BSI warnt vor Kriminellen Kleine Betriebe könnten Opfer weltweiter Hackerangriffe sein

Weltweit sind Unternehmen Opfer einer Hackerattacke geworden. Die Kriminellen nutzen eine Schadsoftware, um Lösegeld zu erpressen. Auch kleine und mittlere Unternehmen in Deutschland können betroffen sein. Wie Betriebe handeln sollten.

In Deutschland könnten mehrere kleine und mittlere Unternehmen Opfer eines Hackerangriffs geworden sein. - © issaronow - stock.adobe.com

Das Bundesamt für Sicherheit in der IT-Technik (BIS) hat die IT-Bedrohungslage Orange ausgesprochen. Grund dafür sind Hackerangriffe auf den amerikanischen IT-Dienstleister Kaseya und dessen Kunden, zu denen auch viele kleine und mittlere Unternehmen zählen. Wie ein Sprecher der BIS am 4. Juli gegenüber der Deutschen Presse-Agentur mitteilte, seien auch in Deutschland einige tausend Computer bei mehreren Unternehmen von den Hackerangriffen betroffen. Auch Firmen, die keine direkten Beziehungen mit Kasey besitzen, können zu den Betroffenen zählen, heißt es beim BIS.

Hackerangriffe aus Russland: Was sind die Folgen?

Experten vermuten, dass die Hackerangriffe von der in Russland verorteten Gruppe REvil stammen. Die Angreifer nutzten ein manipuliertes Update, das Daten verschlüsselt und Lösegeld verlangt, um die Systeme der Opfer mit Erpressungssoftware – bekannt auch unter dem englischen Namen Ransomware – zu attackieren. Weil der Angriff erst am Freitagabend (2. Juli) stattfand, sei laut BSI von einer möglicherweise hohen Dunkelziffer an Betroffenen auszugehen.

Die Konsequenzen des Hackerangriffs haben sich unter anderem in Schweden gezeigt: Hier wurde über mehrere Ecken die Supermarkt-Kette Coop getroffen. Von den gut 800 Läden waren am Wochenende zeitweise nur fünf geöffnet, weil die Kassensysteme nicht funktionierten. Am Sonntag gelang es dem Unternehmen, zumindest in einem Teil der Märkte auf die Zahlung per hauseigener "Scan & Pay"-App umzustellen.

So prüfen Unternehmen, ob sie von den Hackerangriffen betroffen sind

Vielen Kunden sei oftmals nicht bewusst, ob ihre IT-Dienstleister Kaseya-Produkte einsetzen, da diese die Systeme unter eigener Marke anbieten können, so das BSI. Es empfiehlt Unternehmen deshalb seine sogenannten "Virtual System Administrator (VSA) Software" zu überprüfen, da der Angriff auf diese Software erfolgte. "Kunden können überprüfen, ob Kaseya VSA-Systeme zum Einsatz kommen, indem sie prüfen, ob unten auf den Webseiten des VSA Systems folgender Schriftzug zu sehen ist: 'Powered by Kaseya-Copyright 2000-2008Kaseya. All rights reserved', heißt es dazu in der Warnung des BSI.

Unternehmen, deren IT-Systemhaus Kaseya Produkte einsetzen, empfiehlt das BSI sich umgehend mit ihrem Dienstleister in Verbindung zu setzen. Betroffene IT-Systemhäuser sollten sich zudem direkt an Kaseya wenden und alle selbst betriebenen Kaseya VSA-Systeme unverzüglich abgeschaltet werden, beziehungsweise bis auf weiteres abgeschaltet bleiben.

Weitere Infos dazu, wie vom Hackerangriff betroffene Betriebe vorgehen sollten, gibt das BSI in diesem Dokument.

Hackergruppe fordert mittlerweile 70 Millionen US-Dollar Lösegeld

Die Hackergruppe REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS. Das Unternehmen musste als Folge für mehrere Tage Werke unter anderem in den USA schließen. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen.

Bei der jüngsten Attacke versprechen die Angreifer in einem Blogeintrag nun, nach Zahlung der 70 Millionen US-Dollar (rund 59 Mio Euro) einen Generalschlüssel bereitzustellen, mit dem die betroffenen Systeme binnen einer Stunde wiederhergestellt werden könnten, wie unter anderem die IT-Sicherheitsfirma Sophos berichtete. "Wenn REvil jetzt gewinnt, werden sie nicht mehr aufzuhalten sein", warnte F-Secure-Experte Hyppönen bei Twitter.

Immer mehr Ransomware-Angriffe

Ransomware ist schon seit langem im Umlauf. Verbraucher sind meist in Gefahr, wenn sie auf Links in fingierten E-Mails klicken. Im Jahr 2017 gab es binnen weniger Wochen zwei große Angriffswellen mit den Ransomware-Programmen "WannaCry" und "NotPetya", damals waren unter anderem britische Krankenhäuser, Anzeigetafeln der Deutschen Bahn sowie Computer unter anderem bei der Reederei Maersk, dem Nivea-Konzern Beiersdorf und dem Autobauer Renault betroffen.

Damals schien sich die Schadsoftware allerdings eher unkoordiniert von Computer zu Computer auszubreiten – und nach Einschätzung einiger Experten ging es den Hackern mehr ums Stören als ums Geldverdienen. Die Hacker lebten hauptsächlich davon, dass hin und wieder ein verzweifelter Verbraucher sich auf die Lösegeld-Forderung einließ. Inzwischen steckt hinter den Attacken eine professionell organisierte Untergrund-Industrie, die zielgerichtet den maximalen Profit herausschlagen will.

US-Unternehmen zahlt 4,4 Millionen Dollar an Hacker

Entsprechend prominent sind die Angriffsziele in diesem Jahr. Wenige Wochen vor dem Fleischkonzern JBS traf es den Betreiber einer der wichtigsten Benzinpipelines in den USA. Der Stopp der Pumpen sorgte zum Teil für Panikkäufe an der US-Ostküste. Die Betreiberfirma Colonial zahlte den Hackern 4,4 Millionen Dollar – gut die Hälfte davon wurde allerdings wenig später vom FBI im Netz beschlagnahmt.

Ein dramatisches Detail im aktuellen Fall ist, dass die Schwachstelle bei Kaseya bereits von niederländischen Sicherheitsforschern entdeckt worden war – und sie zusammen mit dem Unternehmen daran arbeiteten, sie zu schließen. "Unglücklicherweise wurden wir im Schlussspurt von REvil geschlagen", schrieben die Experten in einem Blogeintrag.

"Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken", forderte BSI-Präsident Arne Schönbohm am 5. Juli. "Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen." Mit Inhalten der dpa

IT-Bedrohungslage: Die 4 Stufen des BSI

  • 1 / Grau: Die IT-Bedrohungslage ist ohne wesentliche Auffälligkeiten auf anhaltend hohem Niveau.
  • 2 / Gelb: IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs.
  • 3 / Orange: Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.
  • 4 / Rot: Die IT-Bedrohungslage ist extrem kritisch. Ausfall vieler Dienste, der Regelbetrieb kann nicht aufrecht erhalten werden.

Quelle: BSI