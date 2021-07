Der vor wenigen Tagen bekannt gewordene Hacker-Attacke auf ein amerikanischen IT-Dienstleister hat weltweite Auswirkungen. Zur Einschleusung der Schadsoftware bedienten sich die Hacker einer besonders heimtückischen Angriffsvariante gegen die es kaum Abwehrmaßnahme gibt.

Erneut alarmiert ein spektakulärer Hacker-Angriff. Wieder hat wohl die primär in Russland ansässige Cybercrime-Bande REvil die Attacke gestartet und verlangt nun von den betroffenen Unternehmen, deren IT-Systeme durch eine eingeschleuste Verschlüsselungssoftware weitgehend lahmgelegt wurden Lösegeld.

Rekord-Lösegeld von 70 Millionen US-Dollar für Entschlüsselungssoftware

Für diese Summe wollen die Hacker eine universelle Entschlüsselungssoftware bereitstellen, mit der die Daten auf den befallenen Rechnern wieder entschlüsselt werden. Erst vor kurzem hatte dieselbe Hacker-Bande mit einer anderen Ransomware-Attacke den weltgrößten Fleischkonzern JBS in den USA über mehrere Tage lahmgelegt und dabei ein Lösegeld in zweistelliger Millionenhöhe kassiert.

Angriff erfolgte über IT-Dienstleister Kaseya

Die aktuelle Attacke erfolgte auf indirektem Wege. Die Angreifer machten sich eine Schwachstelle bei dem IT-Dienstleister Kaseya zunutze und infizierten hier die von dem Unternehmen bereitgestellte Software für deren Kunden. Über Downloads bzw. Updates aus dieser vermeintlich sicheren Quelle gelangte die Schadsoftware dann auf die Rechner der beeinträchtigten Firmen.

Kaseya bietet vor allem die Fernwartungssoftware VSA an, eine Server-Software mit der Unternehmen Software-Updates in ihren IT-Systemen verwalten können. Neben Endkunden nutzen vor allem auch andere IT-Dienstleister bzw. Managed Service Provider diese Lösung.

Auch Firmen die keine direkten Kaseya-Kunden sind, können erfasst sein

Über andere Dienstleister können also auch Firmen betroffen sein, die keinen direkten Kontakt mit Kaseya haben. Aus diesem Grunde ist das genaue Ausmaß des neuen Hacker-Angriffs auch noch nicht bekannt.

Ausmaß der Attacke noch nicht vollständig bekannt

Bislang am härtesten betroffen war etwa die schwedische Supermarktkette Coop, die am Wochenende hunderte Filialen schließen musste, weil der Zahlungsdienstleister Visma Esscom Opfer des REvil-Angriffs geworden war und die Kassensysteme in den Supermärkten daher nicht funktionierten. Da allein Visma Esscom schon rund 1 Million Kunden haben soll, lässt sich erahnen, dass es noch eine deutlich höhere Zahl von potenziellen Opfern geben könnte.

Nach jüngsten Schätzungen

liegt die Zahl der Opfer weltweit im vierstelligen Bereich,

Bereich, es gingen Schadensmeldungen aus 17 Ländern ein.

Schäden in Deutschland

Auch in Deutschland gibt bereits Meldungen über Schäden. So haben sich bislang mindestens zwei IT-Dienstleister gemeldet, die als Nutzer von VSA von dem Vorfall betroffen sind. Damit sind auch deren Kunden betroffen und auch weitere Unternehmen haben sich mittlerweile beim Bundesamt für Sicherheit in der Informationstechnik gemeldet. Insgesamt sollen mehrere tausend IT-Geräte verschlüsselt worden sein.

Wie hat der betroffene IT-Dienstleister reagiert

Kaseya hat schnell nach der Entdeckung des Angriffs seine Cloud-Dienste gestoppt und Warnmeldungen an alle Kunden verschickt, worin diese aufgefordert wurden, ihre VSA-Server unverzüglich offline zu nehmen und erst nach der Bereitstellung eines Sicherheitspatches wieder in Betrieb zu nehmen.

BSI mahnt zu größerer Vorsicht bei Software-Lieferketten

Das BSI fordert in einer Mitteilung auch andere Betroffene auf, sich zu melden. Das nationale Cyber-Abwehrzentrum ist bereits mit dem Vorfall befasst. Bundesbehörden oder Betreiber kritischer Infrastrukturen sind nach aktuellem Kenntnisstand (05.07.2021) des BSI nicht betroffen. Nach Ansicht von BSI-Präsident Schönbohm zeige der Vorfall, wie intensiv die globale Vernetzung voranschreite und welche Abhängigkeiten daraus entstünden.

„Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt deutlich: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken.“

Nicht der erste Angriff dieses Typs

Einen ähnlich strukturierten Angriff über eine Software-Lieferkette gab es bereits vor gut einem halben Jahr. Damals war ein IT-Dienstleister infiltriert worden, der die Netzwerkmanagement-Software Solarwind Orion anbietet. Allen Kunden, die diese Lösung einsetzten, konnte durch manipulierte Software eine Ransomware untergeschoben werden, ohne dass diese etwas dagegen hätten unternehmen können, denn schließlich handelte es sich ja um eine scheinbar sichere Software aus einer vertrauenswürdigen Quelle.

Lieferketten- bzw. Supply-Chain-Angriffe haben enormes Bedrohungspotenzial

Genau darin liegt das enorme Bedrohungspotenzial dieser Lieferketten bzw. Supply-Chain-Angriffe. Denn hiermit kann die Schadsoftware auf die Rechner der Opfer gelangen, ohne dass diese irgendeinen Fehler machen oder in ihren IT-Systemen Schwachstellen vorhanden sein müssen. Ein zuverlässiger Schutz vor derartigen Angriffen ist daher auch nicht möglich.

Cyber-Attacken sorgen zunehmend für politische Spannungen

Abgesehen von den enormen wirtschaftlichen Schäden insbesondere der vielen erfolgreichen Ransomware-Attacken in jüngster Zeit, sorgt die zunehmende Gefährlichkeit der Cyber-Attacken auch auf politischer Ebene für Sorgen. So deuten viele Indizien darauf hin, dass einige der Angriffe von Akteuren durchgeführt werden, die zumindest mit starker staatlicher Unterstützung arbeiten oder es sich sogar um direkte staatliche Einrichtungen handelt. Als Argument für diese These wird dabei oftmals darauf verwiesen, dass die Planung und Durchführung solcher Hacker-Attacken erhebliche Ressourcen voraussetze, die nichtstaatliche Organisationen nicht aufbringen könnten.

Auch beim Treffen zwischen US-Präsident Biden und seinem russischen Amtskollegen Putin war es um das Thema Hackerangriffe gegangen, da sich vor allem die USA in letzter Zeit einer wachsenden Zahl von Attacken ausgesetzt sah.

Im Falle des Kaseya-Hacks scheint der Schuldige allerdings die Hackergruppe REvil zu sein, die zwar in Russland beheimatet ist, allerdings eher dem Bereich der organisierten Kriminalität zuzuordnen ist und nicht direkt von der russischen Regierung gesteuert wird.

Eine Pflicht der Geschäftsführung zur Einhaltung der Gesetze bzw. zur Sicherstellung der Compliance ergibt sich nicht nur aus dem aus dem IT-Sicherheitsgesetz, sondern auch aus dem Gesetz über Ordnungswidrigkeiten (§§ 9, 30, 130 OWiG), dem Aktiengesetz (§§ 91, 93 AktG) und dem GmbH-Gesetz (§ 43 GmbHG).