"Swiss IT Magazine": Herr Lehmann, was ist vor einem Jahr, im Mai 2023, genau vorgefallen?
Vince Lehmann: Kurz vorweg: Ich glaube es liegt in der Natur eines solchen Ereignisses, dass mit der Verschlüsselung der Systeme auch wichtige Spuren und Daten verlorengehen können. Es gibt extensive Log-Daten, die wir sammeln konnten, und es gab ein Backup vom System. Aber zwischen dem Zeitpunkt des Backups und der Verschlüsselung gibt es immer auch ein Delta – und das wird verloren bleiben. Und darum haben wir zwar viele Puzzleteile, die wir für ein Gesamtbild aneinanderreihen. Aber wir können nicht alles abschliessend sagen. Doch nach mehreren Wochen der forensischen Arbeit von der Polizei und externen Partnern kann ich festhalten, dass es ein professioneller krimineller Cyber-Angriff der Gruppe Play gewesen ist, die mit sehr grossem Mitteleinsatz einen Ransomware-Angriff mit Datenerbeutung auf unser Rechenzentrum durchgeführt hat. Es sind bestimmte Systeme aus unserer Shared-Multi-Tenant-Plattform infiziert gewesen und eine Anzahl Daten ist kopiert worden. Der Eintrittspunkt und die betroffenen Kunden sind bekannt. Viele Kunden sind gleichzeitig betroffen gewesen, daher hat die Wiederherstellungszeit auch länger gedauert als mit nur einem betroffenen Kunden. Die Auswirkungen waren letztlich sehr gross.
Können Sie quantifizieren, wie viele Kunden genau betroffen waren?
Auf unserer Shared-Plattform haben wir 100 bis 120 Kunden betrieben, die alle betroffen waren. Die einen mehr, die anderen weniger.
Wann und wie ist Ihnen der Angriff aufgefallen?Am Pfingstsonntag in der Nacht wurden gewisse Systeme in unserem Rechenzentrum verschlüsselt. Wir haben einen Rund-um-die-Uhr-Betrieb, und einem Mitarbeiter an unserem kanadischen Standort sind gewisse Anomalien im Monitoring aufgefallen. Er hat sofort den zuständigen Techniker in der Schweiz informiert. Am frühen Sonntagmorgen haben wir den Angriff erkannt und sind dann sofort aktiv geworden.
Und wann war Ihnen klar, dass die Play-Gruppe dahintersteckt? Hat diese Sie aktiv kontaktiert?Die Play-Gruppe nimmt nicht direkt Kontakt auf. Sie hinterlegt ein Readme-File mit einem Link ins Darknet, wo der Umfang der gestohlenen Daten publiziert und mit Drohung der Veröffentlichung der Daten die Kontaktaufnahme gefordert wird. Nebst dieser etwas verzögerten Meldung im Darknet deutete die Datei-Endung «play» der verschlüsselten Daten bereits frühzeitig auf die Täterschaft hin. Bis dahin war es nur eine Vermutung.
Es war die Rede von rund 3 Terabtye an erbeuteten Daten. Wissen Sie mittlerweile, ob diese Zahl stimmt, beziehungsweise von welchem Umfang wir genau sprechen?
Das ist eine schwierige Frage. Wir kennen den Netzwerk-Traffic dieser Nacht. Wir haben also gewisse Anhaltspunkte. Ob es tatsächlich diese Datenmenge ist, wissen wir jedoch nicht. Und wir wissen auch nicht, welche Daten genau betroffen sind.
Sie können aber sagen, dass es zwar einen Datenabfluss gab, aber keinen Datenverlust.
Richtig.
War das nie das Ziel von Play?Doch, das war das Ziel der Verschlüsselung. Das ist Teil ihres Geschäftsmodells, den Zugriff unmöglich zu machen. Umso höher der Druck bei den Opfern, umso höher ist auch die Wahrscheinlichkeit, dass sie zahlen. Aber wir haben sehr gut funktionierende Disaster-Recovery-Prozesse gehabt, das Backup hat einwandfrei funktioniert. Daher hatten wir praktisch keinen Datenverlust beziehungsweise nur das erwähnte Delta. Aber das war sehr klein.
Welche Prozesse sind denn genau angelaufen nach Bekanntwerden des Angriffs?Es gab drei parallele Hauptprozesse: Einmal der technische, das ist der, auf den man sich am besten vorbereiten kann. Analyse, Sammlung von Daten, Trennung vom Internet, gezieltes Runterfahren von Systemen. Gleichzeitig gibt es organisatorische Prozesse: eine Krisenorganisation aufbauen, wichtige Stellen informieren, damals das NCSC, den EDÖB und die Polizei. Und anschliessend folgte die Kommunikation. Die interne Kommunikation, die in Richtung der Kunden und die in Richtung der Öffentlichkeit.
