Ransomware (Akira)

Hoerbiger Akira Ransomware

Anfang 2024 wurde der Schweizer Industriekonzern Hoerbiger Opfer der Akira-Ransomware. Über 50 GB vertrauliche Daten wurden im Darknet veröffentlicht.

Hoerbiger Akira Ransomware

Was ist passiert?

Im Januar 2024 wurde die Hoerbiger Holding AG – ein international tätiger Schweizer Industriekonzern mit Hauptsitz in Zug – Opfer der Akira-Ransomware. Die Angreifer verschafften sich Zugang zu den Unternehmenssystemen, exfiltrierten über 50 GB an vertraulichen Daten und verschlüsselten anschliessend kritische Systeme.

Hoerbiger weigerte sich, das geforderte Lösegeld zu zahlen. Daraufhin veröffentlichten die Angreifer die gestohlenen Daten auf ihrer Leak-Seite im Darknet – eine Taktik, die als Double Extortion (doppelte Erpressung) bekannt ist: Zuerst wird mit der Verschlüsselung gedroht, dann mit der Veröffentlichung der Daten.

Die Akira-Gruppe ist seit März 2023 aktiv und hat sich auf Industrieunternehmen, KMU und den Gesundheitssektor spezialisiert. Sie nutzt typischerweise kompromittierte VPN-Zugänge ohne Multi-Faktor-Authentifizierung als Einfallstor und verwendet legitime Administrations-Tools wie AnyDesk und WinSCP für die Datenexfiltration, was die Erkennung erschwert.

Wer war betroffen?

Hoerbiger ist ein global tätiges Unternehmen mit über 6’000 Mitarbeitenden in mehr als 40 Ländern:

  • Mitarbeitende weltweit, deren Personal- und Lohndaten potenziell in den gestohlenen 50+ GB enthalten waren
  • Kunden in der Öl- und Gas-, Prozess- und Automobilindustrie, deren technische Spezifikationen und Vertragsdetails kompromittiert worden sein könnten
  • Zulieferer und Partner, deren Geschäftsinformationen im geleakten Datenbestand auftauchen könnten
  • Produktionsstandorte, die durch die Verschlüsselung der IT-Systeme eingeschränkt waren
  • Aktionäre der Hoerbiger Stiftung, die mit Reputations- und Bewertungsverlusten konfrontiert wurden

Besonders brisant: Hoerbiger ist in der Kompressions- und Antriebstechnik tätig und beliefert unter anderem die Energiebranche. Technische Zeichnungen und Patentdaten gehören zu den wertvollsten Assets des Unternehmens.

Wie gross war der Schaden?

Die Veröffentlichung von über 50 GB an Daten stellt einen erheblichen und nachhaltigen Schaden dar:

  • Direkter IT-Schaden: Verschlüsselte Systeme, Produktionsunterbrechungen an mehreren Standorten
  • Datenverlust und -exposition: Vertrauliche Geschäftsdaten, Personalinformationen und technische Dokumente öffentlich zugänglich im Darknet
  • Wettbewerbsnachteil: Konkurrenten könnten Zugang zu technischen Spezifikationen und Preiskalkulationen erlangt haben
  • Compliance-Kosten: Meldepflichten gegenüber Datenschutzbehörden in dutzenden Ländern
  • Reputationsschaden: Vertrauensverlust bei Kunden, die sensible Auftragsdaten mit Hoerbiger geteilt hatten

Der Gesamtschaden wird auf CHF 15–40 Mio. geschätzt, wobei der langfristige Schaden durch die veröffentlichten Daten schwer zu quantifizieren ist.

Hätte eine Cyberversicherung geholfen?

Der Hoerbiger-Fall ist ein Musterbeispiel für die Relevanz einer Cyberversicherung – insbesondere wegen der Double-Extortion-Taktik, die sowohl Eigen- als auch Drittschäden verursacht.

