Im Mai 2023 ist IT-Dienstleister und Cloud-Provider
Unico Data Opfer eines weitreichenden Cyberangriffs geworden. Die höchstwahrscheinlich aus Russland stammende Hackergruppe Play verschaffte sich Zugriff auf Systeme der Shared-Multi-Tenant-Plattform, verschlüsselte Teile und zog Daten ab. Bis heute ist nicht klar, wie die Cyberkriminellen eindringen konnten. Fest steht wiederum: Die Folgen waren schwerwiegend. Nicht nur Unico selbst, sondern zwischen 100 und 120 Kunden waren damals betroffen. Der IT-Dienstleister entschied sich dennoch gegen die Zahlung von Lösegeld, aber für eine aussergewöhnlich offene Kommunikation und transparente Aufarbeitung des Vorfalls – und musste anschliessend 18’000 Personalstunden aufbringen, um die direkten Auswirkungen zu bewältigen. Und an diesem Punkt hatten die Aufräumarbeiten erst begonnen.
Doch vor wenigen Wochen hat Unico gemeldet, dass die Bemühungen dennoch nicht ausgereicht haben: Ende 2025 muss der IT-Dienstleister aus Münsingen alle Geschäftstätigkeiten einstellen, bereits heute läuft der Betrieb nur noch auf Sparflamme ("IT Reseller"
berichtete). Arbeiteten in Spitzenzeiten rund 75 Personen für das Unternehmen, ist jetzt nur noch ein Notfallteam aus knapp 15 Mitarbeitenden damit beschäftigt, die verbliebenen Kunden auf Nachfolgesysteme zu migrieren und die Liquidation in die Wege zu leiten. "Dieser Schritt schmerzt ausserordentlich. Leider konnte aber das Vertrauen im Markt trotz grosser Anstrengungen nach diesem einschneidenden Ereignis nicht mehr in genügendem Masse hergestellt werden, um die Firma wirtschaftlich nachhaltig weiterführen zu können", heisst es in einem Statement auf der Webseite des Anbieters.
"Der Brand Unico war beschmutzt"
Dabei bestand lange Zeit Hoffnung, wie Gründer und Vorstandsvorsitzender Toni Hossmann (Bild, oben) und Geschäftsführer Bernhard Leutwiler (Bild, unten) im Gespräch mit "IT Reseller" erklären. Leutwiler war erst Anfang 2025 an Bord gekommen, nachdem die bisherige Geschäftsleitung das Unternehmen kurz zuvor verlassen hatte. Mit einem engagierten Managementteam wollte er das Ruder nochmal rumreissen, neue Kunden gewinnen und den kontinuierlichen Austritt von Mitarbeitenden stoppen. Letzteres gelang vorerst, aber gerade die Neukundenakquise gestaltete sich schwierig. "Der Brand Unico war beschmutzt", berichtet Leutwiler. "Wer über Google nach dem Unternehmen suchte, stiess zwangsläufig auf Berichte zum Cyberangriff. Und das Internet vergisst nicht."
Erschwerend hinzu kam, dass bereits einige Monate nach dem Vorfall – trotz der initialen Bewältigung der Systemstörungen – immer mehr Bestandskunden absprangen. Das Vertrauen war angeschlagen, intern kam es zudem zu Konflikten, sagen Leutwiler und Hossmann.
Unico Data investierte nach dem Angriff massiv in den Security-Ausbau, doch das habe den IT-Dienstleister an anderer Stelle gelähmt, Fortschritt verhindert. Und durch weggebrochene Kunden hätten letztlich Referenzen gefehlt, um neue Unternehmen von Unico zu überzeugen. Zudem übernahm die involvierte Cyberversicherung lediglich einen Bruchteil der Kosten, vor allem für den direkt entstandenen Schaden. Nicht jedoch die Investitionen in die Bewältigung oder gar Folgekosten durch abgesprungene Kunden.
