Knapp 800 Supermärkte in Schweden zu: Cyberangriff legt Läden lahm

Stockholm taz | „Wir haben ja noch Glück im Unglück“, erzählt die Verkäuferin im Coop-Laden im westschwedischen Unnaryd am Sonntagvormittag: „Wenigstens funktioniert unser ‚Scan and Pay‘-Bezahlssytem. Sonst hätten wir gestern und heute gar nicht erst aufgemacht.“

Die meisten der knapp 800 Coop-Märkte, der zweitgrößten schwedischen Lebensmittelkette, blieben am Wochenende aufgrund eines Cyberangriffs geschlossen. Am Freitagabend gegen 18.30 Uhr waren erst Probleme bei einzelnen Kassen aufgetreten und nach einiger Zeit war das gesamte landesweite Kassensystem der Kette ausgefallen. Weil damit neben Kreditkarten- auch Barzahlungen nicht mehr möglich waren, waren nahezu alle Coop-Läden gezwungen zu schließen.

Hintergrund ist ein Angriff auf den US-amerikanischen IT-Dienstleister Kaseya. Der verkauft Unternehmen Dienste, mit denen sie unter anderem IT-Geräte fernwarten oder aus der Ferne steuern können. Laut der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs sind insgesamt über 1.000 Unternehmen von dem Angriff mit Ransomware betroffen. Dabei verschlüsseln An­grei­fe­r:in­nen die Computersysteme oder Daten der Betroffenen und verlangen von ihnen Lösegeld (englisch: Ransom). Allerdings werden nach einer Zahlung nicht in jedem Fall die Daten wieder zugänglich gemacht.

„Wir sind nur betroffen, weil wir Teil der Kaseya-Attacke sind“, sagt Coop-Pressesprecherin Therese Knapp. Betroffen waren in Schweden auch Teile einer Apotheken-, einer Gartencenter- und einer Tankstellenkette. Auch die schwedische Bahn SJ bekam Probleme: Deren Kassensystem in den Restaurantwagen der Züge war außer Funktion.

Abhängigkeit des Sektors

Schwedens Verteidigungsminister Peter Hultqvist sprach von einem „sehr gefährlichen Angriff“: „Schließlich geht es um den Sektor Lebensmittelversorgung. Und wir sind ja davon abhängig, dass diese Technik funktioniert.“ Jonas Milton von der Abteilung für Krisenvorsorge der schwedischen Zivilschutzbehörde MSB sagte: „Wir werden wieder einmal an die Verletzbarkeit einer Gesellschaft erinnert, die auf funktionierenden IT-Systemen beruht.“ Solange nur eine von mehreren Lebensmittelketten betroffen sei, könne man das zwar handhaben: „Sollten aber mehrere betroffen sein, wäre ja die gesamte Nahrungsmittelversorgung gefährdet.“

„Ich bin überzeugt, dass wir in Zukunft immer mehr solcher Angriffe erleben werden“, meinte David Jacoby, IT-Sicherheitsexperte bei Kaspersky Schweden im schwedischen Fernsehen: „Und die werden uns zunehmend direkt in unserem Alltag treffen.“ Man müsse sich fragen, „ob die Digitalisierung nicht zu schnell geht und die Sicherheit hinterherhinkt“.

Vor allem die mit dem Outsourcing von Diensten verbundenen Gefahren würden im aktuellen Fall sichtbar. Immer mehr Unternehmen glaubten, sich eigene Software-Entwicklungen und eigene IT-Abteilungen ganz einsparen zu können, ohne die Konsequenzen zu bedenken: „Attackiert wurde hier ja ein Lieferant von Software. Aber vor allem getroffen sind jetzt alle seine Kunden.“ Cyberkriminelle hätten sich auf diese Entwicklung eingestellt.

In einigen Regionen Schwedens waren Coop-Läden nur deshalb nicht betroffen, weil sie noch nicht an die Kaseya-Software angeschlossen waren, sondern stattdessen noch eigene autarke Kassensysteme haben. Oder solche Läden, wie der in Unnaryd, die zwar an diesem System hängen, in denen aber gerade ein neues davon unabhängiges Selbstbedienungssystem getestet wird.

Offline-Lösungen gefragt

„Wir arbeiten intensiv an einer Lösung“, versichert man bei Coop, doch ebenso wie die Presseabteilungen anderer betroffener Unternehmen wagte man am Sonntag keine Prognose darüber abzugeben, wann die Systeme wieder in Gang sein werden und die Geschäfte wieder öffnen können. In Unnaryd ist man pessimistisch: „Was wir bislang erfahren haben, so wird sich am Montag vermutlich noch nichts geändert haben.“ Und Jonas Milton von MSB fordert ein grundsätzliches Umdenken: „Geschäfte brauchen wieder Offline-Lösungen.“

Der Angriff auf Kaseya reiht sich ein in eine Reihe von massiven Cyberattacken in jüngster Vergangenheit. So legte erst im Mai ein Angriff auf den Pipeline-Betreiber Colonial die Treibstoffversorgung in Teilen der USA lahm. Auch hier hatten die An­grei­fe­r:in­nen Daten verschlüsselt und Lösegeldforderungen gestellt. Der Betreiber zahlte schließlich Berichten zufolge ein Lösegeld in Bitcoin von nach damaligen Kurs 4,4 Millionen Dollar. Das US-Justizministerium teilte später mit, dass ein Teil des Lösegelds sichergestellt worden sei.

US-Präsident Biden zog am Samstag eine Urheberschaft Russlands für den aktuellen Angriff in Erwägung. Zunächst sei angenommen worden, „dass es nicht die russische Regierung war, aber wir sind noch nicht sicher“, sagte Biden. Für den Fall, dass Russland damit zu tun habe, habe er Kreml-Chef Wladimir Putin bereits gesagt, „dass wir reagieren werden“.