Kaseya-Attacke: Wie der deutsche Feierabend der Kaseya-Attacke zum Verhängnis wurde
Über eine Schwachstelle in einem Managementprogramm des Softwareherstellers Kaseya schleusten Hacker ein Erpressungsprogramm in die IT-Systeme vieler hundert Unternehmen weltweit ein.
Die ersten Vermutungen, dass der schwere Cyberangriff der vermutlich russischen Hackergruppe REvil auf den IT-Dienstleister Kaseya primär auf Unternehmen in den USA und nicht auf Opfer in Europa zielte, gab es schon kurz nach der Attacke vom vergangenen Freitag. Nun zeigen Auswertungen verschiedener IT-Sicherheitsunternehmen, dass Firmen in Deutschland von der Attacke mit der Erpressungssoftware Sodinobiki eher verschont geblieben sind.
Zwar sind unter den nach unterschiedlichen Schätzungen 800 bis 1500 von Erpressungsversuchen betroffenen Unternehmen aus rund 20 Ländern auch solche aus Deutschland. Nach Analysen des Sicherheitsdienstleisters Kaspersky allerdings betrafen von rund 5000 zunächst erfassten Infektionsversuchen gerade einmal 3,2 Prozent Ziele in Deutschland. Jede vierte entdeckte Attacke zielte hingegen auf die USA.
Dass die REvil-Attacke in Deutschland in den vergangenen Tagen nicht zu den dominierenden Cyberangriffen gehörte, belegen auch Zahlen des IT-Sicherheitsspezialisten ESET. Danach ließ sich von den Angriffen, die Sicherheitsprogramme des Unternehmens in den IT-Systemen seiner Kunden blockierten, nur knapp jeder fünfte (18,6 Prozent) auf Schadprogramme oder Einbruchsversuche aus der REvil-Attacke zurückführen.
Bereits kurz nach der Attacke am Freitag gab es Spekulationen, dass eher die USA als Europa oder Asien das Hauptziel des Angriffs gewesen sein könnten. Denn während die Hacker mitten in der amerikanischen Hauptgeschäftszeit zuschlugen, lief der Angriff bezogen auf die europäischen und erst recht auf die asiatischen Zeitzonen erst an, als die meisten Unternehmen dort bereits im Feierabend waren.
Das verhinderte möglicherweise schwerere Schäden, weil die IT-Dienstleister, die mithilfe der attackierten Kaseya-Management-Software VSA die Rechnersysteme und Netzwerke ihrer Kunden verwalten, zu den späten Uhrzeiten sehr viel weniger aktiv waren. An normalen Wochentagen während der Kern-Arbeitszeit hätte das womöglich ganz anders ausgesehen.
Viele Rechnersysteme waren bereits abgeschaltet
So aber waren die potenziell gefährdeten Rechnersysteme entweder bereits heruntergefahren, oder die IT-Verantwortlichen konnten sie nach den ersten Angriffsmeldungen aus den USA vom Netz nehmen, bevor sie nach dem Wochenende wieder aktiv wurden und die Hacker größeren Schaden anrichten konnten.
Für diese These spricht auch, dass die schwedische Supermarktkette Coop am Samstag stark vom Angriff getroffen wurde, weil deren ebenfalls mit den Kaseya-Programmen gemanagten IT-Systeme auch am Freitagabend sowie am Wochenende liefen. Ob der Ausfall der Coop-Kassen dann die direkte Folge der REvil-Attacke war – oder ob die Bezahlsysteme ausfielen, weil vorsorglich wichtige Managementsoftware abgeschaltet wurde, um größere Schäden durch Sodinobiki zu vermeiden, ist noch unklar.
Völlig unbestritten ist aber, dass Unternehmen in Deutschland trotz der konkret vergleichsweise niedrigen Fallzahlen bestenfalls mit einem blauen Auge davon gekommen sind. Die Zahl vergleichbarer Attacken, bei denen Hacker ihre Opfer auf dem Umweg über externe Dienstleister attackieren, steigt auch hierzulande deutlich an: „Diese sogenannten ‚Supply-Chain‘-Angriffe, die in der digitalen ‚Lieferkette‘ von Unternehmen ansetzen, haben in den vergangenen Jahren dramatisch zugenommen“, mahnt Thomas Uhlemann, IT-Spezialist bei ESET in Jena. „Allein zwischen November 2020 und Februar 2021 haben wir weltweit vier große Angriffswellen diesen Typs dokumentiert.“
Mehr zum Thema: Zwei Angriffe mit Erpressungssoftware in den USA scheitern so grandios, wie sie begannen. Viele vermuten Gegenattacken staatlicher US-Hacker. Mit welchen Methoden arbeiten sie? Und eignen sie sich als Vorbild?
