CyberCompare

16. Juli 2021: Erster Cyber-Katastrophenfall Deutschlands ++ Guess Ransomware-Angriff ++ Cyber-Angriff auf Spread-Group

Erster Cyber-Katastrophenfall in Deutschland

In der Verwaltung im Landkreis Anhalt-Bitterfeld geht nichts mehr: Eine Cyberattacke hatte am 6. Juli die Server lahmgelegt. Die Verwaltung des Landkreises in Sachsen-Anhalt muss nach eigenen Angaben fast zwei Wochen lang ihre Arbeit weitgehend einstellen. Das hat weitreichende Folgen: Derzeit können keine Sozial- und Unterhaltsleistungen der Bürger von Anhalt-Bitterfeld bearbeitet werden. Lediglich die Fax- und Telefonanlagen seien noch in Betrieb. Daraufhin hat der Landkreis den ersten Cyber-Katastrophenfall in Deutschland ausgelöst – auch um schneller reagieren zu können.

Aus bislang unbekannter Quelle seien mehrere Server infiziert worden, hieß es. In der Folge sei eine noch nicht genau spezifizierte Zahl von Dateien verschlüsselt worden. Alle kritischen Systeme wurden vom Netz getrennt, um einen eventuellen Datenabfluss zu verhindern. Der Landkreis hat den Angaben zufolge Strafanzeige gestellt und arbeitet eng mit den Strafverfolgungsbehörden zusammen.

„Dieser Angriff hat auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen und betrifft somit auch die Anliegen der Bürgerinnen und Bürger, die zurzeit nicht bearbeitet werden können“

– Das teilte der Kreis am Freitagnachmittag mit. Zudem seien weitere Folgen derzeit nicht absehbar

Alte Software in Kommunen

In Sicherheitskreisen wird darauf verwiesen, dass die kommunale IT-Infrastruktur in Deutschland wahrscheinlich am schlechtesten gegen Cyberangriffe geschützt ist – obwohl hier sehr viele Daten der Bürger anfallen. Kommunen verfügen teilweise über veraltete Soft- und Hardware und nur kleine IT-Abteilungen.

In den vergangenen Monaten hatten sich die Angriffe krimineller Gruppen auf Netzwerke sowohl auf Unternehmen als auch öffentliche Einrichtungen gehäuft.

Kriminelle haben die Computer des Städtischen Klinikums Wolfenbüttel gehackt. Der Klinik-Betrieb läuft weiter – allerdings stark eingeschränkt. Die Hacker fordern Geld.

Nach Angaben der Stadt ist das gesamte IT-System des Klinikums außer Betrieb. Die Mitarbeitenden können weder E-Mails empfangen oder verschicken, noch können sie Patientendaten abrufen oder weiterleiten. Deshalb müssen die Mitarbeitenden vorübergehend wieder mit Papier und Stift arbeiten. IT-Spezialisten arbeiten daran, die Systeme wiederherzustellen. Das könne allerdings dauern, sagte Klinik-Geschäftsführer Axel Burghardt. Operationen werden  weiter durchgeführt

Der Geschäftsführer versicherte, dass die Patienten trotzdem versorgt und Operationen wie geplant durchgeführt werden. Der Angriff der Hacker war in der Nacht auf Mittwoch erfolgt. Offenbar haben es die Täter nicht auf Daten von Patienten abgesehen, sondern auf Geld. Nach bisherigen Erkenntnissen sollen keine Daten gestohlen worden sein. Welche Summe die Hacker fordern, wollten weder Klinikum noch Polizei sagen. Mittlerweile ermittelt die Staatsanwaltschaft.

