Ransomware-Attacke

Was wir zum Cyberangriff auf Bülach wissen – und was nicht

· Online seit 18.08.2022, 15:29 Uhr

Vor einem Monat lief bei der Stadtverwaltung Bülach plötzlich gar nichts mehr: Wegen eines Cyberangriffs waren Daten verschlüsselt und Systeme fielen aus. Jetzt hat Bülach über den Vorfall informiert.

In der Schweiz sollen Firmen und Betreiber kritischer Infrastrukturen künftig Cyberattacken einer zentralen Stelle melden müssen. (Symbolbild)

Bildquelle: KEYSTONE/DPA/LINO MIRGELER

Unbekannte Täter waren am Sonntag, dem 17. Juli, ins IT-System der Stadt Bülach eingedrungen.

1 / 1

Was ist passiert?

Unbekannte Täter waren am Sonntag, dem 17. Juli, in die IT-Systeme der Stadt Bülach eingedrungen, wie der «Zürcher Unterländer» berichtet. Am Morgen darauf habe die Stadtverwaltung festgestellt, dass sie nicht mehr auf alle Daten zugreifen konnte und das Mailsystem nicht mehr funktionierte.

Wie reagierte Bülach auf die Attacke?

Die Server der Verwaltung seien sofort heruntergefahren und alle Notebooks deaktiviert sowie ein Krisenstab gebildet worden. Die Verwaltung war in der Folge mehrere Tage nur eingeschränkt erreichbar. Für systemkritische Dienstleistungen wie das Stadtbüro, das Zivilstandsamt und die Kindes- und Erwachsenenschutzbehörde wurden Notarbeitsplätze installiert. Gegen Ende der Woche waren die meisten Systeme wieder online. Man habe die Einfallspforte des Angriffs geschlossen und die Systeme wieder aktiviert. Mit einem Back-up habe man Daten erfolgreich wiederherstellen können. Vom Vorfall nicht betroffen waren die Blaulichtorganisationen sowie Wasser- und Abwasserversorgung.

Wie gelang es den Angreifern, in die Bülacher Systeme zu kommen?

Die Einfallspforte sei rasch erkannt worden. Dadurch habe man nachvollziehen können, wie sich die Schadsoftware im System bewegt habe. Das genaue Einfallstor will die Stadt nicht öffentlich bekannt geben. Der Hack sei aber weder über ein Phishing-Mail, noch über eine technische Lücke geschehen.

Wurde Bülach erpresst?

Die Stadt bestätigte erstmals, dass es sich um einen sogenannten Ransomware-Angriff handelte. Hierbei werden die IT-Systeme verschlüsselt und oftmals Lösegeld gefordert. Nach Angaben der Stadtverwaltung habe es entsprechende Forderungen gegeben, man sei aber gar nicht erst darauf eingegangen. Deshalb sei auch nicht klar, ob und wie viel Lösegeld gefordert worden wäre.

Haben die Angreifer Daten gestohlen?

Aktuell gebe es keine Hinweise, dass Daten abgeflossen seien. Das bedeute allerdings nicht, dass das nicht passiert sei. Es seien aber bis anhin keine Daten im Darknet aufgetaucht, und es sei am Wochenende des Cybervorfalls auch zu nicht zu auffälligem Datenverkehr gekommen. Entwarnung könne Bülach bezüglich Einwohnerdaten und Steuerdaten geben. Diese würden nicht auf Bülacher Servern gespeichert und waren deshalb nicht gefährdet.

Welche Massnahmen für die IT-Sicherheit wurden ergriffen?

Nach dem Vorfall hat die Stadt nach eigenen Angaben die vielerorts übliche Zwei-Faktor-Authentifizierung eingeführt. Die Bülacher Informatikabteilung setzte die Passwörter aller Mitarbeitenden zurück. Sämtliche Notebooks wurden eingesammelt und neu aufgesetzt. Ausserdem gebe es schon seit längerem eine Sensibilisierungs- und Schulungskampagne für Mitarbeitende. Zusätzlich werde der Einsatz einer permanenten Notfallinfrastruktur geprüft.

Was kostete der Cyberangriff?

Die nach der Attacke ergriffenen Massnahmen brauchten viele Ressourcen. Mehrere Hundert Geräte mussten in den vergangenen Wochen neu aufgesetzt werden und es kam zu Wartezeiten, Arbeitsausfällen und zusätzlichem Aufwand für die städtische Informatik. Konkrete Zahlen liegen noch nicht vor, der Cyberangriff dürfte die Stadt aber etliche Tausend Franken kosten.

(osc)