5784244

Nach Hackerangriff auf IT-Firma Kaseya: Bis zu 1.500 Firmen betroffen

Die Folgen des Angriffs auf die IT-Firma Kaseya sind immer noch schwer abzuschätzen. Die Hacker sind bereit, über die Geldforderung zu verhandeln.

Homepage von Kaseya und Coop durch ein Vergrößerungsglas gesehen

Im Visier der Hacker: Kaseya und Coop Foto: rtr

WASHINGTON/BERLIN rtr | Nach einem der größten erpresserischen Hackerangriffe sind offenbar zwischen 800 und 1.500 Unternehmen weltweit von dem Vorfall betroffen. Dies bestätigte der Vorstandsvorsitzende der US-Informationstechnologiefirma Kaseya, Fred Voccola, in einem Interview mit der Nachrichtenagentur Reuters am Montag (Ortszeit).

Voccola erklärte, es sei schwer, die genauen Auswirkungen des Angriffs vom vergangenen Freitag abzuschätzen, da die Betroffenen hauptsächlich Kunden von Kaseya seien. „Wir glauben nicht, dass sie in unserem Netzwerk waren“, so der Firmenchef und fügte hinzu, dass die Details des Einbruchs öffentlich gemacht würden, wenn dies nicht mehr zu weiteren Sicherheitsproblemen führen könne. Sein Unternehmen sei im Moment dabei, die Schwachstelle zu beheben.

Kaseya bietet Softwareprogramme für Firmen an, die ihren Kunden administrative und organisatorische Arbeiten abnehmen. Die Hackergruppe „REvil“ steht im Verdacht, das Desktop-Management-Tool VSA von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Kunden des US-Tech-Management-Anbieters infizierte.

Dabei wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Bei den meisten Betroffenen handelt es sich um kleine Unternehmen. Die Störung war jedoch auch in Schweden, wo Hunderte von Supermärkten schließen mussten, weil ihre Kassen nicht funktionierten und auch in Neuseeland, wo elf Schulen und mehrere Kindergärten betroffen waren, stark zu spüren.

Hacker fordern 70 Millionen Dollar

Die Hackergruppe „REvil“ hat bisher 70 Millionen Dollar für die Wiederherstellung aller Daten der betroffenen Unternehmen gefordert. Gegenüber Reuters äußerten sie allerdings: „Wir sind immer bereit, zu verhandeln.“ Kaseya-Vorstandsvorsitzender Fred Voccola lehnte einen Kommentar zu möglichen Verhandlungen ab.

Am Montag teilte das Bundesamt für Sicherheit in der Informationstechnik mit, es habe sich ein zweiter betroffener deutscher IT-Dienstleister gemeldet. Man versuche derzeit noch zu klären, wie viele Kunden betroffen sein könnten. Es gebe weitere Meldungen aus dem Cyberabwehrzentrum und dem Bundeskriminalamt. „Die Lage ist weiter dynamisch“, sagte ein Sprecher. Kritische Infrastrukturen oder die Bundesverwaltung sind nach Angaben des BSI nach derzeitiger Kenntnis nicht betroffen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • jox

    Es wird noch sehr teuer kommen, dass der Fokus in der IT-Sicherheit bisher viel zu sehr auf Stopfen von Lücken und Angriffen und viel zu wenig auf inhärent besser geschützten und designten sowie nicht unnötig verknüpften Systemen liegt.

    Beispielsweise werden kritische Automatisierungssysteme der Industrie bis hin zu Atomanlagen oft einfach ans Netz gehangen, die nie dafür konzipiert waren. Die Urananreicherungsanlage des Iran, die von Stuxnet befallen wurde, hatte ja auch eine Siemens-Steuerung.

    Lustig wird es wahrscheinlich, sobald solche Erpresser durch konkrete Demonstrationen nachweisen, dass sie die Kontrolle über einen Prozess oder eine Anlage erlangt haben. Ich warte auf den Tag, wo bei WV in Wolfsburg alle Neuwagen im schicken schwarz-roten Polka-Dots Look vom Band rollen. Oder die Mercedes CLA Shooting Brake an Freitagen, dem 13. beim Druck aufs Bremspedal gelegentlich mit Beschleunigung reagiert.

    • Ulf J. Froitzheim

      @jox Die Beispiele sind ein bisschen weit hergeholt. Eine Betriebsunterbrechnung in der Produktion ist leichter hinzukriegen und genügt den Online-Mafiosi völlig.

    • Ingo Bernable

      @jox Grundsätzlich richtig, nur ist ausgerechnet Stuxnet das so ziemlich schlechteste Beispiel für die Verwundbarkeit unbedacht ans Netz angeschlossener Systeme, da wurde eine ganze Kaskade von Schwachstellen in Windows ausgenutzt, um USB-Sticks zu inifizieren mit denen dann der Sprung übers air gap in die Entwicklungsrechner und von diesen in die S7-Systeme gelang. Ein so gezielter und aufwändiger Angriff ist schon ungewöhnlich und eher für Geheimdienste interessang, für Kriminelle dürfte es lohnender sein sich große und leichte Ziele zu suchen und davon gibt es mehr als genug.

      • jox

        @Ingo Bernable Gut, wenn man "gewöhnliche" Angriffe nimmt, ist vermutlich Maersk/NotPetaya in besseres Beispiel.

        Wobei die Kategorien sich nicht mehr so ganz klar trennen lassen und Zuordnungen sowieso stets dubious sind, eine Ransomware könnte auch von einem Geheimdienst ausgerollt werden. Und ein Schadcode wie Stuxnet könnte durchaus von Kriminellen konzeptionell oder technisch recycelt werden, um z.B. eine Fabrik für Babynahrung in eine Salmonellenschleuder zu verwandeln.

        • Ulf J. Froitzheim

          @jox @Jox

          1. @Ingo hat Recht.

          2. Theoretisch könnte der nordkoreanische Geheimdienst Ransomware verbreiten, um für Kim Devisen oder Kryptogold zu beschaffen. Andere Dienste haben daran aber kein Interesse.

          3. Kriminelle kommen weder an den Code der Dienste heran noch brauchen sie ihn.

          4. Die Idee mit den Salmonellen passt in einen Groschenroman. Über offene Schnittstellen kann man zwar Viren und Würmer verbreiten, aber keine Bakterien. ;-)