Städte- und Gemeindebund fordert „sichere Onlinewelten“

Angesichts der zunehmenden Angriffe auf IT-Infrastruktur von Behörden und Unternehmen fordert der Sprecher des Niedersächsischen Städte- und Gemeindebundes, Thorsten Bullerdiek, bessere Sicherheitsvorkehrungen im Internet. Der Bund und auf Sicht die EU müssten „dafür sorgen, dass wir wichtige Dinge, wie Bank-,  Behörden- oder Gesundheitsdaten nur noch in sicher abgeschotteten Systemen bearbeiten, wo wir genau wissen, wer dort drin ist und was er dort darf“. Es sei wichtig, dafür Zeit und Personal zu investieren und gleichzeitig auf manche Annehmlichkeit zu verzichten. „Sonst holt uns jegliche Vernachlässigung bei diesem Thema ein“, fürchtet Bullerdiek, der auch IT-Experte des Spitzenverbandes der Städte und Gemeinden in Niedersachsen ist.

Quelle: https://www.faz.net/aktuell/wirtschaft/digitec/erster-cyber-katastrophenfall-in-deutschland-landkreis-liegt-lahm-17431739.html

Nach Ransomware-Angriff auf Guess: Sensible Kundendaten betroffen

Die amerikanische Modemarke Guess informiert seine Kunden über eine Datenverletzung nach einem Ransomware-Angriff im Februar, der zu Datendiebstahl führte.

„Eine Cybersecurity-Forensik-Firma wurde beauftragt, bei der Untersuchung zu helfen, und es wurde festgestellt, dass zwischen dem 2. Februar 2021 und dem 23. Februar 2021 ein unbefugter Zugriff auf die Systeme von Guess stattgefunden hat“, so das Unternehmen in den Benachrichtigungsschreiben an die betroffenen Kunden.

„Am 26. Mai 2021 hat die Untersuchung ergeben, dass personenbezogene Daten bestimmter Personen möglicherweise von einem unbefugten Akteur eingesehen oder erworben wurden.“

Guess betreibt direkt 1.041 Einzelhandelsgeschäfte in Nord-, Mittel- und Südamerika, Europa und Asien sowie über seine Vertriebspartner und Partner weitere 539 Geschäfte weltweit (Stand: Mai 2021). Die zum Einzelhandelsnetzwerk von Guess gehörenden Läden sind derzeit in rund 100 Ländern auf der ganzen Welt vertreten. Bei dem Angriff wurden sowohl persönliche als auch finanzielle Informationen gestohlen.

Der Modehändler identifizierte die Adressen aller betroffenen Personen, nachdem er am 3. Juni 2021 eine vollständige Überprüfung der auf den angegriffenen Systemen gespeicherten Dokumente abgeschlossen hatte.

Guess begann am 9. Juni mit dem Versand von Benachrichtigungsschreiben an die betroffenen Kunden und bot allen betroffenen Personen kostenlose Dienstleistungen zum Schutz vor Identitätsdiebstahl sowie eine einjährige kostenlose Kreditüberwachung durch Experian an.

„Am 26. Mai 2021 hat die Untersuchung ergeben, dass personenbezogene Daten bestimmter Personen möglicherweise von einem nicht autorisierten Akteur eingesehen oder erworben wurden“, so Guess.

Die Untersuchung habe auch gezeigt, dass möglicherweise auf Sozialversicherungsnummern, Führerscheinnummern, Passnummern und/oder Finanzkontonummern zugegriffen wurde und diese jetzt im Besitz der Cyber-Kriminellen sein könnte.

Laut den Schreiben, die bei der Generalstaatsanwaltschaft von Maine eingereicht wurden, sind die Daten von etwas mehr als 1.300 Personen betroffen.

Aus den eingereichten Informationen geht außerdem hervor, dass die während des Vorfalls erlangten Informationen „Finanzkontonummer oder Kredit-/Guthabenkartennummer (in Kombination mit Sicherheitscode, Zugangscode, Passwort oder PIN für das Konto)“ umfassen.

Guess hat zusätzliche Maßnahmen zur Erhöhung der Sicherheitsprotokolle implementiert und kooperiert mit den Strafverfolgungsbehörden im Rahmen einer laufenden Untersuchung des Vorfalls.

Obwohl Guess keine Angaben zur Identität der Cyber-Kriminellen gemacht hat, berichtete DataBreaches.net im April, dass die DarkSide-Ransomware-Gang Guess auf ihrer Datenleck-Site aufgeführt hat.

