Nach Hackerangriff auf Kassensystem

Supermarktkette muss 800 Filialen schließen

06. Juli 2021 - 11:41 Uhr

Schon wieder erpressen Hacker Unternehmen

Bei der jüngsten Attacke mit Erpressungssoftware haben Hacker auf einen Schlag mehrere Unternehmen ins Visier genommen. Eine Supermarktkette musste wegen des Angriffs auf ihr Kassensystem sogar fast alle Filialen schließen.

Auch deutscher IT-Dienstleister von Hackerangriff betroffen

Die Hacker nutzten eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, um dessen Kunden mit einem Programm zu attackieren, das Daten verschlüsselt und Lösegeld verlangt. Folgen waren bis nach Schweden zu spüren, wo die Supermarkt-Kette Coop fast alle Läden schließen musste. Das volle Ausmaß der Schäden ist noch unklar.

Schwedische Supermarktkette Coop
Die Supermarktkette Coop musste in Schweden fast alle Filialen wegen der Hackerattacke schließen.
© picture alliance, Ali Lorestani

Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien.

Beim Bundesamt für Sicherheit in der Informationstechnik (BSI) meldete sich auch ein betroffener IT-Dienstleister aus Deutschland. Dessen Kunden seien in Mitleidenschaft gezogen worden, sagte ein BSI-Sprecher. Es handele sich um einige tausend Computer bei mehreren Unternehmen. Nicht ausgeschlossen sei, dass am Montag weitere Firmen mit Beginn der Arbeitswoche Probleme feststellten.

RTL NEWS empfiehlt

Anzeigen:

US-Präsident Biden ordnet Untersuchung an

US-Präsident Joe Biden ordnete eine Untersuchung des Angriffs durch die Geheimdienste an. "Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt - aber wir sind uns noch nicht sicher", sagte Biden nach Fragen von Reportern am Samstag. IT-Sicherheitsexperten hatten die Attacke anhand des Software-Codes der Hackergruppe REvil zugeordnet, die in Russland verortet wird.

REvil steckte vor wenigen Wochen bereits hinter dem Angriff auf den weltgrößten Fleischkonzern JBS, der als Folge für mehrere Tage Werke unter anderem in den USA schließen musste. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, auch keine Aktivitäten von Hackergruppen zu tolerieren und mit Konsequenzen bei weiteren Attacken gedroht.

Rund 40 Unternehmen direkt betroffen

Kaseya teilte am Wochenende mit, nach bisherigen Erkenntnissen seien weniger als 40 Kunden betroffen. Allerdings waren darunter auch wiederum Dienstleister, die ihrerseits mehrere Kunden haben. Auf diesem Wege traf es auch die schwedische Coop-Kette, bei der die Kassensysteme nicht mehr funktionierten. Nur 5 der gut 800 Märkte - und der Online-Shop - blieben geöffnet.

Der Schaden hätte auf jeden Fall weit größer sein können: Kaseya hat insgesamt mehr als 36.000 Kunden. Mit Hilfe des Kaseya-Programms VSA verwalten Unternehmen Software-Updates in Computer-Systemen. Ein Eindringen in die VSA-Software kann den Angreifern also viele Türen auf einmal öffnen. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten. Nach Angaben des Unternehmens waren Kunden des Cloud-Dienstes zu keinem Zeitpunkt in Gefahr - und alle betroffenen Firmen griffen auf lokale VSA-Installationen zurück.

Betreiber Kaseya will Schwachstelle gefunden haben

Kaseya sei zuversichtlich, die Schwachstelle gefunden zu haben, wolle sie demnächst schließen und die Systeme nach einem Sicherheitstest wieder hochfahren, hieß es. Am Samstag kam noch ein Kunde zur Liste der Opfer dazu, der sein lokal laufendes VSA-System nicht abgeschaltet hatte.

Attacken mit Erpressungs-Software hatten zuletzt wiederholt für Schlagzeilen gesorgt. Nur kurz vor dem JBS-Fall stoppte ein ähnlicher Angriff den Betrieb einer der größten Benzin-Pipelines in den USA und schränkte die Kraftstoffversorgung in dem Land vorübergehend ein. Den Hackern bringt es Geld: JBS zahlte den Angreifern umgerechnet elf Millionen Dollar in Kryptowährungen, der Pipeline-Betreiber Colonial 4,4 Millionen Dollar. Allerdings konnten Ermittler wenig später gut die Hälfte des Colonial-Lösegeldes beschlagnahmen.

Es ist auch bereits die zweite binnen weniger Monate bekanntgewordene Attacke, bei der Hacker über einen IT-Dienstleister in Systeme seiner Kunden eindringen konnten. Über Wartungssoftware der Firma Solarwinds waren Angreifer vermutlich zu Spionage-Zwecken in Computernetzwerke von US-Regierungsbehörden gekommen, unter anderem beim Finanz- und Energieministerium.

BDI will Strategie gegen Cyberattacken

Der Industrieverband BDI will Cyberattacken mit einer "nationalen Wirtschaftsschutzstrategie" von Politik und Wirtschaft besser abwehren. "Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute", sagte BDI-Sicherheitsexperte Matthias Wachter der "Welt am Sonntag". Die Zahl der Angriffe sei in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien. Beim Bundesamt für Sicherheit in der Informationstechnik hieß es: "Die Bedrohungslage ist nach wie vor sehr angespannt und wurde durch die Pandemie noch einmal verschärft."

Mikko Hyppönen von der IT-Sicherheitsfirma F-Secure führt dies unter anderem darauf zurück, dass die Angriffsfläche mit dem digitalen Wandel in allen Branchen immer größer werde. "Wir bringen alles online." Es werde noch dauern, bis diese allgemeine Bewegung ins Netz angemessen abgesichert werde: "Ich denke nicht, dass wir das Schlimmste schon erlebt haben." (dpa/aze)