Der Angriff auf die amerikanische Firma Kaseya erfolgte unmittelbar vor dem US-Unabhängigkeitstag. Experten zufolge könnten mehr als 1000 Unternehmen betroffen sein, in Schweden und Deutschland ist das bereits evident.
Im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs geworden. Jetzt ist die US-IT-Firma Kaseya dran – und diesmal mit Auswirkungen bis nach Europa.
In den USA sorgt die Ransomware-Cyberattacke auf Kaseya kurz vor dem amerikanischen Unabhängigkeitstag am gestrigen Sonntag jedenfalls für Rätselraten. US-Präsident Joe Biden sagte am Samstagnachmittag (Ortszeit), dass man ursprünglich nicht die russische Regierung hinter der Attacke vermutet habe. Mittlerweile sei man sich diesbezüglich aber „nicht sicher“. Experten zufolge könnten mehr als tausend Unternehmen vom Angriff betroffen sein. In Schweden mussten Hunderte Supermarktfilialen schließen.
Biden beauftragte die US-Geheimdienste, den Fall zu untersuchen. „Die ursprüngliche Deutung war, dass es sich nicht um die russische Regierung gehandelt hat, aber wir sind uns noch nicht sicher“, sagte der US-Präsident am Vortag des größten US-Feiertags. Sollte sich herausstellen, dass Russland schuld sei, werde es eine Antwort Washingtons geben.
US-Unternehmen waren in der jüngsten Vergangenheit mehrfach Ziel von Cyberattacken geworden, für die jeweils russische Hacker verantwortlich gemacht worden waren. Biden und sein russischer Amtskollege Wladimir Putin hatten Mitte Juli bei ihrem Gipfel in Genf vereinbart, sich des Problems mit einer gemeinsamen Arbeitsgruppe anzunehmen.
Lösegeldforderungen
Nach Angaben der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs wurde die VSA-Software von Kaseya manipuliert, „um mehr als tausend Unternehmen zu verschlüsseln“. Das IT-Unternehmen Kaseya hatte am Wochenende die Cyberattacke bestätigt und versichert, der Angriff sei eingedämmt worden, sodass nur ein „sehr kleiner Prozentsatz“ der Kunden betroffen sei, die das sogenannte VSA-Netzwerk von Kaseya nutzten.>>> SalzburgMilch: „Wir kriegen die Produkte nicht raus"[premium]
Bei Angriffen mit Ransomware sperren oder verschlüsseln Hacker die Computersysteme ihrer Opfer, um von den Nutzern Geld für die Freigabe ihrer Daten zu erpressen. Kaseya ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern.
„Wir sind dabei, mit einem hohen Maß an Vorsicht die eigentliche Ursache für den Vorfall zu untersuchen“, erklärte Kaseya zunächst in einem Forum des Onlinedienstes Reddit. Die Firma forderte ihre Kunden auf, sofort ihren sogenannten VSA-Server abzuschalten, „bis Sie von uns weitere Informationen erhalten“.
Später erklärte Kaseya, seine Kunden seien über die Firmen-Website, per E-Mail, per Anzeige auf dem Rechner und per Telefon über den Vorfall unterrichtet und zum Abschalten ihrer VSA-Server aufgefordert worden. „Wir denken, dass wir die Quelle der Anfälligkeit gefunden haben, und bereiten eine Korrektur vor“, erklärte das in Miami ansässige Unternehmen weiter, das nach eigenen Angaben mehr als 40.000 Kunden hat.
Erste Meldungen in Deutschland
Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge gibt es bereits erste Auswirkungen in Deutschland: "Ein IT-Dienstleister hat sich gemeldet, weil er betroffen ist", sagte ein BSI-Sprecher. Dieser Dienstleister betreue mehrere tausend Kundensysteme, die wiederum ebenfalls betroffen sein könnten.
Im BSI rechne man am Montag mit weiteren Meldungen, wenn nach dem Wochenende die Firmen wieder besetzt seien. Das BSI rät Betroffenen, technische und organisatorische Maßnahmen zu treffen und sich beim BSI zu melden.
Hilfe bei Cyber-Attacken
Einen so gravierenden Fall wie in Schweden habe man bisher nicht registriert.
Information für Unternehmen/Unternehmer
0800 888 133 lautet die Cyber-Security-Hotline der Wirtschaftskammer Wien. Sie ist 24 Stunden sieben Tage die Woche besetzt und bietet Unternehmen Hilfe bei Cyber-Attacken. Geschulte Mitarbeiter unterstützen bei der Lösung des Problems. Umgehend werden auf Wunsch und falls notwendig zertifizierte und akkreditierte IT-Experten vermittelt, die rasch vor Ort sein können.
Probleme in Schweden
Eine der größten schwedischen Supermarktketten musste eigenen Angaben zufolge am Samstag nämlich rund 800 Filialen vorübergehend schließen, weil ihre Kassen nicht mehr funktionierten. Ein Subunternehmer sei nämlich Ziel des digitalen Angriffs geworden, teilte Coop Schweden mit. Details nannte das Unternehmen nicht. Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit einem größeren Cyberangriff auf das amerikanische IT-Unternehmen Kaseya am Freitag.
Neben anderen Unternehmen war auch das staatliche Bahnunternehmen SJ betroffen. Fahrgäste konnten dadurch im Bistro nicht mit Karte zahlen. Am Freitagabend habe es einen Angriff auf einen Dienstleister von Coop gegeben, der sowohl die normalen Kassensysteme als auch Selbstbedienungskassen der Supermärkte betraf, berichtete der Fernsehsender SVT. Man habe die ganze Nacht an den Problemen gearbeitet, sie jedoch noch nicht lösen können, sagte eine Sprecherin dem Sender. In einzelnen Regionen konnten einige Filialen im Land wieder aufmachen, wobei manche andere Bezahlsysteme nutzten.
Steckt REvil dahinter?
Die US-Behörde für Cybersicherheit (CISA) teilte mit, dass sie den Vorfall untersuche. Sie rief Unternehmen auf, die Anweisungen von Kaseya zu befolgen und ihren VSA-Server sofort abzuschalten.
Nach Einschätzung des Computer-Notfallteams der neuseeländischen Regierung steckte hinter der Cyberattacke eine Hackergruppe namens REvil.
Erst im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs mit Ransomware geworden. Vergangenes Jahr hatten sich Hacker über Software des US-IT-Unternehmens SolarWinds Zugang zu den Systemen von Ministerien, Behörden und Unternehmen verschafft. Die US-Bundespolizei FBI machte Hacker in Russland für diese Cyberattacken verantwortlich. Die Attacke auf JBS wurde demnach von REvil verübt.
("Die Presse", Print-Ausgabe, 05.07.2021)
