenklau mit Folgen
Es seien "gewisse Daten von den letzten zwei Monaten" gestohlen worden, darunter Daten aus dem Buchhaltungsprogramm, dem Adressverwaltungssystem und aus diversen Office-Programmen. Die Daten von den Lehrabschlussprüfungen seien jedoch nicht betroffen.
Als Sofortmassnahme sei die Sicherheitsstufe des Antivirenprogramms erhöht worden. "Wir werden bestimmt noch weitere Überlegungen zur Erhöhung der Sicherheit anstellen", lässt sich Keller zitieren. Sämtliche Server seien neu aufgesetzt worden und wieder in Betrieb.
Mehrere zehntausend Franken gefordert
Die Hacker hätten mehrere zehntausend Franken in Form von Bitcoins für die Freigabe der Daten verlangt. Die KGV sei nicht auf die Forderung der Hacker eingegangen. "Die Hacker haben den E-Mail-Kontakt zu uns abgebrochen und wir haben bis jetzt nichts mehr gehört", sagte Keller gegenüber FM1 Today. Die Geschäftsstelle des Gewerbeverbandes erstattete Anzeige gegen Unbekannt.
Einen finanziellen Schaden wird der KGV dem Bericht zufolge trotzdem davontragen: "Die genaue Summe muss noch eruiert werden, doch der Angriff wird uns mehrere zehntausend Franken kosten."
2016 ist publik geworden, dass sich Hacker in die Server der RUAG und des Verteidigungsdepartements eingeschleust hatten. Kürzlich verkündete der Rüstungskonzern den Abschluss des Programms zur Verbesserung seiner Cybersicherheit. Um vor der Aufspaltung in MRO Schweiz und Ruag International Hausputz zu machen, sind jedoch weitere Investitionen in Millionenhöhe nötig. Lesen Sie hier mehr dazu.