Die Cyber-Attacke einer Hackerbande, die zunächst die Systeme eines Software-Unternehmens kaperte und von hieraus getarnte Schadprogramme auf die IT-Systeme Tausender Unternehmen verteilen konnte, stellt nach Ansicht von Sicherheitsexperten eine neue, gefährliche Art von Bedrohung dar. Dass die Gruppe nun abgetaucht ist, kann nicht als Entwarnung gelten.
Der Anfang Juli bekannt gewordene Angriff einer wohl überwiegend in Russland ansässigen Hackergruppe namens REvil hat bei IT-Sicherheitsexperten Alarm ausgelöst, da die Attacke auf einem vergleichsweise neuen und besonders perfiden Verfahren beruht, gegen das die letztlich betroffenen Nutzer so gut wie keine Abwehrmöglichkeiten haben.
Die Angreifer drangen dabei zunächst in die Systeme eines IT-Dienstleister ein, und konnten von hier aus in einem zweiten Schritt die Systeme von zahlreichen Unternehmen infizieren, dort Daten verschlüsseln, Für die Wiederherstellung verlangten die Hacker ein Rekord-Lösegeld von 70 Millionen US-Dollar.
Angriff erfolgte über IT-Dienstleister Kaseya
Die Angreifer machten sich eine Schwachstelle bei dem IT-Dienstleister Kaseya zunutze und infizierten hier die von dem Unternehmen bereitgestellte Software für deren Kunden. Über Downloads bzw. Updates aus dieser vermeintlich sicheren Quelle gelangte die Schadsoftware dann auf die Rechner der beeinträchtigten Firmen.
Kaseya bietet vor allem die Fernwartungssoftware VSA an, eine Server-Software mit der Unternehmen Software-Updates in ihren IT-Systemen verwalten können. Neben Endkunden nutzen vor allem auch andere IT-Dienstleister bzw. Managed Service Provider diese Lösung.
Auch Firmen die keine direkten Kaseya-Kunden sind, können erfasst sein
Über andere Dienstleister können also auch Firmen betroffen sein, die keinen direkten Kontakt mit Kaseya haben. Aus diesem Grunde ist das genaue Ausmaß des neuen Hacker-Angriffs auch noch nicht bekannt.
Ausmaß der Attacke noch nicht vollständig bekannt
Bislang am härtesten betroffen war etwa die schwedische Supermarktkette Coop, die am Wochenende hunderte Filialen schließen musste, weil der Zahlungsdienstleister Visma Esscom Opfer des REvil-Angriffs geworden war und die Kassensysteme in den Supermärkten daher nicht funktionierten. Da allein Visma Esscom schon rund 1 Million Kunden haben soll, lässt sich erahnen, dass es noch eine deutlich höhere Zahl von potenziellen Opfern geben könnte.
Nach jüngsten Schätzungen
- liegt die Zahl der Opfer weltweit bei rund 1.500,
- es gingen Schadensmeldungen aus 17 Ländern ein.
Schäden in Deutschland
Auch in Deutschland gibt bereits Meldungen über Schäden. So haben sich bislang mehrere IT-Dienstleister gemeldet, die als Nutzer von VSA von dem Vorfall betroffen sind. Damit sind auch deren Kunden betroffen und auch weitere Unternehmen haben sich mittlerweile beim Bundesamt für Sicherheit in der Informationstechnik gemeldet. Insgesamt sollen mehrere tausend IT-Geräte verschlüsselt worden sein.
Wie hat der betroffene IT-Dienstleister reagiert
Kaseya hat schnell nach der Entdeckung des Angriffs seine Cloud-Dienste gestoppt und Warnmeldungen an alle Kunden verschickt, worin diese aufgefordert wurden, ihre VSA-Server unverzüglich offline zu nehmen und erst nach der Bereitstellung eines Sicherheitspatches wieder in Betrieb zu nehmen. Mittlerweile hat Kaseya entsprechende Patches zur Verfügung gestellt.
BSI mahnt zu größerer Vorsicht bei Software-Lieferketten
Das BSI fordert in einer Mitteilung auch andere Betroffene auf, sich zu melden. Das nationale Cyber-Abwehrzentrum ist bereits mit dem Vorfall befasst. Bundesbehörden oder Betreiber kritischer Infrastrukturen sind nach aktuellem Kenntnisstand (05.07.2021) des BSI nicht betroffen. Nach Ansicht von BSI-Präsident Schönbohm zeige der Vorfall, wie intensiv die globale Vernetzung voranschreite und welche Abhängigkeiten daraus entstünden.
„Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken.“
Nicht der erste Angriff dieses Typs
Einen ähnlich strukturierten Angriff über eine Software-Lieferkette gab es bereits vor gut einem halben Jahr. Damals war ein IT-Dienstleister infiltriert worden, der die Netzwerkmanagement-Software Solarwind Orion anbietet. Allen Kunden, die diese Lösung einsetzten, konnte durch manipulierte Software eine Ransomware untergeschoben werden, ohne dass diese etwas dagegen hätten unternehmen können, denn schließlich handelte es sich ja um eine scheinbar sichere Software aus einer vertrauenswürdigen Quelle.
Lieferketten- bzw. Supply-Chain-Angriffe haben enormes Bedrohungspotenzial
Genau darin liegt das enorme Bedrohungspotenzial dieser Lieferketten bzw. Supply-Chain-Angriffe. Denn hiermit kann die Schadsoftware auf die Rechner der Opfer gelangen, ohne dass diese irgendeinen Fehler machen oder in ihren IT-Systemen Schwachstellen vorhanden sein müssen. Ein zuverlässiger Schutz vor derartigen Angriffen ist daher auch nicht möglich.
