Es war eine äußerst unerfreuliche Entdeckung, die Garmin-Kunden vergangenen Donnerstag machen mussten: Von einer Minute auf die andere funktionierten zentrale Funktionen bei ihren Fitness-Uhren oder GPS-Trackern nicht mehr. Aufgrund eines Ausfalls von Garmin Connect ließen sich keinerlei Daten mehr synchronisieren. Fast fünf Tage später ist der Service nun zumindest teilweise wieder hergestellt, und Garmin äußert sich erstmals öffentlich zu den Gründen – zumindest ein bisschen.

Ransomware

Garmin ist ein Opfer von Erpressersoftware geworden, dies bestätigte das Unternehmen in einer Pressemitteilung am Montag. Gleichzeitig betont man, dass es keinerlei Hinweise darauf gebe, dass Nutzerdaten oder gar Bezahlinformationen gestohlen wurden. Derzeit sei man dabei, die Online-Services wieder vollständig herzustellen, dieser Prozess werde aber noch einige Tage dauern.

Derzeit verweist die "System Status"-Seite von Garmin Connect noch auf einige Einschränkungen. So funktionieren gewisse Funktionalitäten gar nicht, bei anderen kann es zu größeren Verzögerungen kommen. Nutzer berichten generell davon, dass Garmin Connect aktuell noch äußerst langsam agiert, was allerdings auch darauf zurückzuführen sein könnte, dass nach mehreren Tagen Ausfall nun alle Devices auf einmal versuchen, wieder frisch zu synchronisieren.

WastedLocker

Was in der Mitteilung hingegen vollständig fehlt, sind konkrete Details dazu, was eigentlich genau passiert ist. Dies hatten in den Tagen zuvor aber ohnehin schon diverse Medien mit Berufung auf Garmin-Mitarbeiter in Erfahrung gebracht. Demnach ist Garmin einer Erpressersoftware namens WastedLocker zum Opfer gefallen, die große Teile der internen Systeme der Firma verschlüsselt hat, um dann Lösegeld zu fordern. Hier könnte dann auch die Erklärung dafür zu finden sein, warum Garmin keine Detailinformationen preisgibt – man dürfte schlicht das Lösegeld bezahlt haben. Einer der Informanten hatte dabei gegenüber Bleeping Computer einen Betrag in der Höhe von zehn Millionen US-Dollar ins Spiel gebracht.

Alternativ wäre es zwar möglich, die betroffenen Systeme auch aus Backups wiederherzustellen, dies ist aber bei einer guten Verbreitung der Erpressersoftware im internen Netzwerk oft ein äußerst mühsamer Prozess – und setzt voraus, dass die Backup-Strategie auch lückenlos funktioniert hat und die Backups selbst nicht verschlüsselt wurden. Entsprechend entschließen sich Firmen in solchen Fällen oft einmal dazu, einfach zu zahlen, um schnell wieder an ihre Daten zu kommen.

Hintergrund

Attacken mit solcher Ransomware hatten in den vergangenen Jahren immer wieder für Schlagzeilen gesorgt, vor allem weil sie auch aufzeigen, wie schlecht gesichert viele IT-Systeme gerade in kritischen Bereichen wie Spitälern oder Behörden sind. Mittlerweile hat sich die Situation in Hinblick auf solche Erpressersoftware aber grundlegend geändert – sind die Angreifer doch zunehmend zu sehr gezielten Attacken übergegangen: Über Sicherheitslücken verschaffen sie sich Zugriff auf die IT-Systeme einzelner Unternehmen und breiten sich dort oft in monatelanger Arbeit nach und nach aus. Erst wenn man breit im Netz verankert ist, schlägt dann die Erpressersoftware zu, um möglichst großen Schaden anzurichten – und so zu garantieren, dass das Opfer auch zahlt. In der Branche ist es ein offenes Geheimnis, dass viele der betroffenen Unternehmen dies dann auch still und heimlich tun. Eine Option, die Garmin in diesem Fall aber aufgrund der öffentlich sichtbaren Auswirkungen nicht zur Verfügung stand.

Evil Corp

Durch die verwendete Epressersoftware scheint auch geklärt zu sein, wer dahintersteckt: eine Bande von russischen Kriminellen, die sich "Evil Corp" nennen. Erst vor wenigen Monaten hatte die britische National Crime Agency eine öffentliche Fahndung gegen mehrere Mitglieder dieser Gruppe ausgeschrieben und sie in diesem Zusammenhang als die "weltweit schädlichste Gruppe an Cyberkriminellen" bezeichnet. Groß geworden sind sie vor allem mit Schadsoftware, deren Ziel es ist, die Bankkonten ihrer Opfer zu plündern. In Summe sollen die Kriminellen seit dem Jahr 2009 allein von britischen Bankkonten mehr als hundert Millionen Pfund erbeutet haben. Die russische Regierung lässt die Hacker frei agieren, solange sie nicht in Russland selbst aktiv werden. Entsprechend ist es ihnen auch möglich, dort ein Luxusleben zu führen, wie Fotos von teuren Sportwagen und Geldbündeln verdeutlichen. (apo, 28.7.2020)