Nach Ransomware-Attacke

Update: Swiss Cloud Computing zurück im Normalbetrieb

Uhr
von Maximilian Schenner und Joël Orizet und cka, jor

Seit dem späten Mittwochnachmittag laufen sämtliche Dienste von Swiss Cloud Computing wieder im Normalbetrieb. Nach der Ransomware-Attacke von Ende April und einer darauffolgenden Hardware-Störung waren die Systeme des Cloud-Anbieters nicht oder nur eingeschränkt verfügbar.

(Source: youngID / iStock.com)
(Source: youngID / iStock.com)

Update vom 17.05.2021: Swiss Cloud Computing hat den Normalbetrieb wieder aufgenommen. Seit dem späten Mittwochnachmittag seien sämtliche Dienste des Cloud-Anbieters wieder online, heisst es in einer Mitteilung.

Am 27. April wurde Swiss Cloud Computing Opfer einer Ransomware-Attacke. Kurz nach der Bereinigung dieser Attacke habe eine Störung in einer Hardwarekomponente zu einem erneuten Ausfall einzelner Systeme geführt, teilt das Unternehmen mit. Aufgrund dessen waren verschiedene Dienste für zahlreiche Kunden zwischen dem 27. April und dem 11. Mai nicht oder nur eingeschränkt verfügbar. Nach einer schrittweisen Wiederinbetriebnahme könnten nun alle Kundinnen und Kunden wieder auf die Dienste zugreifen, heisst es in der Mitteilung weiter.

Update vom 10. Mai 2021: Erneuter Systemausfall bei Swiss Cloud Computing. Am Donnerstag, 6. Mai, hat Swiss Cloud Computing die von der Cyberattacke betroffenen Systeme wieder in Betrieb genommen. Wie erwartet habe es aufgrund der hohen Zugriffszahlen verzögerte Reaktionszeiten auf den Servern des Anbieters gegeben. Einen erneuten Systemausfall hat das Unternehmen hingegen wohl nicht erwartet. In der Nacht auf den 7. Mai sorgte eine Störung einer Hardwarekomponente für den Ausfall verschiedener Systeme, wie das Unternehmen am Freitag mitteilte. "Obwohl diese nach wie vor redundant laufen, sind die System-Zugriffe derzeit stark eingeschränkt", hiess es weiter.

Auf Nachfrage gab ein Sprecher von Swiss Cloud Computing an, die Störung sei über das Wochenende bereinigt worden. Kundinnen und Kunden könnten demnach bereits wieder auf die Systeme zugreifen. Die meisten Dienste seien wieder verfügbar, lediglich der Backup-Service "MyBackup" sei noch beeinträchtigt. Der betroffenen Infrastruktur gelte nun erhöhte Aufmerksamkeit, die Services seien für den Rest der Woche auf Monitoring geschaltet. Der Backup-Service soll heute oder spätestens morgen ebenfalls wieder zugänglich sein.

Laut dem Sprecher gibt es keinen Zusammenhang zwischen dem jüngsten Systemausfall und dem Ransomware-Angriff von Ende April.

Update vom 06. Mai 2021: Seit dem 6. Mai sind die Server von Swiss Cloud Computing wieder online. Wie das Unternehmen mitteilt, sollen die Dienstleistungen der Swiss Cloud nun für alle Kundinnen und Kunden wieder verfügbar sein. Letzte Kundenprofile würden im Laufe des Tages aufgeschaltet. Der Verlauf der Attacke werde mit externer Unterstützung aufgearbeitet, um auf etwaige zukünftige Angriffe besser reagieren zu können.

Weiter teilt Swiss Cloud Computing mit, dass für den Angriff die Ransomware "MedusaLocker" zum Einsatz gekommen sei, um Lösegeld zu erpressen. Diese habe "trotz umgehender Reaktion der Sicherheitssysteme" Teile des Serververbunds blockiert. Grund dafür sei "ein Verstoss gegen eine firmenweite Weisung" gewesen. Das Unternehmen gibt an, kein Lösegeld bezahlt zu haben, auch ein Abfliessen von Kundendaten habe auch nach aktuellem Kenntnisstand nicht stattgefunden.

Update vom 05. Mai 2021: Swiss Cloud Computing arbeitet derzeit an der Wiederherstellung des Normalbetriebs, wie einer Mitteilung zu entnehmen ist. Der Serververbund sei über das Wochenende "fertig gesäubert und konfiguriert" worden. Bereits seit Sonntagabend seien die Anwendungen von myMAIL (E-Mail, Kalender, Aufgaben, Kontakte) wieder uneingeschränkt verfügbar. Mittlerweile seien auch weitere Services von Swiss Cloud dazu gekommen.