Kostenanalyse und Versicherungsdeckung

KostenpositionGeschätzte KostenVon Cyberversicherung gedeckt?
Incident Response & ForensikCHF 1–2 Mio.✅ Ja – Sofort-Einsatz von Spezialisten
Systemwiederherstellung & EntschlüsselungCHF 2–4 Mio.✅ Ja – Kernleistung der Police
Betriebsunterbrechung (Produktion)CHF 5–15 Mio.✅ Ja – Ertragsausfalldeckung
LösegeldforderungCHF 2–5 Mio.⚠️ Teilweise – bei Empfehlung des Versicherers
Datenschutz-Meldungen (multi-jurisdiktional)CHF 500’000–1 Mio.✅ Ja – regulatorischer Aufwand gedeckt
Haftpflicht gegenüber betroffenen DrittenCHF 2–5 Mio.✅ Ja – Cyber-Haftpflichtkomponente
Darknet-Monitoring & IdentitätsschutzCHF 200’000–500’000✅ Ja – häufig inkludiert
Krisenkommunikation & PRCHF 300’000–800’000✅ Ja – professionelle Medienberatung
Wettbewerbsschaden (IP-Verlust)CHF 3–10 Mio.❌ Nein – indirekter, langfristiger Schaden
Reputationsschaden & KundenverlustCHF 2–5 Mio.❌ Nein – nicht direkt versicherbar
Geschätzter GesamtschadenCHF 15–40 Mio.~50–65 % potenziell gedeckt

Fazit: Eine Cyberversicherung hätte insbesondere die massiven Kosten der Betriebsunterbrechung und die Haftpflichtansprüche abgefangen. Für ein Unternehmen der Grösse Hoerbigers wäre eine Deckungssumme von CHF 20–30 Mio. angemessen gewesen.

Lehren für Schweizer KMU

Der Hoerbiger-Fall ist besonders relevant für Schweizer Industrieunternehmen und KMU in der Fertigungsbranche:

  1. Double Extortion ist die neue Norm: Ransomware-Gruppen verschlüsseln nicht nur, sondern stehlen zuerst die Daten. Selbst wenn Sie perfekte Backups haben und nicht zahlen – Ihre vertraulichen Daten landen trotzdem im Darknet. Eine Cyberversicherung deckt die Folgekosten.

  2. VPN ohne MFA ist ein offenes Tor: Akira nutzt systematisch VPN-Zugänge ohne Multi-Faktor-Authentifizierung. Für Schweizer KMU ist die Einführung von MFA auf allen Remote-Zugängen die wirksamste Einzelmassnahme – und gleichzeitig eine typische Voraussetzung für eine Cyberversicherung.

  3. Industrieunternehmen sind Primärziele: Die Fertigungsindustrie ist nach dem Gesundheitssektor das am häufigsten angegriffene Segment. Die Kombination aus wertvollen Daten (Patente, technische Zeichnungen) und oft veralteter OT-Sicherheit macht diese Unternehmen attraktiv für Angreifer.

  4. Datenklassifikation ist entscheidend: Wissen Sie, welche Ihrer Daten bei einem Leak den grössten Schaden anrichten würden? Eine Datenklassifikation hilft, die kritischsten Assets besonders zu schützen – und die Versicherungssumme richtig zu dimensionieren.

  5. Nicht zahlen ist mutig, aber teuer: Hoerbiger hat vorbildlich gehandelt, indem das Unternehmen das Lösegeld nicht bezahlt hat. Die Konsequenz – Datenveröffentlichung – verursacht jedoch erhebliche Folgekosten. Eine Cyberversicherung unterstützt bei der Entscheidung und deckt die Kosten beider Szenarien.

  6. Darknet-Monitoring als Frühwarnsystem: Nach einem Datenleck können gestohlene Daten Monate oder Jahre später für Betrug missbraucht werden. Cyberversicherungen bieten häufig ein Darknet-Monitoring als Zusatzleistung an.

Schützen Sie Ihr Unternehmen

Der Hoerbiger-Fall zeigt: In der modernen Bedrohungslandschaft reichen gute Backups allein nicht mehr aus. Double Extortion macht jedes Datenleck zum potenziellen Reputations- und Haftungsrisiko.

Lassen Sie sich unverbindlich beraten. Die Experten der BTAG Versicherungsbroker AG in Bern wissen, welche Risiken speziell für Industrieunternehmen und Fertigungsbetriebe relevant sind, und finden die passende Cyberversicherung mit angemessener Deckungssumme.

Haben Sie Fragen zu Cyberversicherungen?

Unsere Partner bei BTAG Versicherungsbroker AG beraten Sie gerne — kostenlos und unverbindlich. Kein Verkaufsdruck, nur Expertise.

Mehr erfahren Oder berechnen Sie zuerst Ihre Kosten

Ein Service der BTAG Versicherungsbroker AG, Bern — unabhängige Beratung seit 1990.

BTAG Versicherungsbroker AG Mitglied SIBA FINMA Register-Nr. 12229
Beratung anfragen →