Cyberangriff vom November

Update: Cyberkriminelle fordern Lösegeld für gestohlene Infopro-Daten

Uhr
von Yannick Chavanne und Adrian Oberer und Übersetzung: Adrian Oberer, Yannick Züllig, msc

Beim Cyberangriff auf Infopro im vergangenen November scheinen doch Daten abgeflossen zu sein. Hacker fordern aktuell Lösegeld für die gestohlenen Daten des Hosting-Providers.

(Source: Scott Graham / Unsplash.com)
(Source: Scott Graham / Unsplash.com)

Update vom 16.12.2022: Am 21. November 2022 haben Cyberkriminelle den Schweizer Hosting-Provider Infopro angegriffen. Der Angriff legte auch die Buchhaltungssoftware des Westschweizer Anbieters Winbiz und damit die Buchhaltung tausender Unternehmen in der Region lahm. Nach dem Angriff erklärte Infopro, dass ein Datenabfluss nicht ausgeschlossen werden könne. 

Diese Befürchtungen haben sich nun anscheinend bewahrheitet. Wie die Kantonspolizei Bern mitteilt, fordern Hacker aktuell Lösegeld für die Daten, die sie von Infopro gestohlen haben. 

Winbiz teilte unterdessen mit, dass gemäss der Berner Kantonspolizei in dem von den Hackern veröffentlichten Daten-Muster keine Daten von Winbiz-Kunden zu finden seien. Das Unternehmen gibt sich dennoch vorsichtig, es handle sich um eine beträchtliche Menge an Daten, die teils sehr komplex seien. Das Unternehmen selbst durchsuche seit dem 23. November regelmässig das Darkweb und habe bisher auch keine Daten aus der Winbiz-Cloud gefunden. 

Update vom 06.12.2022: Winbiz wechselt nach Cyberangriff auf Infopro den Hoster

Zwei Wochen nach dem Cyberangriff auf Infopro, den Hoster der Buchhaltungssoftware Winbiz, ist die Unterbrechung der Dienste für die Cloud-Version von Winbiz noch nicht beendet. Unsere Westschweizer Redaktion hatte Zugang zu E-Mails, in denen der Anbieter seine Kunden informierte. In einer Nachricht vom 2. Dezember gab der Genfer Softwarehersteller an, dass 8700 Unternehmen von der Panne betroffen sind (auf seiner Website beansprucht das Unternehmen 50’000 Kunden, ohne zwischen der Cloud- und der On-Premise-Version seiner Lösung zu unterscheiden). Der Softwarehersteller wies zudem darauf hin, dass die Cloud-Lösung nun bei Swiss Cloud gehostet werde. Der Reaktivierungsprozess umfasst also eine Migration vom gehackten Hoster Infopro zu den Servern von Swiss Cloud. Im Frühjahr 2021 wurde Swiss Cloud ebenfalls Opfer eines Cyberangriffs - im November desselben Jahres erklärte der CEO im Interview mit der Netzwoche, welche Massnahmen seither ergriffen wurden.

Auf Anfrage von ICTjournal wollte Winbiz-CEO Stefan Eichenberger nicht weiter auf die Auswahlkriterien für den neuen Hoster eingehen. Er betonte aber die Widerstandsfähigkeit seiner Teams und fügte hinzu, dass ihre Tätigkeit voll und ganz darauf ausgerichtet sei, die Dienste für alle Kunden wieder vollumfänglich zur Verfügung zu stellen.

Am 4. Dezember teilte Winbiz mit, dass mehr als ein Drittel der Kunden ihren Zugang wiedererlangt hätten und gab an, dass das Unternehmen mehr als 1000 Kunden pro 24 Stunden aufschalte. Auf der Linkedin-Seite des Anbieters berichten derweil einige Kunden, dass sie ihren Zugang und ihre Daten wiedererlangt haben, allerdings nur unvollständig.

Kunden sagen aus

Der Chef eines Genfer Sanitärinstallationsunternehmens, der lieber anonym bleiben möchte, sagte gegenüber ICTjournal, dass er seit zwei Wochen keinen Zugriff mehr auf sein Winbiz Cloud-Konto hat und sich dadurch in einer Zwickmühle befindet. Um ein zu grosses Liquiditätsloch zu vermeiden, habe er sich dazu entschlossen, Rechnungen mit der lokalen Version von Winbiz zu erstellen (Winbiz hat temporäre Lizenzen zur Verfügung gestellt). Der Handwerker befürchtet, dass er alles erneut eingeben muss, sobald er wieder Zugang zu seinem Cloud-Konto hat. Abgesehen von dieser Unannehmlichkeit spricht er von einem Vertrauensverlust und hofft sehr, dass der Anbieter in irgendeiner Weise eine Entschädigung anbieten wird.

