Der Katalysator als Zielscheibe
Systemhäuser als Sprungbrett für Cyberangriffe
Fortsetzung des Artikels von Teil 1
Welle russischer Ransomware-Attacken
Im Juli 2021 fielen dann zahlreiche Managed Services Provider (MSPs) und in der Folge deren Kunden, darunter auch deutsche Unternehmen, einem Ransomware-Angriff der REvil-Gruppe zum Opfer, die – Zufälle gibt’s! – ebenfalls aus Russland stammt. REvil nutzte Sicherheitslücken in der Software VSA des ebenfalls US-amerikanischen Anbieters Kaseya, um Schadsoftware zu verteilen. VSA dient dem Fernzugriff auf IT-Systeme, weshalb viele MSPs zur Klientel zählen. Der Fall schlug hohe Wellen: US-Präsident Biden beschwerte sich sogar telefonisch bei Putin und drohte, die USA würden gegen die Ransomware-Gruppe vorgehen, falls Russland nichts unternähme. Wenig später verschwanden die Server der REvil-Gruppe vom Netz. Zufälle gibt’s!
Auch in Deutschland zielten Angreifer bereits auf die digitale Lieferkette: So wurde Ende 2021 Mediatixx aus Eltville am Rhein, ein Anbieter von Verwaltungssoftware für Arztpraxen, Opfer einer digitalen Erpressung. Und im April war dann die Website der Donau-Stadtwerke Dillingen-Lauingen offline, weil Ransomware die Systeme des Dillinger Systemhauses Reizner lahmgelegt hatte. Dieser Angriff ging auf das Konto der Gruppierung Lockbit 2.0, deren Heimat Fachleute in – man ahnt es – Russland vermuten. Lockbit 2.0 ist zugleich ein Beispiel dafür, warum Ransomware-Angriffe so stark eskalieren: Die Angreiferszene hat sich arbeitsteilig ausdifferenziert, sodass heute einem angriffslustigen Kriminellen selbst ohne tiefgehende Hacker-Kenntnisse Ransomware-as-a-Service (RaaS) zur Verfügung steht: Die eine Gruppe sammelt per Phishing Zugangsdaten ein, eine andere erzeugt den Schadcode und unterhält die Infrastruktur für deren Vermarktung. Den eigentlichen Angriff überlassen RaaS-Anbieter dann ihren „Affiliates“ (Partnerunternehmen) und kassieren einen Anteil am Gewinn.
Digitalstadt als Opfer
Der aktuelle Supply-Chain-Angriff traf nun Darmstadt – und damit eine Stadt, die sich gerne als „Wissenschaftsstadt“ und neuerdings auch als „digitale Stadt“ bezeichnet: Mit Gründung der Digitalstadt Darmstadt GmbH verfolgt man dort das Ziel, die Digitalisierung in allen möglichen Bereichen von Mobilität und Wirtschaft bis Kultur und Umwelt voranzutreiben – übrigens auch bei Sicherheit und Katastrophenschutz. Mit Count + Care fing sich keine Klitsche Ransomware ein, sondern ein IT-Dienstleister, der das ISO/IEC-27001-Security-Siegel trägt und als „SAP Partner Center of Expertise“ zertifiziert ist. „So eine Attacke kann jederzeit bei jedem Unternehmen passieren, denn gegen gezieltes Phishing ist niemand zu 100 Prozent gefeit“, sagt Manuel Atug, Head of Business Development bei HiSolutions. Der Experte für die Sicherheit kritischer Infrastrukturen (Kritis) rät: „Kritis-Betreiberinnen sollten ermitteln: Was ist der schlimmste Zustand, den eine Angreiferin über den Zugang des Dienstleisters herbeiführen könnte? Gegebenenfalls müssten sie sich dann mit der Dienstleisterin abstimmen und den Zugang einschränken, um sicherzustellen, dass höchstens eine kurze Störung, aber kein Ausfall der kritischen Infrastruktur eintreten kann.“
Angesichts von Entwicklungen wie RaaS warnt Atug: „Die Ransomware-Gefahr wächst seit einigen Jahren, trotzdem stehen wir erst noch am Anfang. Denn hier geht es um organisierte Kriminalität und Hunderte Millionen Euro Gewinn pro Jahr, noch dazu steuerfrei – das sorgt für entsprechend hohe Motivation, viel Geld zu machen.“
- Systemhäuser als Sprungbrett für Cyberangriffe
- Welle russischer Ransomware-Attacken
- Gefahr erkannt
- Die Frage der Verantwortung
Lesen Sie mehr zum Thema
