Bahnbauer wird erpresst – Hacker machen Daten von Stadler Rail publik Im Internet sind erste Bilder von gestohlenen Dokumenten aufgetaucht, die aus einem Cyberangriff gegen Stadler Rail stammen. Die Erpresser verlangten 6 Millionen Dollar. Philipp Felber-Eisele

Peter Spuhlers Stadler Rail wird von Hackern erpresst. Nun sind erste Daten veröffentlicht worden. KEYSTONE

Stadler Rail wird von Hackern erpresst. Das teilte die Firma Anfang Mai mit. Nun sind im Internet erste Bilder der gestohlenen Daten aufgetaucht. Diese zeigt ein anonymer Twitter-Account, der erst kürzlich eröffnet wurde.

Screenshot des Tweets mit den veröffentlichten Stadler-Daten aus einem Hackerangriff.

Stadler Rail machte vor wenigen Wochen bekannt, dass beim Hackerangriff «mit hoher Wahrscheinlichkeit ein Datenabfluss noch nicht genau bekannten Ausmasses stattgefunden hat». Es sei von einer professionellen Attacke auszugehen. «Die unbekannte Täterschaft versucht, Stadler unter Forderung hoher Geldbeträge zu erpressen und mit der möglichen Veröffentlichung von Daten unter Druck zu setzen, um dem Unternehmen und damit auch seinen Mitarbeitenden zu schaden.»

Stadler Rail bestätigt nun die Veröffentlichung von Daten in einer Stellungnahme gegenüber dieser Zeitung. Stadler sei auf eine Summe von sechs Millionen US-Dollar in Bitcoin erpresst worden. «Stadler ist und war zu keinem Zeitpunkt bereit, Zahlungen an die Erpresser zu leisten und ist nicht in die Verhandlungen eingetreten», sagt eine Sprecherin. Als Folge habe die Täterschaft nun interne Dokumente von Stadler veröffentlicht, «um Stadler und seinen Mitarbeitenden zu schaden».

«Es handelt sich dabei um vertrauliche Dokumente und Daten, die mittels kriminellen Machenschaften von Stadler gestohlen wurden.» Stadler Rail weist zudem daraufhin, dass die Nutzung und Verwendung der Dokumenten und Daten illegal sei, die kriminelle Täterschaft unterstütze und die stetige Zunahme von weiteren Cyberangriffen auf Unternehmen jeglicher Art fördere. «Stadler hat an seinem Hauptsitz in der Schweiz Anzeige erstattet. Zudem hat Stadler in allen Ländern mit Niederlassungen die Datenschutz-Behörden kontaktiert», so die Sprecherin.

Auf den Bildern ersichtlich sind Hinweise auf einen Konsortialkredit mit der UBS, den Basisvertrag mit der Credit Suisse, das Steuer-Ruling mit dem Kanton Thurgau und Bilder von einem Bauprojekt in Altenrhein. Allerdings scheinen die Daten älteren Ursprungs zu sein.

Auch australische Firma betroffen

Das Vorgehen der Hacker: Zuerst brechen sie in die IT-Systeme ein, verschlüsseln Datensätze und verlangen Geld, um sie wieder freizuschalten. Weil viele Firmen mittlerweile Backups machen, um sich vor solchen Angriffen zu schützen, hat das reine Verschlüsseln von Daten nicht mehr den gleichen Effekt, weil die Daten wiederhergestellt werden können.

So auch bei Stadler Rail. Deshalb drohen Hacker gleichzeitig damit, dass man die erbeuteten Daten veröffentlicht, wenn nicht bezahlt wird. Um dieser Drohung mehr Gewicht zu verleihen, werden dann erste Datensätze veröffentlicht. Normalerweise gewähren die Hacker bei diesem Vorgehen sieben Tage Zeit, um den Forderungen nachzukommen. Danach sollen erste Daten veröffentlicht werden.

Stimmt die Darstellung, dass mit einer Malware namens «Nefilim» der Angriff gegen Stadler lief, wäre dies nicht der erste Angriff mit dieser sogenannten Ransomware auf Firmen. Auch die australische Logistikfirma Toll ist davon betroffen.