Ein weiterer Kunde von Winbiz Cloud, das Waadtländer Unternehmen Vitrotoit, sei nicht mehr in der Lage, bargeldlose Zahlungen zu tätigen, Debitoren- und Kreditorenrechnungen zu erfassen oder Mahnungen an Kunden zu versenden. Catherine Graf, die für Finanzen und Verwaltung zuständig ist, sagte ICTjournal, sie habe die Mehrwertsteuerabrechnung für das zweite Quartal, die bis zum 30. November fällig war, nicht übermitteln können. Sie erklärt: "Bis zu einer hypothetischen Wiederherstellung des Systems müssen wir jede Rechnung einzeln scannen, um Zahlungen an unsere Bank zu erfassen. Wir haben auch eine Excel-Datei erstellt, um die Lieferanten zu überwachen und die Löhne zu zahlen.” Vitrotoit nutzte die lokale Winbiz-Version bis Ende 2020. Laut Catherine Graf stellte Winbiz die Updates für On-Premise-Systeme ein und schlug vor, “WinbizCloud” beizutreten, "für mehr Einfachheit" und "um die Sorgen um die Datensicherung zu vermeiden".

Update vom 30.11.2022: Update: Bei Infopro könnten doch Kundendaten abgeflossen sein

Am 21. November ist der Hostingprovider Infopro Opfer eines Cyberangriffs geworden. Am vergangenen Freitag vermeldete das Unternehmen noch, dass es keine Hinweise auf einen Datenabfluss gäbe. Diese Aussage widerruft Infopro nun: In einem Statusupdate vom 29. November informiert das Unternehmen seine Kunden darüber, dass doch Daten wie Benutzernamen und E-Mail-Adressen abhandengekommen sein könnten. Man gehe aber weiterhin nicht davon aus, dass das potenzielle Leck auch Passwörter betraf - das könne aber nach wie vor nicht komplett ausgeschlossen werden. Daher werde der Zugang zu den Infopro-Systemen künftig nur noch über eine Zwei-Faktor-Authentifizierung möglich sein.

 

Update vom 29.11.2022: Erste Infopro-Systeme sind wieder online

Nach einem Cyberangriff auf den Hostingprovider Infopro am 21. November waren die Dienste des Unternehmens tagelang ausgefallen. Vom Ausfall betroffen war beispielsweise die Cloud-Version der bei KMU beliebten Buchhaltungssoftware Winbiz. In den vergangenen Tagen konnte das Unternehmen erste Services wieder starten.

Am vergangenen Sonntag konnte der Provider nach fast einer Woche erste Kundensysteme wieder in Betrieb nehmen, wie Infopro auf seiner Statusseite mitteilt. Die IT-Forensik, die erhöhten Sicherheitsmassnahmen sowie der Restore-Prozess nähmen aber mehr Zeit in Anspruch als anfangs gedacht. Der Fokus bei der Inbetriebnahme liege darauf, "die Systeme so sicher wie möglich wieder zu starten und die Integrität der Daten sicherzustellen".

Einen Tag später vermeldete der Provider, dass die Migration der Kunden-E-Mails vorbereitet sei. Damit sollen Kunden in den kommenden Tagen Zugriff auf ihre E-Mails, Kalendereinträge, Kontakte und Aufgaben erhalten, wie es auf der Statusseite heisst. Ebenfalls habe der Provider weitere Kundensysteme wieder in Betrieb nehmen können. Man gehe nach wie vor davon aus, dass ein grosser Teil der Kundensysteme im Verlauf der aktuellen Woche wieder online gehen können.

 

Originalmeldung vom 25.11.2022:

Infopro-Dienste fallen nach Cyberattacke tagelang aus

Der Hostingprovider Infopro ist am 21. November Opfer einer Cyberattacke geworden, wie das Unternehmen mitteilt. Erste Untersuchungen zufolge, seien die Kundendaten durch den Angriff nicht kompromittiert worden. Trotzdem könne ein Datenabfluss noch nicht vollständig ausgeschlossen werden. "Da wir ein Datenleck zum jetzigen Zeitpunkt nicht vollständig ausschliessen können, weisen wir Sie auf die gesetzlichen Meldepflichten gemäss den Datenschutzbestimmungen in der Schweiz und in der EU hin. Es obliegt Ihnen, individuell zu prüfen und zu bewerten, ob Sie einer gesetzlichen Meldepflicht unterliegen", schreibt der Provider in einer Mitteilung.

 

Vom Ausfall betroffen ist auch die Cloud-Version der Buchhaltungssoftware des Westschweizer Entwicklers Winbiz, wie das Unternehmen mitteilt. Die Lösung des Herstellers wird gemäss dessen Website von rund 50’000 KMU in der Schweiz genutzt.

 

Zum Zeitpunkt der Veröffentlichung sind sowohl die Services von Winbiz, als auch Infopro weiterhin nicht erreichbar. Infopro teilt auf seiner Website mit, dass das Unternehmen gemeinsam mit externen Expertinnen und Experten an der Wiederherstellung seiner Dienste arbeite. Ein Teil der Kundensysteme soll demnach während des anstehenden Wochenendes wiederhergestellt werden.

 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_275873