Eine Ransomware-Cyberattacke auf die US-IT-Firma Kaseya sorgt kurz vor dem amerikanischen Unabhängigkeitstag für Aufregung. US-Präsident Joe Biden sagte am Samstagnachmittag (Ortszeit), dass man ursprünglich nicht die russische Regierung hinter der Attacke vermutet habe. Mittlerweile sei man sich diesbezüglich aber "nicht sicher". Experten zufolge könnten mehr als tausend Unternehmen vom Angriff betroffen sein. In Schweden mussten hunderte Supermarktfilialen schließen.

Spurensuche

Biden beauftragte die US-Geheimdienste, den Fall zu untersuchen. "Die ursprüngliche Deutung war, dass es sich nicht um die russische Regierung gehandelt hat, aber wir sind uns noch nicht sicher", sagte der US-Präsident am Vortag des größten US-Feiertages. Sollte sich herausstellen, dass Russland schuld sei, werde es eine Antwort Washingtons geben. US-Unternehmen waren in der jüngsten Vergangenheit mehrfach Ziel von Cyberattacken geworden, für die jeweils russische Hacker verantwortlich gemacht worden waren. Biden und sein russischer Amtskollege Wladimir Putin hatten Mitte Juli bei ihrem Gipfel in Genf vereinbart, sich des Problems mit einer gemeinsamen Arbeitsgruppe anzunehmen.

Nach Angaben der auf Cybersicherheit spezialisierten Beratungsfirma Huntress Labs wurde die VSA-Software von Kaseya manipuliert, "um mehr als tausend Unternehmen zu verschlüsseln". Das IT-Unternehmen Kaseya hatte am Freitag die Cyberattacke bestätigt und versichert, der Angriff sei eingedämmt worden, so dass nur ein "sehr kleiner Prozentsatz" der Kunden betroffen sei, die das sogenannte VSA-Netzwerk von Kaseya nutzten. Zuvor hatte Huntress Labs erklärt, die Computernetzwerke von rund 200 Firmen seien bei dem Hackerangriff "verschlüsselt" worden.

Bei Angriffen mit Ransomware sperren oder verschlüsseln Hacker die Computersysteme ihrer Opfer, um von den Nutzern Geld für die Freigabe ihrer Daten zu erpressen. Kaseya ist nach eigenen Angaben ein führender Anbieter für Informationstechnologie und IT-Sicherheit für kleine und mittlere Unternehmen. Über den VSA-Server können Unternehmen all ihre Computer und Drucker von einem einzigen Arbeitsplatz aus steuern.

Der Ablauf

In diesem Fall war es so, dass ein erfolgreicher Einbruch bei Kaseya genutzt wurde, um an ein manipuliertes Update namens "Kaseya VSA Agent Hot-fix" an die Kunden des Unternehmens zu schicken. Für die solcherart anvisierten Firmen gab es keinerlei Möglichkeit einen Unterschied zu einem echten Update zu erkennen. Also installierten sie das Stück Software auf ihren Systemen, in der sich in Wirklichkeit aber die Erpressersoftware verbarg, die wiederum infolge damit begann, die Systeme zu verschlüsseln.

"Wir sind dabei, mit einem hohen Maß an Vorsicht die eigentliche Ursache für den Vorfall zu untersuchen", erklärte Kaseya zunächst in einem Forum des Onlinedienstes Reddit. Die Firma forderte ihre Kunden auf, sofort ihren sogenannten VSA-Server abzuschalten, "bis Sie von uns weitere Informationen erhalten".

Update soll kommen

Später erklärte Kaseya, seine Kunden seien über die Firmen-Website, per E-Mail, Anzeige auf dem Rechner und per Telefon über den Vorfall unterrichtet und zum Abschalten ihrer VSA-Server aufgefordert worden. "Wir denken, dass wie die Quelle der Anfälligkeit gefunden haben, und bereiten eine Korrektur vor", erklärte das in Miami ansässige Unternehmen weiter, das nach eigenen Angaben mehr als 40.000 Kunden hat.

Eine der größten schwedischen Supermarktketten musste eigenen Angaben zufolge am Samstag rund 800 Filialen vorübergehend schließen, weil ihre Kassen nicht mehr funktionierten. Ein Subunternehmer sei nämlich Ziel des digitalen Angriffs geworden, teilte Coop Schweden mit. Details nannte das Unternehmen nicht. Die schwedische Tochtergesellschaft des Softwarekonzerns Visma teilte jedoch mit, das Problem stehe im Zusammenhang mit einem größeren Cyberangriff auf das amerikanische IT-Unternehmen Kaseya am Freitag.

