Knapp 800 Supermärkte in Schweden zu: Cyberangriff legt Läden lahm
Der Angriff auf einen US-Dienstleister hat Auswirkungen über die USA hinaus. Besonders in Schweden, wo Teile des Handels die Dienste nutzen.
Die meisten der knapp 800 Coop-Märkte, der zweitgrößten schwedischen Lebensmittelkette, blieben am Wochenende aufgrund eines Cyberangriffs geschlossen. Am Freitagabend gegen 18.30 Uhr waren erst Probleme bei einzelnen Kassen aufgetreten und nach einiger Zeit war das gesamte landesweite Kassensystem der Kette ausgefallen. Weil damit neben Kreditkarten- auch Barzahlungen nicht mehr möglich waren, waren nahezu alle Coop-Läden gezwungen zu schließen.
Hintergrund ist ein Angriff auf den US-amerikanischen IT-Dienstleister Kaseya. Der verkauft Unternehmen Dienste, mit denen sie unter anderem IT-Geräte fernwarten oder aus der Ferne steuern können. Laut der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs sind insgesamt über 1.000 Unternehmen von dem Angriff mit Ransomware betroffen. Dabei verschlüsseln Angreifer:innen die Computersysteme oder Daten der Betroffenen und verlangen von ihnen Lösegeld (englisch: Ransom). Allerdings werden nach einer Zahlung nicht in jedem Fall die Daten wieder zugänglich gemacht.
„Wir sind nur betroffen, weil wir Teil der Kaseya-Attacke sind“, sagt Coop-Pressesprecherin Therese Knapp. Betroffen waren in Schweden auch Teile einer Apotheken-, einer Gartencenter- und einer Tankstellenkette. Auch die schwedische Bahn SJ bekam Probleme: Deren Kassensystem in den Restaurantwagen der Züge war außer Funktion.
Abhängigkeit des Sektors
Schwedens Verteidigungsminister Peter Hultqvist sprach von einem „sehr gefährlichen Angriff“: „Schließlich geht es um den Sektor Lebensmittelversorgung. Und wir sind ja davon abhängig, dass diese Technik funktioniert.“ Jonas Milton von der Abteilung für Krisenvorsorge der schwedischen Zivilschutzbehörde MSB sagte: „Wir werden wieder einmal an die Verletzbarkeit einer Gesellschaft erinnert, die auf funktionierenden IT-Systemen beruht.“ Solange nur eine von mehreren Lebensmittelketten betroffen sei, könne man das zwar handhaben: „Sollten aber mehrere betroffen sein, wäre ja die gesamte Nahrungsmittelversorgung gefährdet.“
„Ich bin überzeugt, dass wir in Zukunft immer mehr solcher Angriffe erleben werden“, meinte David Jacoby, IT-Sicherheitsexperte bei Kaspersky Schweden im schwedischen Fernsehen: „Und die werden uns zunehmend direkt in unserem Alltag treffen.“ Man müsse sich fragen, „ob die Digitalisierung nicht zu schnell geht und die Sicherheit hinterherhinkt“.
Vor allem die mit dem Outsourcing von Diensten verbundenen Gefahren würden im aktuellen Fall sichtbar. Immer mehr Unternehmen glaubten, sich eigene Software-Entwicklungen und eigene IT-Abteilungen ganz einsparen zu können, ohne die Konsequenzen zu bedenken: „Attackiert wurde hier ja ein Lieferant von Software. Aber vor allem getroffen sind jetzt alle seine Kunden.“ Cyberkriminelle hätten sich auf diese Entwicklung eingestellt.
In einigen Regionen Schwedens waren Coop-Läden nur deshalb nicht betroffen, weil sie noch nicht an die Kaseya-Software angeschlossen waren, sondern stattdessen noch eigene autarke Kassensysteme haben. Oder solche Läden, wie der in Unnaryd, die zwar an diesem System hängen, in denen aber gerade ein neues davon unabhängiges Selbstbedienungssystem getestet wird.
Offline-Lösungen gefragt
„Wir arbeiten intensiv an einer Lösung“, versichert man bei Coop, doch ebenso wie die Presseabteilungen anderer betroffener Unternehmen wagte man am Sonntag keine Prognose darüber abzugeben, wann die Systeme wieder in Gang sein werden und die Geschäfte wieder öffnen können. In Unnaryd ist man pessimistisch: „Was wir bislang erfahren haben, so wird sich am Montag vermutlich noch nichts geändert haben.“ Und Jonas Milton von MSB fordert ein grundsätzliches Umdenken: „Geschäfte brauchen wieder Offline-Lösungen.“
Der Angriff auf Kaseya reiht sich ein in eine Reihe von massiven Cyberattacken in jüngster Vergangenheit. So legte erst im Mai ein Angriff auf den Pipeline-Betreiber Colonial die Treibstoffversorgung in Teilen der USA lahm. Auch hier hatten die Angreifer:innen Daten verschlüsselt und Lösegeldforderungen gestellt. Der Betreiber zahlte schließlich Berichten zufolge ein Lösegeld in Bitcoin von nach damaligen Kurs 4,4 Millionen Dollar. Das US-Justizministerium teilte später mit, dass ein Teil des Lösegelds sichergestellt worden sei.
US-Präsident Biden zog am Samstag eine Urheberschaft Russlands für den aktuellen Angriff in Erwägung. Zunächst sei angenommen worden, „dass es nicht die russische Regierung war, aber wir sind noch nicht sicher“, sagte Biden. Für den Fall, dass Russland damit zu tun habe, habe er Kreml-Chef Wladimir Putin bereits gesagt, „dass wir reagieren werden“.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Jahresrückblick Erderhitzung
Das Klima-Jahr in zehn Punkten
Anschlag von Magdeburg
Aus günstigem Anlass