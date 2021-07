Die Hacker der vermutlich russischen Gruppe REvil verlangen 70 Millionen US-Dollar von dem amerikanischen IT-Dienstleister Kaseya - zu zahlen in Bitcoin. Diese Gruppe war vermutlich auch diejenige, die im Juni den weltgrößten Fleischverarbeiter JBS um elf Millionen Dollar erpresst hat. Könnte hinter diesen Attacken die russische Regierung stecken? Eine Schuldzuweisung vermied US-Präsident Joe Biden zwar am Wochenende, aber die amerikanischen Geheimdienste sollen intensiv ermitteln.

Kaseya ist ein Dienstleister , der anderen Unternehmen IT-Sicherheit über Fernwartung anbietet. Über dessen Software VSA werden dann Updates für die 36.000 Kunden weltweit eingespielt. Wie viele deutsche Kunden darunter sind, das ist nicht ganz klar. In Deutschland seien mehrere IT-Dienstleister und Unternehmen betroffen, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Nachmittag mit, nannte aber keine Zahl. Doch so oder so dürfte das Auswirkungen auf tausende Rechner auch hierzulande haben. Der deutsche Digital-Branchenverband Bitkom rechnet damit, dass die Schadenssumme, die im Jahr 2019 durch Sabotage, Datendiebstahl oder Spionage bei rund 100 Milliarden Euro lag, im vergangenen Jahr deutlich übertroffen werden dürfte.

Webseite des Unternehmens Kaseya

Hohe Vernetzungsgrad hilft Cyberkriminellen

Die Masche der Hacker: Sie verschaffen sich mit sogenannter Ransomware, also Erpressersoftware, Zugang zu den Rechnern eines Unternehmens, verschlüsseln die Daten und geben diese nur nach Zahlung eines Lösegelds frei. Besonders gern suchen die Kriminellen sich Unternehmen aus, die mit vielen anderen in Verbindung stehen, nutzen also einen Multiplikatoreffekt, sagt Hannes Federrath, Professor für Informatik an der Universität Hamburg und Präsident der Gesellschaft für Informatik.

Im Dezember hatten Hacker eine solche Schwachstelle in der Software genutzt, damals waren die Regierung in den USA, Organisationen und Behörden betroffen. Die Auslagerung der IT-Administration sei eine Schwachstelle, sagt Federrath. "Das Know-how im eigenen Haus ist dann nicht mehr vorhanden. Man könnte sich noch nicht einmal abkoppeln von diesen Dienstleistern, um dann eben selbst für den eigenen Schutz zu sorgen."

Auch der Fleischverarbeiter JBS war Opfer eines Hackerangriffs

Zumindest sollten betroffene Firmen, die diese Software einsetzen, den Zugang für den Dienstleister sperren, rät Matthias Randemer, Experte für Cybersicherheit der Unternehmensberatung EY. Sollten die Unternehmen aber zahlen, wenn sie erpresst werden? Eigentlich wäre es sinnvoll, sich in einer solchen Situation sich an das Bundeskriminalamt (BKA) oder Verfassungsorgane wenden, sagt Bandemer; eine Zahlung würde die Hacker ja weiter ermutigen. "Zum anderen gibt es auch möglicherweise rechtliche Themen, man könnte sich in Gefahr begeben, dann etwa der Geldwäsche bezichtigt zu werden."

Nicht aktualisierte Hardware als Einfallstor

Doch wenn die Back-ups der Unternehmenssoftware nicht funktionierten, das Geschäft also stillstehe, dann würden viele Firmen "wohl oder übel" zahlen. Die Systeme neu aufzusetzen könnte eben auch sehr lange dauern und kostspielig sein. "Wenn sich Unternehmen auf so eine Situation beizeiten vorbereitet haben, brauchen sie dann nicht mehr zu aktiv zu werden", mahnt der Cyberkriminalitätsexperte zum rechtzeitigen Handeln.

Ein Cyberangriff auf den Pipeline-Betreiber Colonial Pipeline sorgte für einen Benzin-Engpass in den USA

Das ist gerade in Zeiten nötig, in denen viele Mitarbeiter von zu Hause aus arbeiten. Selbst wenn die von ihren Arbeitgebern mit Laptops ausgestattet werden, steigen nämlich die Risiken für Cyberattacken, erklärt Hannes Fedarrath von der Uni Hamburg, das sei spätestens dann der Fall, wenn getrennte Geräte in ein und demselben Heimnetzwerk zusammenkämen: "Geräte aus dem Internet of Things, wie zum Beispiel smarte Glühbirnen oder smarte Fernsehapparate, sind dann auch Einfallstor in die dienstliche Kommunikation, beispielsweise auf einem Dienst-Laptop."

In ihrer dienstlichen Infrastruktur sollten die Firmen dafür sorgen, dass unsichere Rechner nicht genutzt würden: "Denn diese Ransomware-Angriffe, die wir im Moment sehen, beruhen vor allem darauf, dass alte, nicht mehr aktualisierte Systeme leicht angegriffen werden können", erklärt der Experte und erinnert an die Angriffe auf Krankenhäuser vor einigen Monaten. Da waren medizinische Geräte attackiert worden, die nicht regelmäßig aktiv aktualisiert werden konnten.: "Das Gleiche geschieht in diesem Fall im Bereich der Kassensysteme. Ein Kassensystem ist ein typisches betriebliches Gerät." In Schweden hatte die Supermarktkette coop am Wochenende ihre 800 Filialen schließen müssen, weil die Kassensysteme ausgefallen waren.