Viele Probleme

Neben anderen Unternehmen war auch das staatliche Bahnunternehmen SJ betroffen. Fahrgäste konnten dadurch im Bistro nicht mit Karte zahlen. Am Freitagabend habe es einen Angriff auf einen Dienstleister von Coop gegeben, der sowohl die normalen Kassensysteme als auch Selbstbedienungskassen der Supermärkte betraf, berichtete SVT. Man habe die ganze Nacht an den Problemen gearbeitet, sie jedoch noch nicht lösen können, sagte eine Sprecherin dem Sender. In einzelnen Regionen konnten einige Filialen im Land wieder aufmachen, wobei manche andere Bezahlsysteme nutzten.

Die US-Behörde für Cybersicherheit (CISA) teilte mit, dass sie den Vorfall untersuche. Sie rief Unternehmen auf, die Anweisungen von Kaseya zu befolgen und ihren VSA-Server sofort abzuschalten. Die Cyberattacke ereignete sich vor dem Wochenende, an dem der Unabhängigkeitstag der USA gefeiert wird.

Spurensuche

Nach Einschätzung des Computer-Notfallteams der neuseeländischen Regierung steckt hinter der Cyberattacke eine Hackergruppe namens REvil, die eine gleichnamige Erpressersoftware benutzt und damit äußerst erfolgreich ist. Diese wird zwar nicht direkt dem russischen Staat zugeschrieben, Sicherheitsexperten gehen aber aus, dass die Gruppe von Russland bewusst geduldet wird. Im Gegenzug dazu greift REvil keinerlei russische Ziele an. Ein solches Stillhalteabkommen stellt auch keine Ausnahme dar, es gibt noch andere russische Hackergruppen, die ausschließlich ausländische Unternehmen und Einzelpersonen angreifen. Da diese Banden hochprofessionell agieren sind sie auch äußerst erfolgreich und leben in Russland zum Teil öffentlich im Luxus, während internationale Haftbefehle auf sie ausgeschrieben sind.

Im Mai waren die Colonial-Ölpipeline in den USA und die US-Tochter des weltgrößten Fleischproduzenten JBS Opfer eines Cyberangriffs mit Ransomware geworden. Auch damals wurde REvil von US-Behörden für die Attacke verantwortlich gemacht.

SolarWinds

Die Art des aktuellen Angriffs erinnert aber noch an einen anderen Vorfall: Voriges Jahr hatten sich Hacker über Software des US-IT-Unternehmens SolarWinds Zugang zu den Systemen von Ministerien, Behörden und Unternehmen verschafft. Auch damals wurden über manipulierter Updates gezielt Kunden des Unternehmen attackiert, dies allerdings vor allem zu Spionagezwecken. Die US-Bundespolizei FBI machte Hacker in Russland für diese Cyberattacken verantwortlich.

Attacken mit Erpressungs-Trojanern hatten in den vergangenen Jahren mehrfach für Schlagzeilen gesorgt. 2017 legte im Mai der Erpressungs-Trojaner "WannaCry" neben den Computern vieler Privatleute unter anderem Computer in britischen Krankenhäusern sowie Fahrplan-Anzeigen der Deutschen Bahn lahm. Wenige Wochen später traf die Lösegeld-Software "NotPetya" unter anderem die Reederei Maersk und den Nivea-Hersteller Beiersdorf.

Diese Attacken breiteten sich seinerzeit unter anderem deshalb so schnell aus, weil Computer mit älteren Windows-Systemen und nicht geschlossenen Sicherheitslücken für sie ein leichtes Opfer waren. Sie galten deshalb als ein Weckruf für mehr IT-Sicherheit. Dennoch gab es nun erneut mehrere erfolgreiche Angriffe mit Lösegeld-Software.

Strategie

Der Industrieverband BDI will Cyberattacken mit einer "nationalen Wirtschaftsschutzstrategie" von Politik und Wirtschaft besser abwehren. "Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute", sagte BDI-Sicherheitsexperte Matthias Wachter der "Welt am Sonntag". Die Zahl der Angriffe sei in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien. Beim Bundesamt für Sicherheit in der Informationstechnik hieß es: "Die Bedrohungslage ist nach wie vor sehr angespannt und wurde durch die Pandemie noch einmal verschärft."

Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer größer werde. "Wir bringen alles online." Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: "Ich denke nicht, dass wir das Schlimmste schon erlebt haben."

Raj Samani von der IT-Sicherheitsfirma McAfee sieht das Problem auch darin, dass sich inzwischen im Internet eine ganze Industrie gebildet habe, in der Attacken mit Erpressungssoftware Interessenten als Bezahl-Service angeboten werden. "Es sind kriminelle Gruppen, die darauf aus sind, so viel Lösegeld wie nur möglich herauszupressen." Zugleich zeigte er Verständnis für Unternehmen, die am Ende entgegen den Empfehlungen von Behörden und Experten Geld an die Hacker bezahlen, weil sie Angst um ihr Geschäft haben. (APA/red, 4.7.2021)