Diese Meldung erwischte viele der 170 Angestellten der Swisswindows AG auf dem falschen Fuss: Der Fensterhersteller mit Sitz in Mörschwil SG ist pleite und macht alle drei Standorte per sofort dicht (BLICK berichtete). Den Betroffenen bleibt nur noch der Gang aufs RAV.
«Ich bin unglaublich traurig und sehe keine Zukunft für mich!», sagt Islam Ferati (55). Der Bosnier arbeitete während zwei Jahren als Springer für Swisswindows. «Ich leide an einem Schleudertrauma, bin über 50-jährig. Jemand wie ich findet doch nichts mehr auf dem Arbeitsmarkt», so seine Befürchtung.
Der Übeltäter heisst «Ryuk»
Bitter: Zuletzt waren die Auftragsbücher offensichtlich gut gefüllt. Das Schicksal der Firma wurde allerdings durch eine Cyberattacke im Mai 2019 besiegelt.
«Die Folge war ein Produktionsausfall von über einem Monat, begleitet von massiven Folgekosten», schreibt Geschäftsführer Neša Meta in einem Brief an die Belegschaft. In der Folge sei es dann nicht gelungen, einen Investor zu finden, der die nötige Liquidität des Unternehmens hätte gewährleisten können.
Wie mehrere Swisswindows-Leute gegenüber BLICK bestätigen, soll der Fensterproduzent von einer Schadsoftware namens «Ryuk» lahmgelegt worden sein. Dabei handelt es sich um ein äusserst perfides Verschlüsselungsprogramm, das sich als Trojaner Zugriff auf Firmenserver verschafft.
Der Eindringling verschlüsselte die Firmenserver
«Unser Fensterbauprogramm wurde komplett verschlüsselt. Alle Aufträge sowie sämtliche Kunden- und Maschinendaten an allen drei Standorten von uns waren einfach weg», sagt ein Insider. Zwar hätte eine externe IT-Firma täglich Backups durchgeführt, aber auch diese seien durch die Attacke unbrauchbar geworden.
«Weil heute alles miteinander vernetzt ist, lief bei uns plötzlich keine einzige Maschine mehr. Wir standen da wie die Esel am Berg», so der Insider. Die Staatsanwaltschaft des Kanton St. Gallen bestätigt auf Anfrage von BLICK entsprechende Ermittlungen, möchte aber «derzeit aufgrund von laufenden Abklärungen keine weiteren Angaben machen».
Sitzen die Verantwortlichen in Russland?
Speziell: Hinter «Ryuk» steckt offenbar eine raffinierte Bande, die sich auf die Erpressung von Firmen spezialisiert haben. Nur wer die Gauner mittels Bitcoins bezahlt, soll wieder Zugriff auf seine Server erhalten. Die Übeltäter wurden zunächst in Nordkorea vermutet, sollen aber laut dem Nachrichtenmagazin «Spiegel» aus Russland stammen.
Laut Geschäftsführer Neša Meta sah sich auch Swisswindows mit Bitcoin-Forderungen konfrontiert: «Wir haben uns nicht erpressen lassen. Da die Infrastruktur nach dem Cyber-Angriff aus Sicherheitsgründen ohnehin ausgetauscht werden mussten, war das keine Option.»
Wegen dem Wirbel um «Ryuk» sei der Firma gar ein potenzieller Geldgeber im letzten Moment abgesprungen. «Es wurden Konventionalstrafen fällig, weil wir unsere Kunden nicht rechtzeitig liefern konnten. Unsere Mitarbeiter konnten ihre Termine nicht wahrnehmen, weil sie darauf keinen Zugriff mehr hatten. Aufträge und Rechnungen mussten wir in Papierform zusammensuchen», erklärt Meta.
Dabei habe man firmenintern eigentlich geglaubt, betreffend Internetsicherheit ganz ordentlich aufgestellt zu sein. «So etwas eine Cyberattacke kann ein Unternehmen ruinieren. Und wir haben in der Schweiz überhaupt kein Bewusstsein dafür», stellt der Firmenchef ernüchtert fest.