IT auf möglichst viele Säulen stellen
"Mir hat das den Teppich unter den Füssen weggezogen", sagt Toni Hossmann, der den IT-Anbieter 1991 aus der Taufe hob. Mittlerweile habe sich das Team aber vom Schock der Entscheidung für eine Geschäftseinstellung erholt. Die verbliebenen Mitarbeitenden würden jetzt auf eine abschliessende Lösung für die Kunden hinarbeiten, seien gut abgestimmt. "Viele Mitarbeiter haben bereits die Reissleine gezogen und Unico verlassen", so Leutwiler. "Aber das übrige Team zeigt wahres Commitment und Stärke. Dafür sind wir sehr dankbar."
Ob Unico Data in den vergangenen zweieinhalb Jahren selbst Fehler gemacht hat? Das Security-Niveau sei auf einem hohen Niveau gewesen, das hätten die Behörden bestätigt, bekräftigt Hossman. "Wir haben alles gemacht, was wir tun konnten. Dafür haben wir auch von vielen Seiten gutes Feedback erhalten." Zwar sei im Security-Bereich immer etwas mehr möglich, ergänzt Leutwiler. "Die Best Practices im Bereich Security haben sich, auch wegen Cybervorfällen wie diesem, in den letzten Jahren stark gewandelt. Da diese mit grossen Investitionen verbunden sind, stellt die rasche Umsetzung mittelständische Unternehmen aber vor ökonomische Herausforderungen." Und auch von der offenen Kommunikation im Nachgang des Vorfalls zeigt sich der Geschäftsführer nach wie vor überzeugt. So konnte Unico Data proaktiv vorangehen, Transparenz signalisieren und nicht zuletzt anderen IT-Dienstleistern Erfahrungswerte mit auf den Weg geben. Einer der Ratschläge der beiden Manager: IT-Dienstleister sollten der IT-Security einen möglichst hohen Stellenwert einräumen. "Zudem haben die Cyberversicherungen klargestellt, dass eine entsprechende Police für Schäden des IT-Dienstleisters haftet, nicht aber für die Schäden derer Kunden. Diese sind selber angehalten, entsprechende Versicherungspolicen abzuschliessen."
Leutwiler empfiehlt Unternehmen zudem, ihre IT-Landschaft auf möglichst viele Säulen zu stellen. Viele Kunden hätten Unico als One-Stop-Shop verstanden, nahezu alle Systeme gebündelt über den IT-Dienstleister bezogen. Entsprechend schwerwiegend waren die Folgen, trotz der schnellen Rückkehr zum Betrieb. "Aber was wäre passiert, wenn Unico nicht in kurzer Zeit wieder funktionsfähig gewesen wäre? Disaster-Recovery-Szenarien bei Drittparteien sind aufgrund von Ausfallrisiken seitens der Anbieter heute in vielen regulierten Branchen Standard und in jedem Fall zu empfehlen." Die beiden Manager bekräftigen gleichzeitig: Der Vorfall sei kein Anlass, das Vertrauen in Schweizer IT-Dienstleister zu verlieren oder wieder mehr Services inhouse zu betreiben. Vielmehr ist es ein Aufruf dazu, noch enger zusammenzuarbeiten und gemeinsam Lösungen für eine grösstmögliche Sicherheit zu schaffen.
Hossmann und Leutwiler wollen noch bis zum Schluss die verbliebenen Kunden begleiten, die Migration sicherstellen, mit allen Mitarbeitenden und Lehrlingen konnten individuelle Anschlusslösungen gefunden werden. Im kommenden Januar erfolgen dann der Rückbau des Rechenzentrums und der Verkauf der Hardware – und anschliessend für beide Manager ein gänzlich neuer Abschnitt. "Ich will auf jeden Fall noch etwas Neues machen. Was genau, das weiss ich aber noch nicht", sagt Hossmann nach knapp 35 Jahren
Unico Data.
(sta)
