Cyber-Angriff: Was Unternehmen tun können
5. Juli 2021
Die Hacker der vermutlich russischen Gruppe REvil verlangen 70 Millionen US-Dollar von dem amerikanischen IT-Dienstleister Kaseya - zu zahlen in Bitcoin. Diese Gruppe war vermutlich auch diejenige, die im Juni den weltgrößten Fleischverarbeiter JBS um elf Millionen Dollar erpresst hat. Könnte hinter diesen Attacken die russische Regierung stecken? Eine Schuldzuweisung vermied US-Präsident Joe Biden zwar am Wochenende, aber die amerikanischen Geheimdienste sollen intensiv ermitteln.
Kaseya ist ein Dienstleister , der anderen Unternehmen IT-Sicherheit über Fernwartung anbietet. Über dessen Software VSA werden dann Updates für die 36.000 Kunden weltweit eingespielt. Wie viele deutsche Kunden darunter sind, das ist nicht ganz klar. In Deutschland seien mehrere IT-Dienstleister und Unternehmen betroffen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Nachmittag mit, nannte aber keine Zahl. Doch so oder so dürfte das Auswirkungen auf tausende Rechner auch hierzulande haben. Der deutsche Digital-Branchenverband Bitkom rechnet damit, dass die Schadenssumme, die im Jahr 2019 durch Sabotage, Datendiebstahl oder Spionage bei rund 100 Milliarden Euro lag, im vergangenen Jahr deutlich übertroffen werden dürfte.
Betroffen sind offenbar zwischen 800 und 1500 Unternehmen weltweit. Dies bestätigte der Vorstandsvorsitzende der US-Informationstechnologiefirma Kaseya, Fred Voccola, in einem Interview mit der Nachrichtenagentur Reuters am Montag (Ortszeit). Voccola erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen, da die Betroffenen hauptsächlich Kunden von Kaseya seien. "Wir glauben nicht, dass sie in unserem Netzwerk waren", so der CEO und fügte hinzu, dass die Details des Einbruchs öffentlich gemacht würden, sobald dies sicher und ok sei. Sein Unternehmen sei im Moment dabei, die Schwachstelle zu beheben.
Hohe Vernetzungsgrad hilft Cyberkriminellen
Die Masche der Hacker: Sie verschaffen sich mit sogenannter Ransomware, also Erpressersoftware, Zugang zu den Rechnern eines Unternehmens, verschlüsseln die Daten und geben diese nur nach Zahlung eines Lösegelds frei. Besonders gern suchen die Kriminellen sich Unternehmen aus, die mit vielen anderen in Verbindung stehen, nutzen also einen Multiplikatoreffekt, sagt Hannes Federrath, Professor für Informatik an der Universität Hamburg und Präsident der Gesellschaft für Informatik.
Im Dezember hatten Hacker eine solche Schwachstelle in der Software genutzt, damals waren die Regierung in den USA, Organisationen und Behörden betroffen. Die Auslagerung der IT-Administration sei eine Schwachstelle, sagt Federrath. "Das Know-how im eigenen Haus ist dann nicht mehr vorhanden. Man könnte sich noch nicht einmal abkoppeln von diesen Dienstleistern, um dann eben selbst für den eigenen Schutz zu sorgen."
Zumindest sollten betroffene Firmen, die diese Software einsetzen, den Zugang für den Dienstleister sperren, rät Matthias Randemer, Experte für Cybersicherheit der Unternehmensberatung EY. Sollten die Unternehmen aber zahlen, wenn sie erpresst werden? Eigentlich wäre es sinnvoll, sich in einer solchen Situation sich an das Bundeskriminalamt (BKA) oder Verfassungsorgane wenden, sagt Bandemer; eine Zahlung würde die Hacker ja weiter ermutigen. "Zum anderen gibt es auch möglicherweise rechtliche Themen, man könnte sich in Gefahr begeben, dann etwa der Geldwäsche bezichtigt zu werden."
Nicht aktualisierte Hardware als Einfallstor
Doch wenn die Back-ups der Unternehmenssoftware nicht funktionierten, das Geschäft also stillstehe, dann würden viele Firmen "wohl oder übel" zahlen. Die Systeme neu aufzusetzen könnte eben auch sehr lange dauern und kostspielig sein. "Wenn sich Unternehmen auf so eine Situation beizeiten vorbereitet haben, brauchen sie dann nicht mehr zu aktiv zu werden", mahnt der Cyberkriminalitätsexperte zum rechtzeitigen Handeln.
Das ist gerade in Zeiten nötig, in denen viele Mitarbeiter von zu Hause aus arbeiten. Selbst wenn die von ihren Arbeitgebern mit Laptops ausgestattet werden, steigen nämlich die Risiken für Cyberattacken, erklärt Hannes Fedarrath von der Uni Hamburg, das sei spätestens dann der Fall, wenn getrennte Geräte in ein und demselben Heimnetzwerk zusammenkämen: "Geräte aus dem Internet of Things, wie zum Beispiel smarte Glühbirnen oder smarte Fernsehapparate, sind dann auch Einfallstor in die dienstliche Kommunikation, beispielsweise auf einem Dienst-Laptop."
In ihrer dienstlichen Infrastruktur sollten die Firmen dafür sorgen, dass unsichere Rechner nicht genutzt würden: "Denn diese Ransomware-Angriffe, die wir im Moment sehen, beruhen vor allem darauf, dass alte, nicht mehr aktualisierte Systeme leicht angegriffen werden können", erklärt der Experte und erinnert an die Angriffe auf Krankenhäuser vor einigen Monaten. Da waren medizinische Geräte attackiert worden, die nicht regelmäßig aktiv aktualisiert werden konnten.: "Das Gleiche geschieht in diesem Fall im Bereich der Kassensysteme. Ein Kassensystem ist ein typisches betriebliches Gerät." In Schweden hatte die Supermarktkette coop am Wochenende ihre 800 Filialen schließen müssen, weil die Kassensysteme ausgefallen waren.