zum Hauptinhalt
Auf verschlungenen Pfaden: Informationen absaugen gelingt Hackern rund um den Globus. Zurückzuverfolgen sind die Spuren oft nicht.

© Andrew Caballero-Reynolds/AFP

Update

Hackerattacke in den USA: Wie Cyberangriffe funktionieren – und Supermarktkassen lahmlegen

Ein Hackerangriff auf das US-Unternehmen Kaseya hat weltweite Folgen, auch für deutsche Dienstleister. Die Hacker fordern offenbar 70 Millionen Dollar Lösegeld.

Cyberangriffe gegen wichtige Schnittstellen im Netz können weitreichende Folgen haben. Das betrifft zum Beispiel Hacks auf Sicherheitsfirmen, die auf den Computersystemen ihrer Kunden eigentlich dafür sorgen sollen, dass Daten geschützt bleiben.

Solche Unternehmen haben über die von ihnen angebotenen Produkte bisweilen Zugriffsrechte auf die Rechner ihrer Kunden – etwa, um Systemupdates aufzuspielen. Gelingt es Hackern, sich in die Systeme einer solchen Sicherheitsfirma einzuschleichen, kann das massive Konsequenzen für Hunderte oder gar Tausende Systeme haben.

Zu solch einem Fall ist es nun in den USA gekommen. Kaseya ist ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen. Angreifern ist es gelungen, sich über eine Schwachstelle Zugriff auf die von Kaseya zur Verfügung gestellte VSA-Software zu verschaffen. Mit Hilfe des Programms verwalten Unternehmen Software-Updates in Computer-Systemen.

Ein Eindringen in die VSA- Software von Kaseya kann den Angreifern also viele Türen auf einmal öffnen: Man kann die Kontrolle über Computer gewinnen, aber auch über alle Geräte, die mit den Computern verbunden sind. Und mit Hilfe einer Schadsoftware können solche Angriffe zur Folge haben, dass solche Geräte nicht mehr erreichbar sind oder ebenfalls infiziert werden.

Auswirkungen am Wochenende

In diesem Fall ist es den Angreifern gelungen, eine so genannte Ransomware über das Netzwerk von Kaseya auf die Systeme mancher Kunden aufzuspielen. Eine solches „Lösegeldprogramm“ sorgt dafür, dass Computer verschlüsselt werden. Sie sind erst dann wieder erreichbar, wenn ein bestimmter Betrag gezahlt wird, meist in der Digitalwährung Bitcoin.

Nach Einschätzung des Computer-Notfallteams der neuseeländischen Regierung steckte hinter der Cyberattacke auf Kaseya die seit 2019 aktive Hackergruppe namens REvil. Laut der US-Bundespolizei FBI war REvil auch verantwortlich für den Cyberangriff auf den Fleischproduzenten JBS im Frühjahr.

Am Montag wurde bereits bekannt, dass die mutmaßlich hinter dem Hackerangriff stehende Gruppe ein Lösegeld von 70 Millionen Dollar fordert. Dann sollten Daten wieder freigegeben werden, postete REvil am Montag auf ihrem Blog. Ein Experte der Cybersicherheitsfirma Recorded Future erklärte, der Eintrag scheine echt zu sein. Die Gruppe betreibe den Blog seit letztem Jahr.

Bei REvil handelt es sich sowohl um eine Gruppe, die selbst Hackerangriffe begeht, als auch um eine Art illegales Unternehmen, das die eigenen Einbruchs- und Erpressungswerkzeuge im Netz vermietet. Experten sprechen hier von „Cybercrime as a Service“ – Hackerangriffe als Dienstleistung. REvil kassiert doppelt: Einmal durch die Lösegelder bei selbst durchgeführten Erpressungen und durch Provisionen, die den „Dienstleistungsnehmern“ von REvil bei deren Lösegelderpressungen abgezogen werden.

Tausende Computer auch in Deutschland betroffen

Wie viele Kunden davon betroffen sind, darüber gibt es unterschiedliche Berichte. Kaseya hatte am Freitag versichert, der Angriff sei eingedämmt worden, so dass nur ein „sehr kleiner Prozentsatz“ ihrer Kunden betroffen sei: „Schätzungsweise weniger als 40 weltweit“. Die IT-Beratungsfirma Huntress Labs sprach im Onlineforum Reddit hingegen von mehr als tausend angegriffenen Unternehmen. Die Cyberattacke ereignete sich kurz vor dem Wochenende, an dem in den USA der Unabhängigkeitstag gefeiert wird.