Wenn Sie nun Vorbereitung und Praxis vergleichen: Hat der Plan gut funktioniert oder gab es auch Learnings?Learnings gibt es natürlich sehr viele. Technisch gesehen waren wir aber auf einen Ransomware-Angriff sehr gut vorbereitet. Das Disaster-Recovery-Szenario, Backup und Restores, das hat alles sehr gut funktioniert. Auch die Verfügbarkeit von Kommunikationskanälen, organisatorische Massnahmen, dass man Zugriff hat auf wichtige Angaben von Kunden wie Kontaktdaten oder die Verfügbarkeit von Credentials auf wichtigen Systemen: Das hat alles organisatorisch und technisch sehr gut geklappt. Aber die Zeit bis zum Restore ist bei manchen Systemen zu lange gewesen. Das hat mit dem Ausmass zu tun. Wenn hundert Kunden und ihre Systeme gleichzeitig restored werden müssen, dann ist es klar, dass man das nicht alles gleichzeitig machen kann mit den verfügbaren Ressourcen. Unsere Erkenntnis ist daher: Sämtliche Systeme, die sich in unserer direkten Obhut befunden haben, konnten wir sehr schnell wiederherstellen. Umso komplexer Systeme, Schnittstellen und Software waren, umso mehr Parteien sich im Restore befunden haben, umso stärker hat sich das auch auf die Restore-Zeit ausgewirkt. Am schlimmsten waren externe Geräte und Dienste, welche nicht durch Unico verwaltet wurden, aber für den Kunden Teil derer IT-Lösung darstellte. Daher können wir sagen, dass man Diversität und Schnittstellen so gut wie möglich reduzieren muss, damit das Ausmass eingeschränkt wird. Und auch die Kommunikation war extrem herausfordernd. Auf ein Ereignis, das mehrere Tage oder mehrere Wochen andauert, darauf waren wir ungenügend vorbereitet.
Kann man sich denn auf so ein Szenario überhaupt vorbereiten?Ich denke, mit mehr Erfahrung kann unsere Branche lernen, mit so etwas umzugehen. Man kann sich auf vieles vorbereiten, aber Dinge kommen dann meist ganz anders, als man sich das vorstellt. Umso besser man sich aber vorbereitet hat, umso mehr kann man sich später den unvorbereiteten Themen widmen. Wenn man aber selbst mit den Basics kämpft, werden auch alle anderen Themen schlechter laufen.
Wissen Sie denn heute, wie die Täter genau in das System gelangen konnten?
Wir kennen mutmasslich Patient Zero, wir kennen grob die Puzzleteile, wie sie vorgegangen sind, aber haargenau und abschliessend können wir es nach wie vor nicht sagen.
Nach dem Angriff haben Sie sich entschieden, kein Lösegeld zu zahlen. Warum?
Es gibt da mehre klare Antworten auf diese Frage: Zum einen wird es nicht empfohlen von der Polizei und vom Bundesamt für Cybersicherheit. Es ist zum anderen keine Garantie, wenn man zahlt. Und wichtig ist zudem, dass es gegen unsere Unternehmenswerte geht. Wir wollen keine Kriminalität unterstützen. Darum haben wir das nicht gemacht. Aber das ist natürlich ein grosses Risiko mit grossen Auswirkungen, das muss jedem bewusst sein.
Was waren die Auswirkungen für Sie?
Das sind natürlich nur Mutmassungen. Es hätte sein können, dass wir mit einer Zahlung kürzere Ausfallzeiten haben und womöglich eine Publikation von Daten im Darknet hätte verhindert werden können. Gleichzeitig hätten es aber auch negative Auswirkungen sein können, wenn bekannt geworden wäre, dass wir gezahlt haben. Wir sind aber überzeugt, dass wir das Richtige gemacht haben.
Dennoch sind Ihnen hohe Kosten beziehungsweise Schäden entstanden. Im letzten Jahr war von über einer Million Franken die Rede. Ist das heute noch aktuell?
Ja, wir sprechen weiterhin sicher von dieser Liga. Es ist natürlich immer die Frage, was man an direkten und indirekten Kosten mit einrechnet. Wir haben über 18’000 Stunden aufgebracht für die Bewältigung von diesem Ereignis. Was es noch für unmittelbare Kosten auslöst in Zukunft, wissen wir hingegen noch nicht. Aber es ist sicher alles in allem ein sehr grosser Betrag.
Von welchen Seiten haben Sie wiederum Unterstützung erhalten?
Wir haben sehr viel Unterstützung erhalten, das hat uns sehr positiv überrascht. Wir haben sofort ein Cybersecurity Incident Response Team aktiviert, die Polizei, der Dezernat für digitale Kriminalität vom Kanton Bern hat sehr proaktiv gearbeitet, auch forensisch in diesem Fall. Und das NCSC hat schnell auf unsere Meldung reagiert. Später die Versicherung und externe Kommunikationsunterstützung, juristische Unterstützung. Aber auch Mitbewerber, die uns ihre Hilfe angeboten haben.