Worst-Case-Szenario
Die ersten dieser Supply-Chain-Attacken betrafen zwar schon etliche Unternehmen, doch letztlich hielten sich die Auswirkungen noch in Grenzen, denn in beiden Fällen (Kaseya, Solarwind Orion) handelte es sich um eher kleine IT-Unternehmen mit überschaubaren Kundenzahlen.
Kaum auszudenken wäre es allerdings, wenn ein solcher Angriff auf einen der großen Software-Konzerne gelänge, dessen Software auf Abermillionen von Geräten läuft, die dann lahmgelegt und ausspioniert werden könnten. Die Folgen, wenn etwa über ein Android-, iOS- oder Windows-Update eine Schadsoftware ausgeliefert wird, wären unüberschaubar. Aber auch schon bei anderen weit verbreiteten populären Apps oder Anwendungen könnte ein virenverseuchtes Update katastrophale Auswirkungen haben.
Cyber-Attacken sorgen zunehmend für politische Spannungen
Abgesehen von den enormen wirtschaftlichen Schäden insbesondere der vielen erfolgreichen Ransomware-Attacken in jüngster Zeit, sorgt die zunehmende Gefährlichkeit der Cyber-Attacken auch auf politischer Ebene für Sorgen. So deuten viele Indizien darauf hin, dass einige der Angriffe von Akteuren durchgeführt werden, die zumindest mit starker staatlicher Unterstützung arbeiten oder es sich sogar um direkte staatliche Einrichtungen handelt. Als Argument für diese These wird dabei oftmals darauf verwiesen, dass die Planung und Durchführung solcher Hacker-Attacken erhebliche Ressourcen voraussetze, die nichtstaatliche Organisationen nicht aufbringen könnten.
Auch beim Treffen zwischen US-Präsident Biden und seinem russischen Amtskollegen Putin war es um das Thema Hackerangriffe gegangen, da sich vor allem die USA in letzter Zeit einer wachsenden Zahl von Attacken ausgesetzt sah.
Im Falle des Kaseya-Hacks scheint der Schuldige allerdings die Hackergruppe REvil zu sein, die zwar in Russland beheimatet ist, allerdings eher dem Bereich der organisierten Kriminalität zuzuordnen ist und nicht direkt von der russischen Regierung gesteuert wird.
Hackergruppe scheinbar abgetaucht
Im Falle des Kaseya-Angriffs gab es zuletzt eine etwas überraschende Wende. Gut zehn Tage nach Bekanntwerden der Attacke ist REvil anscheinend komplett abgetaucht, denn nicht nur die Server der Organisation im Darknet sind offline, auch die Infrastruktur für die Überweisungen der Lösegelder per Bitcoin ist nicht mehr erreichbar.
Über die Gründe, weshalb die Gruppe ihre Aktivitäten zu diesem Zeitpunkt eingestellt hat, gibt es bislang lediglich Spekulationen. Möglicherweise hat der politische Druck auf die russische Regierung dazu geführt, dass die Bande aus Angst vor einer Strafverfolgung jetzt erstmal in Deckung gegangen ist, eventuell hat es aber auch gezielte Gegenangriffe, etwa durch Cybereinheiten der US-Regierung, gegeben, wobei die Infrastruktur der Hackergruppe ausgeschaltet werden konnte.
Bereits im Frühjahr war eine andere Hackergruppe nach einem erfolgreichen Angriff auf den Betreiber einer wichtigen Öl-Pipeline in den USA offline gegangen, ohne dass die Hintergründe für diesen Rückzug bislang bekannt wurden.
Grund für eine Entwarnung ist das Verschwinden der Hackergruppen allerdings nicht, denn auch schon in der Vergangenheit sind diese Organisationen zeitweise abgetaucht, um später dann mit neuen Angriffsvarianten erneut tätig zu werden.
Weitere News zum Thema:
Cyberangriffe, IT-Sicherheit und die Verantwortung für lückenlosen Schutz
Neues großes Facebook-Datenleck
BSI warnt vor Hackerangriffen über Schwachstellen in Microsoft Exchange
Hintergrund: IT-Sicherheit rechtskonform organisieren
Um die IT-rechtskonform zu organisieren, sollte man sich an anerkannten Standards und den BSI-Grundschutzkatalogen orientieren. Die technischen Standards zur Einführung eines Informationssicherheitsmanagementsystems geben die Leitlinien vor, die den Umgang mit der betrieblichen IT regeln. Dazu zählen z. B. Themen wie
- ein internes Kontrollsystem (IKS),
- ein Risiko-Management-Systeme (RMS),
- ein Frühwarnsystem,
- spezielle Verwaltungs- und Analysesysteme,
- revisionssichere Dokumenten-Management-Systeme (DMS) oder Archivsysteme,
- Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen,
- Freigabe von Gastzugängen,
- Ausgestaltung der Firewall oder entsprechender Content-Filter,
- Benutzerrichtlinien,
- Verpflichtungserklärungen zum Datenschutz
- und Vorgaben zur Dokumentation.
Gesetzliche Pflicht zur Sicherstellung der IT-Compliance
Eine Pflicht der Geschäftsführung zur Einhaltung der Gesetze bzw. zur Sicherstellung der Compliance ergibt sich nicht nur aus dem aus dem IT-Sicherheitsgesetz, sondern auch aus dem Gesetz über Ordnungswidrigkeiten (§§ 9, 30, 130 OWiG), dem Aktiengesetz (§§ 91, 93 AktG) und dem GmbH-Gesetz (§ 43 GmbHG).