Erpresser fordern MillionenZum US-Nationalfeiertag der grösste Hackerangriff der Geschichte
Womöglich mehr als tausend Firmen weltweit werden bei einer raffinierten Cyberattacke Opfer einer manipulierten Sicherheitssoftware. Die Spuren führen nach Russland.
Von einer Firma namens Kaseya haben bislang vermutlich vor allem IT-Experten etwas gehört. Das Unternehmen aus Miami, Florida, immerhin gut zwei Milliarden Dollar wert, arbeitet im Hintergrund. Im besten Fall merken die Anwender auch so gut wie nichts davon, dass Kaseya oder eine Partnerfirma die IT ihres Unternehmens managt.
Das ändert sich nun schlagartig: Hackern ist es am Wochenende gelungen, bei einer Reihe von Partnerfirmen von Kaseya einzudringen und Teile von deren Software zu kompromittieren. Diese verschlüsselt Daten auf den Systemen der Betroffenen.
Wie hoch die Zahl der betroffenen Unternehmen ist, ist noch unklar. Während Kaseya von 40 betroffenen Kunden sprach, bezifferte das US-Sicherheitsunternehmen Huntress Labs, bei dem sich attackierte Firmen meldeten, die Zahl der Geschädigten auf mehr als tausend. Die Zahl hätte auch noch deutlich höher ausfallen können, denn Kaseya hat weltweit mehr als 36’000 Kunden. Sicherheitsexperten lobten das Unternehmen aber für seine schnelle Reaktion auf den Angriff.
Keine Schweizer Opfer bekannt
Trotzdem ist der Hackerangriff laut der Agentur «Associated Press» der grösste, den die Welt je gesehen hat. Er erfolgte nicht zufällig am Wochenende des 4. Juli, des amerikanischen Unabhängigkeitstags: Dann ist die Besetzung in den IT-Abteilungen jeweils dünn.
Es sei gut möglich, dass ein Angriff erst mit dem Beginn der Arbeitswoche am Montag bemerkt und gemeldet werde, sagte vor diesem Hintergrund zum Beispiel eine Sprecherin des schweizerischen Nationalen Zentrums für Cybersicherheit am Sonntag. Allerdings hatte das Zentrum auch bis Montagabend noch keine Kenntnis von Schweizer Opfern.
Zu jenem Zeitpunkt war von Firmen aus 17 Ländern bekannt, dass sie Opfer der Attacke geworden waren. Mit am stärksten betroffen war neben den USA Schweden: Dort musste etwa die Supermarktkette Coop nahezu alle ihrer mehr als 800 Filialen übers Wochenende und am Montag schliessen, weil die Kassensysteme nicht mehr funktionierten. In Deutschland wurden Daten auf mehr als tausend Computern verschlüsselt, wie die «Süddeutsche Zeitung» schreibt.
Die Angreifer boten an, für 70 Millionen Dollar einen Generalschlüssel zur Datenfreigabe zu liefern.
In Botschaften auf dem Bildschirm forderten die Erpresser von den einzelnen Unternehmen Lösegeld in Kryptowährung – die Maximalsumme betrug 5 Millionen Dollar. Es ist nicht bekannt, wie viele Firmen dieser Forderung nachkamen. Am Sonntagabend dann boten die Angreifer an, für die Summe von 70 Millionen Dollar einen Generalschlüssel zur Freigabe der Daten zu liefern. Wer diese Gesamtsumme allerdings bezahlen sollte, blieb unklar.
Die US-Regierung zeigte sich alarmiert und hat die Geheimdienste zu intensiven Ermittlungen aufgefordert. Das könnte auch politische Beben nach sich ziehen, denn als Hauptverdächtiger für die Attacke gilt eine Hackergruppe namens REvil aus Russland beziehungsweise Gruppen, die mit REvil in enger Verbindung stehen. Diese war erst kürzlich aufgefallen, weil sie den weltgrössten Fleischhersteller JBS lahmgelegt hatte. Das Unternehmen zahlte den Hackern darauf ein Lösegeld von elf Millionen Dollar.
US-Präsident Joe Biden vermied in diesem Fall zwar zunächst eine Schuldzuweisung, doch das könnte sich schnell ändern, wenn die Dienste belastbare Beweise oder wenigstens starke Indizien dafür finden, dass tatsächlich russische Staatshacker hinter dem Angriff stecken.
Der bekannte IT-Sicherheitsexperte Dmitri Alperovitch, der sich nicht scheut, mit dem Finger auf Verantwortliche zu zeigen, hält die Führung in Moskau allerdings nicht für den Auftraggeber des Angriffs. Dieser zeige aber auch, dass Präsident Wladimir Putin noch keine Anstrengungen unternommen habe, gegen Internetkriminelle in seinem Land vorzugehen.
Das Vorgehen der Angreifer war in diesem Fall besonders gerissen: Sie manipulierten Software bei IT-Dienstleistern, die eigentlich Systeme sicherer machen soll. Damit nahmen sie explizit kleinere Firmen wie Arztpraxen oder Ingenieurbüros in den Fokus. Diese haben oft nicht genügend Personal und Kompetenz, um ihre IT selbst zu warten und vor Angriffen zu schützen.
Sie engagieren darum Dienstleister, im Jargon Managed Service Providers (MSP) genannt. Diese übernehmen es zum Beispiel, Software-Updates einzuspielen. Sie nutzten dafür die Software von Kaseya. Diese manipulierten die Hacker. Statt jede der Firmen einzeln zu attackieren, erreichten die Hacker so einen Multiplikator-Effekt.
Lieber bezahlen als neu aufsetzen
Die Betroffenen stehen nach solchen Attacken jeweils vor einer schwierigen Wahl: Entweder sie bezahlen das Lösegeld und haben damit eine Chance, dass ihre Systeme und damit auch ihr Geschäft bald wieder laufen. Oder aber sie weigern sich und sind dann gezwungen, alles neu aufzusetzen. Das kann dauern und ist teuer, weshalb viele Firmen zähneknirschend bezahlen.
Die Sicherheitsbehörden sehen das nicht gern, denn zum einen ist nicht sicher, ob das Entsperren der Systeme wirklich klappt. Zum anderen gibt es dann auch keine hundertprozentige Sicherheit, ob die Angreifer nicht noch eine weitere Schadsoftware eingeschleust haben, die beispielsweise Daten stiehlt. Zudem kann niemand den Opfern garantieren, dass sie nicht gleich darauf von einer anderen Bande attackiert werden.
Fehler gefunden?Jetzt melden.