Bekannt wurde, dass beispielsweise die schwedische Supermarktkette Coop betroffen war, die am Freitag und Sonnabend fast alle ihrer 800 Läden schließen musste. So ließen sich beispielsweise die Kassen durch den Ransomware-Angriff nicht mehr bedienen. Das volle Ausmaß der Schäden blieb unklar.

Die schwedische Supermarktkette Coop musste wegen des Cyberangriffs 800 Filialen schließen.
Die schwedische Supermarktkette Coop musste wegen des Cyberangriffs 800 Filialen schließen.

© Imago

Auch deutsche Unternehmen sind betroffen. Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete sich ein betroffener IT-Dienstleister aus Deutschland. Dessen Kunden seien in Mitleidenschaft gezogen worden, sagte ein BSI-Sprecher am Sonntag. Es handele sich um einige tausend Computer bei mehreren Unternehmen. Nicht ausgeschlossen sei, dass am Montag weitere Unternehmen mit Beginn der Arbeitswoche Probleme aufgrund der Attacke feststellten.

Ransomware wird vor allem von Cyberkriminellen eingesetzt, die aus finanziellen Motiven angreifen. Es ist jedoch auch möglich, über Ransomware-Programme Daten aus Systemen herauszukopieren. Auf diese Weise können Opfer mehrfach erpresst werden: Nachdem sie die Kontrolle über ihr System zurückgewonnen haben, wird ihnen beispielsweise gedroht, dass bestimmte Inhalte veröffentlicht werden, wenn sie nicht zahlen.

[Wenn Sie alle aktuellen Entwicklungen zur Coronavirus-Pandemie live auf Ihr Handy haben wollen, empfehlen wir Ihnen unsere App, die Sie hier für Apple- und Android-Geräte herunterladen können.]

US-Präsident Joe Biden kündigte eine Untersuchung durch die US-amerikanische Cybersicherheitsbehörde CISA an. „Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt – aber wir sind uns noch nicht sicher“, sagte Biden am Sonnabend. Sicherheitsexperten verorten REvil aufgrund des Softwarecodes in Russland.

Biden hatte frühere Cyberattacken bei seinem Gipfeltreffen mit dem russischen Staatschef Wladimir Putin Mitte Juni in Genf thematisiert. Grundsätzlich ist es unwahrscheinlich, dass der russische Staat direkt in Rasomware-Angriffe verwickelt ist. Allerdings haben Staaten nach Ansicht vieler Völkerrechtler die Pflicht, der „gebotenen Sorgfalt“ („Due Diligence“) nach dafür zu sorgen, dass von ihrem Gebiet keine Cyberangriffe ausgehen. Russland hatte sich noch 2018 mit einer Resolution in der UN-Generalversammlung für das „Due-Diligence-Prinzip“ stark gemacht.

Viele Fälle in letzter Zeit

Attacken mit Erpressungs-Software sorgten wiederholt für Schlagzeilen. Kurz vor dem JBS-Fall stoppte ein Angriff dieser Art den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung im Land ein. JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Millionen Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial- Lösegeldes beschlagnahmen.

Es ist auch die zweite binnen weniger Monate bekanntgewordene Attacke, bei der Hacker über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen, unter anderem beim Finanz- und Energieministerium.

Attacken mit Erpressungs-Trojanern gab es mehrfach. 2017 legte im Mai der Erpressungs-Trojaner „WannaCry“ neben den Computern vieler Privatleute unter anderem Computer in britischen Krankenhäusern sowie Fahrplan-Anzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeld-Software „NotPetya“ unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.

BDI fordert nationale Schutzstrategie

Diese Attacken breiteten sich unter anderem deshalb so schnell aus, weil Computer mit älteren Windows-Systemen und nicht geschlossenen Sicherheitslücken für sie zu einem leichten Opfer wurden. Die Angriffe galten deshalb als ein Weckruf für mehr IT-Sicherheit. Dennoch gab es nun erneut erfolgreiche Attacken mit Lösegeld-Software.

Der Industrieverband BDI will Cyberattacken mit einer „nationalen Wirtschaftsschutzstrategie“ von Politik und Wirtschaft besser abwehren. „Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute“, sagte BDI-Sicherheitsexperte Matthias Wachter der „Welt am Sonntag“. Die Zahl der Angriffe sei in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien. Beim Bundesamt für Sicherheit in der Informationstechnik hieß es: „Die Bedrohungslage ist nach wie vor sehr angespannt und wurde durch die Pandemie noch einmal verschärft.“

Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer größer werde. Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: „Ich denke nicht, dass wir das Schlimmste schon erlebt haben.“ (mit AFP/dpa)

Zur Startseite