Unbekannte wollten Lösegeld erpressen

Das Parkresort Rheinfelden ist Opfer einer Cyberattacke geworden. Zweck war die Erpressung von Lösegeld. Das Unternehmen beziffert den entstandenen Schaden auf einen mittleren fünfstelligen Betrag.

Valentin Zumsteg

Das ist der Alptraum vieler Unternehmen: «In der Nacht vom Donnerstag auf Freitag der vorletzten Woche gab es eine Cyberattacke auf das Computersystem des Parkresorts», bestätigt Thomas Kirchhofer, Verwaltungsratspräsident der Parkresort Rheinfelden Holding AG, Informationen der NFZ. Der Angriff erfolgte über den so genannten Remote-Server. Damit wird Mitarbeitenden im Homeoffice und in den Therapie-Aussenstationen der Zugriff auf das Netzwerk des Unternehmens ermöglicht. «Die Schadsoftware begann damit, Dateien in unserem Netzwerk zu verschlüsseln. Zweck war die Erpressung von Lösegeld; wir gingen auf solche Forderungen jedoch nicht ein. Glücklicherweise konnte der Angriff bereits am frühen Freitagmorgen entdeckt und gestoppt werden», schildert Kirchhofer.

«Keine Daten gestohlen»
Aufgrund des Vorfalls war der Fernzugriff auf das System während drei Tagen verunmöglicht. Dies betraf auch den Empfang von Emails via Smartphones. Ein zentrales Laufwerk für die Speicherung von Dokumenten und Bildern wurde vollständig verschlüsselt. Das Bewirtschaftungssystem der Wellness-Welt «sole uno» war ebenfalls während einiger Tage ausser Betrieb. Zudem war der Backup-Server beschädigt und musste neu aufgesetzt werden, deshalb war das Zurückspielen der extern archivierten Daten erst nach einigen Tagen wieder möglich. «Nach unserem Kenntnisstand wurden keine Daten gestohlen. Das ist aus unserer Sicht das Allerwichtigste», betont Thomas Kirchhofer. Zur Parkresort Holding AG gehören neben dem «sole uno» auch die Rehabilitationsklinik Salina sowie das Park-Hotel.

Der Badebetrieb konnte durchgehend geöffnet bleiben, allerdings mussten vorübergehend manuell Einzeleintritte verkauft und die Gäste mit Strichlisten gezählt werden. Die anderen Unternehmensbereiche liefen grösstenteils normal weiter.

«Anzeige wäre sinnlos»
Die Attacke hinterliess einen beträchtlichen finanziellen Schaden: «Gästen, die Anfang letzter Woche das sole uno mit einer Zehnerkarte besucht haben, wurde dieser Eintritt auf der Karte nicht belastet. Sie profitieren somit von einem Gratiseintritt. An der Badkasse mussten wir zusätzliche Mitarbeiterinnen einsetzen. Für die Schadensabschätzung und -begrenzung haben wir mit zwei externen Spezialfirmen zusammengearbeitet. Zusätzlich wurden auch von eigenen Mitarbeitern etliche Überstunden geleistet. Insgesamt ist ein Schaden im mittleren fünfstelligen Bereich entstanden», erklärt Kirchhofer. Wer hinter dem Angriff steckt, weiss er nicht: «Die Identität der Angreifer liegt für uns völlig im Dunkeln.» Auf eine Anzeige verzichtet das Unternehmen: «Das wäre gemäss den Experten absolut sinnlos», sagt Kirchhofer. Es kommt immer wieder zu solchen Attacken. Im Frühling war der Schienenfahrzeug-Hersteller Stadler Rail Opfer von Cyberkriminellen geworden.