Am Dienstag um die Mittagszeit kam bei Sanitas Troesch Hektik auf: IT-Mitarbeiter legten Spurts ein und zogen Stecker aus, um Computer und Server vom Netzwerk zu trennen. Offenbar zu spät. Der Wurm hatte sich schon weitergefressen und wichtige Teile der IT-Infrastruktur lahmgelegt. Noch am Mittwochnachmittag funktionierten fünf Telefonzentralen nicht, wie Sprecherin Corina Känzig bestätigt. «Wir können im Moment nicht den gewohnten Dienstleistungsgrad anbieten», sagt sie.

Auf der Website gab das Unternehmen für 19 Standorte spezielle Telefonnummern an, über die es trotz Unterbruch erreichbar blieb. Die Shops blieben zwar in Betrieb. Kunden konnten dort auch Waren beziehen. Doch Berater hatten keinen Zugriff auf die elektronischen Unterlagen und Offerten. Ein Kunde erzählt, er sei gebeten worden, die früher erhaltenen Offerten auf Papier zur Beratung mitzubringen. Eingeschränkt ist vor allem auch die Auslieferung an die Baustellen.

Die Schadstoffware muss über Frankreich eingeschleust worden sein. «Unser Mutterhaus Saint-Gobain ist von einem Cyber-Angriff betroffen», erläutert Känzig. Die Computersysteme sind eng vernetzt. Der Küchen- und Badhersteller mit 970 Angestellten und einem Jahresumsatz von 549 Millionen Franken gehört seit 2005 zum französischen Baustoffkonzern Saint-Gobain. Wie schlimm der Computerwurm Sanitas Troesch infizierte, ist laut Känzig noch unklar, «wir sind mitten am Abklären».

In der Schweiz sind laut der Melde- und Analysestelle Informationssicherung des Bundes (Melani) sieben Unternehmen unterschiedlicher Grösse und aus unterschiedlichen Branchen betroffen. Neben Sanitas Troesch ist davon namentlich nur die Werbeplattform Admeira bekannt, die am Dienstagabend über den Hackerangriff informierte.

Die IT-Sicherheitsfirma Malwarebytes registrierte bislang rund 18 000 Infektionen in über 60 Ländern. Der Angriff der auf «Ex Petr» getauften Schadsoftware breitet sich langsamer aus als der «Wanna Cry»-Trojaner. Er betrifft aber mehr Grosskonzerne, darunter den deutschen Nivea-Hersteller Beiersdorf oder die dänische Reederei Maersk. Die Angreifer verlangen 300 Dollar in Bitcoin. Bis Mittwochnachmittag wurden über 40 Zahlungen geleistet.