Hat die Versicherung einen Grossteil der Schäden aufgefangen?
Schwieriges Thema. Die Versicherung ist ein wichtiges Puzzleteil, aber der finanzielle Schaden überwiegt bei weitem das, was man versichern kann: beispielsweise Erwerbsausfall oder Aufträge, die wir aufgrund des Vorfalls nicht bekommen haben. Und natürlich der Imageschaden. Das, was richtig wehtut, das lässt sich nicht versichern, also der Ausfall von Ertrag.
Haben Sie Kunden verloren?
Wir haben sehr viele treue Kunden, die über den ganzen Vorfall sehr produktiv mit uns unterwegs gewesen sind. Aber ja, es hat auch Kunden gegeben, die sich sehr schnell entschieden haben, ihren eigenen Weg zu gehen, was für uns ebenfalls nachvollziehbar war.
Wie sind Sie allgemein in der Kommunikation vorgegangen? Wie sah Ihre Strategie aus?
Für uns war wichtig, sofort und transparent gegenüber den Mitarbeitenden zu kommunizieren. Und dann war uns wichtig, dass nicht plötzlich in der Öffentlichkeit etwas über uns erzählt wird, bei dem vielleicht Fakten fehlen. Daher haben wir uns entschieden, sehr schnell eine Pressemitteilung und dann eine Pressekonferenz zu machen, um die Öffentlichkeit korrekt zu informieren.
Warum diese öffentliche Kommunikation? Viele Unternehmen in vergleichbaren Situationen warten lieber ab.
Uns war klar, dass bewusste Kommunikation ein grosses Risiko ist. Wir haben uns exponiert und uns damit vielen Fragen und teils auch Anschuldigungen ausgesetzt. Aber Schweigen dient nur den Kriminellen. Es erschwert die Lösungsprozesse und versteckt die Dringlichkeit des Themas in unserer Gesellschaft. Und nicht zuletzt kommen solche Vorfälle früher oder später oft ans Tageslicht. Und dann schwingt die Frage mit, warum nicht transparent informiert wurde. Daher haben wir gesagt: Wir erzählen sicher nichts, was unseren Kunden schaden könnte. Aber wir haben einen guten Mittelweg gefunden. Nur wenn man darüber redet, können andere davon lernen und sich darauf vorbereiten.
Gab es auch negative Faktoren der offenen Kommunikation?
Die Rückmeldungen sind überwiegend positiv gewesen. Aber man kann es nie allen recht machen. Es hat also sicher auch andere Ansichten gegeben. Aber im Grossen wurde es sehr positiv aufgenommen.
Was sind denn Erfahrungswerte aus Ihrem Fall, die Sie gerne an andere betroffene Unternehmen weitergeben möchten?
Wichtig ist, dass man technisch gut vorbereitet ist, dass man zertifiziert ist und über ein kompetentes Team verfügt, also die Basisvoraussetzungen. Die haben die meisten – aber das genügt heute nicht mehr. Provider und Kunden müssen sich damit auseinandersetzen was passiert, wenn das gesamte System über längere Zeit ausfällt oder auch Daten gestohlen werden. Es braucht ein gutes Krisenmanagement, Krisenkommunikation und ein starkes Team, das mit hoher Identifikation für Unternehmen und Kunden unterwegs ist. Als es passiert ist, war das nicht mehr einfach Arbeit für unsere Firma. Wir hatten ein persönliches Interesse, dass es unseren Kunden wieder gut geht. Es braucht also eine passende Kultur, die bereits zuvor besteht. Und unsere Kunden brauchen ein gutes Business Continuity Management, das kann man nicht genug betonen. Also einen Plan für den Fall, dass selbst die beste IT-Lösung versagt.
Zum Unternehmen
Der 1991 gegründete IT-Dienstleister
Unico Data betreut mit seinen rund 80 Mitarbeitenden knapp 120 Kunden vom Standort in Münsingen bei Bern aus – unter anderem mit Private- und Public-Cloud-Services. Im Mai 2023 wurde Unico Opfer eines komplexen Cyberangriffs der Play-Gruppe, die umfassende Daten erbeutete und den IT-Betrieb von Provider und Kunden empfindlich störte. Für die proaktive, transparente Kommunikation während und nach dem Vorfall hat die International Security Society Suisse (ISSS) Unico mit dem erstmals verliehenen Courage Award ausgezeichnet. Das Unternehmen setzte sich bei der Wahl gegen das Bundesamt für Polizei und die Fondation de Verdeil durch. "Die Cyber-Attacke und seine Konsequenzen zeigen klar: Betriebssicherheit in der digitalen Welt ist eine gemeinschaftliche Aufgabe, die nicht wegdelegiert werden kann. Es braucht dafür ein gemeinsames Verständnis und eine gute und vorausschauende Zusammenarbeit aller Beteiligten", schreibt CEO Vince Lehmann auf dem Unico-Blog.