Dazu zählen auch die Dienste von Sage, wie das Unternehmen mitteilt. "Da wir eine hohe Anzahl gleichzeitiger Zugriffe erwarten, kann das System langsamer als gewohnt reagieren", schreibt Sage in einem Kundenschreiben. Die Aufarbeitung des Vorfalls sowie die zukünftige Prävention hätten nun Priorität. Beiden Firmen zufolge gäbe es nach wie vor keine Anzeichen für einen Datenabfluss.

Update vom 03. Mai 2021: Swiss Cloud Computing geht davon aus, dass die Systeme im Laufe des Mittwoch, 5. Mai 2021 wieder genutzt werden können. Dies teilt das Partnerunternehmen Sage, ebenfalls von der Cyberattacke betroffen, in einem Kundenschreiben mit.

Die zuständigen Techniker hätten über das Wochenende im 24-Stunden-Schichtbetrieb an der Wiederherstellung der Dienste gearbeitet und dabei "gute Fortschritte erzielt", schreibt das Unternehmen weiter.

Sage warnt seine Kunden indes weiterhin davor, sich in das System einzuloggen, und rät, auf weitere Informationen zu warten. Laut Swiss Cloud Computing bestehen nach wie vor keine Anzeichen für einen Abfluss von Daten.

Update vom 29. April 2021: Sage empfiehlt seinen Kunden, die Löhne für diesen Monat manuell auszuzahlen und nachträglich in der Software zu erfassen. Dies geht aus einer Rundmail des Unternehmens hervor, die der Redaktion vorliegt. Der Service stünde "aufgrund der Komplexität des Vorfalls" wahrscheinlich frühestens ab der Woche vom 03. April 2021 zur Verfügung.

Originalmeldung vom 29. April 2021: Swiss Cloud Computing fällt Ransomware zum Opfer

Der Schweizer Cloud-Provider Swiss Cloud Computing wurde am Dienstag, den 27. April 2021 Opfer einer Ransomware-Attacke. Wie das Unternehmen mitteilt, seien rund 6500 Endkunden vom Angriff betroffen. "Um eine weitere Ausbreitung des Angriffs im Unternehmen zu verhindern, wurden verschiedene IT-Systeme umgehend heruntergefahren und isoliert", schreibt Swiss Cloud Computing. Ein Abfluss von Kundendaten soll nach aktuellem Stand nicht stattgefunden haben. Das Unternehmen habe seine Kunden und Partner bereits über den Vorfall informiert. Die Täterschaft sei derzeit unbekannt.

Swiss Cloud Computing bedaure den Vorfall sehr, heisst es in der Mitteilung. Das Unternehmen arbeite gemeinsam mit Experten der zuständigen Behörden und weiteren Spezialisten daran, "dem Angriff mit geeigneten Massnahmen zu begegnen" und möglichst bald zum Normalbetrieb zurückzukehren.

Sage Schweiz betroffen

Von der Attacke betroffen ist unter anderem auch der Softwareentwickler Sage Schweiz, der die Cloud-Dienste von Swiss Cloud Computing nutzt. Ein Kunde von Sage sagte gegenüber der Redaktion, dass dessen Buchhaltungssoftware seit Dienstagvormittag nicht mehr funktioniere. Sage teilte auf seiner Website mit, dass es einen Angriff auf dessen Cloud-Anbieter gegeben hätte.

Auf Nachfrage bestätigte ein Mediensprecher von Sage, dass es sich dabei um die Attacke auf Swiss Cloud Computing handle. Über einen möglichen Datenabfluss könne das Unternehmen derzeit keine Auskunft geben. Swiss Cloud Computing habe jedoch basierend auf dem Sicherheitsprotokoll umgehende Massnahmen ergriffen und die betroffenen Dienste getrennt. Mehr Informationen gibt das Unternehmen zum aktuellen Zeitpunkt nicht bekannt - ausser, dass Sage nicht der einzige betroffene Partner sei. Auf der Website verweist das Unternehmen auf ein Update zu einem späteren Zeitpunkt.

Gemäss dem Mediensprecher von Sage, sollen die betroffenen Kunden direkt kontaktiert werden. Laut dem Kunden, der sich bei der Redaktion gemeldet hatte, soll das Unternehmen bislang aber keine befriedigenden Informationen, besonders über den Verbleib der Daten, kommuniziert haben.

Sage Schweiz stand übrigens seit Ende 2020 zum Verkauf. Anfang April übernahm die Infoniqa-Gruppe das Unternehmen. Durch die Übernahme will der österreichische HR-Dienstleister seine Marktstellung im KMU-Segment verbessern, wie Sie hier nachlesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_215208