Im Autocenter scheint alles seinen gewohnten Lauf zu nehmen: Zwischen blank polierten Boliden lässt sich ein Paar beraten. Weiter vorne arbeitet ein Mitarbeiter an einem Computer. Ansonsten ist an diesem Mittwochnachmittag nicht viel los in der grossen Verkaufshalle von Emil Frey an der Peripherie von Bern.

Doch, sie könne eine Probefahrt buchen, sagt die Mitarbeiterin am Empfang. Es kämen heute normal viele Kunden vorbei. Und: Däumchen drehen müsse niemand. Mehr sagt sie nicht. Darf sie nicht. Auch der Geschäftsführer und der Verkaufsleiter wollen nicht reden.

Hinter den Kulissen steht beim grössten Autoverkäufer Europas offenbar vieles still. Ausser dem Telefon funktioniere kaum etwas, sagte am Vormittag ein Mitarbeiter. Der Grund: Die Emil-Frey-Gruppe wurde von Cyberkriminellen attackiert. Man sei mit internen und externen Spezialisten daran, den Schadensumfang festzustellen und Lösungen zu finden, hatte der Autohändler am Dienstagabend in einem Communiqué mitgeteilt. Die zuständigen Behörden seien informiert. «Wir bitten um Verständnis, dass wir erst Stellung nehmen können, wenn die Abklärungen abgeschlossen sind.» Der Medienverantwortliche war heute für telefonische und schriftliche Fragen denn auch nicht erreichbar.

Welche Systeme von den Angreifern lahmgelegt worden sind, bleibt also unklar. Die Websites in der Schweiz und in Deutschland sind zumindest teilweise erreichbar. Kundinnen und Kunden finden dort den Hinweis, dass «die Services aufgrund technischer Schwierigkeiten» nur sehr eingeschränkt verfügbar seien. Offenbar ist also Infrastruktur betroffen, die für die Geschäftsprozesse zentral ist.

Zwei kontaktierte IT-Sicherheitsexperten vermuten, dass die Emil-Frey-Gruppe Opfer eines Ransomware-Angriffs geworden sei. Dabei schleusen die Angreifer ein Programm ins Firmennetzwerk ein, das die Daten verschlüsselt. Anschliessend fordern sie Lösegeld. Wird bezahlt, erhält die betroffene Firma die nötigen Informationen zum Entschlüsseln der Inhalte. Spielt sie nicht mit, werden die ergaunerten Daten oft tranchenweise im Darknet publiziert.

Bislang seien sie im Darknet aber noch auf keine Informationen zu diesem Angriff gestossen, sagen die beiden Sicherheitsexperten.

Niemand ist mehr sicher

Derzeit gibt es sehr viele Ransomware-Angriffe – weil sie einfach zu bewerkstelligen sind und weil sich viele Unternehmen nur ungenügend darauf vorbereiteten. Gleich mehrere Gruppen treiben im deutschsprachigen Raum sehr aktiv ihr Unwesen. Sie jubeln beliebigen Mitarbeitern Schadsoftware unter, etwa getarnt als Anhang einer E-Mail. Oder sie nutzen Schwachstellen in der IT-Infrastruktur aus.

Laut einer Untersuchung von Check Point Research gab es in der Schweiz 65 Prozent mehr Cyberattacken auf Firmen als im Vorjahr. Besonders viele wurden im Dezember gezählt, nachdem die Schwachstelle in der auf zahlreichen Webservern eingesetzten Java-Bibliothek log4j bekannt geworden war. Die Angreifer können durch dieses Leck die Kontrolle über den Server übernehmen.

In der letzten Woche war die CPH-Chemie+Papier-Gruppe Opfer eines Cyberangriffs geworden. An den Standorten Perlen und Müllheim wurde die Produktion von Papier und Verpackung vorsorglich gestoppt. Mittlerweile konnten die IT-Systeme wiederhergestellt werden; morgen soll die Produktion wieder anlaufen.

Vor rund einem Jahr wurde bereits Amag Opfer einer Cyberattacke – die wichtigste Konkurrentin der nun betroffenen Emil-Frey-Gruppe. Die Angreifer hatten sich mit einem kompromittierten E-Mail-Anhang Zugang zum Firmennetz verschafft, wie SRF berichtet. Damals wurden zwar keine Daten gestohlen. Rund 100 Informatiker waren aber monatelang damit beschäftigt, das Netz sicher zu machen.