Damals behauptete die Ransomware-Gruppe, Dateien im Wert von über 200 GB aus dem Netzwerk des Modehändlers gestohlen zu haben, bevor sie versuchte, dessen Systeme zu verschlüsseln.

DarkSide ist seit mindestens August 2020 aktiv, konzentriert sich auf Unternehmensnetzwerke und verlangt Millionen von Dollar für Entschlüsselungsprogramme und das Versprechen, die gestohlenen Daten nicht online zu stellen.

Die Ransomware-Bande geriet ins Fadenkreuz der US-Strafverfolgungsbehörden, nachdem sie im Mai Colonial Pipeline, die größte Treibstoff-Pipeline der USA, lahmgelegt hatte.

Nachdem die Strafverfolgungsbehörden die Ransomware verstärkt unter die Lupe genommen hatten und einige ihrer Infrastrukturen beschlagnahmt oder zum Absturz gebracht worden waren, stellte DarkSide Ende Mai plötzlich den Betrieb ein, angeblich aus Angst vor einer Verhaftung

Quelle: https://www.bleepingcomputer.com/news/security/fashion-retailer-guess-discloses-data-breach-after-ransomware-attack/

Cyberangriff auf die Spread-Group

Die Spread Group in Leipzig, Dachmarke von fünf international agierenden E-Commerce-Plattformen, wurde Opfer eines Hacker-Angriffs. Betroffen davon sind unter anderem Adress- und Vertragsdaten von Kunden, Partnern, Mitarbeitern und externen Dienstleister.

Der Angriff sei „organisiert“ gewesen und mit „hoher krimineller Energie“ durchgeführt worden, teilte das Unternehmen mit. Den unbekannten Angreifern sei es gelungen, „Zugriff auf interne Daten zu erlangen“.

Nach Angaben des Unternehmens sind unter anderem Adress- und Vertragsdaten von Kunden, Partnern, Mitarbeitern und externen Dienstleistern von der Cyberattacke betroffen. Darüber hinaus seien auch „Bezahldaten von einem kleinen Teil der Kunden kompromittiert, die per Banküberweisung bei Spreadshirt, Spreadshop oder TeamShirts bezahlt und hierüber eine Erstattung erhalten haben“, erklärt die Spread Group weiter. Partnerunternehmen, die von der Spread Group Provisionen erhalten, seien ebenfalls von der Attacke betroffen. Die Angreifer hätten demnach Zugriff auf die Bankverbindungen und PayPal-Adressen dieser Partner erhalten. Von allen anderen Kunden seien, zumindest nach aktuellem Ermittlungsstand, keine Kontoinformationen auf den betroffenen Servern gespeichert gewesen. 

Die vom Cyberangriff Betroffenen wurden laut Spread Group über den Vorfall informiert. Vorsorglich sollten alle Kunden ihre Passwörter ändern. Unterdessen laufen die Ermittlungen. Der IT-Krisenstab des Unternehmens arbeite dabei eng mit externen Sicherheitsspezialisten zusammen, sagt das Unternehmen. Auch seien die Ermittlungsbehörden bereits eingeschaltet.

Auswirkungen auf die Produktion und den weiteren Geschäftsbetrieb habe die Cyberattacke nicht, erklärte das Leipziger Unternehmen abschließend. Die Spread Group sei „vollumfänglich produktions- und lieferfähig.“

Nach dem Cyberangriff auf die Leipziger Spread Group, zu der auch der Print-on-Demand-Anbieter Spreadshirt gehört, hat der Sächsische Richterverein (SRV) die Landespolitik aufgefordert, die Strafverfolgung im Bereich der Computerkriminalität so schnell wie möglich zu optimieren. Es genüge nicht Hackerangriffe technisch abzuwehren. Die Angreifer müssten auch verfolgt und Nachahmer durch eine glaubhafte Strafverfolgung abgeschreckt werden, heißt es in einer am Dienstag veröffentlichten Mitteilung.

„Wir sehen die Justizministerin am Zug, der Schaffung einer zentralen Cybercrime-Ermittlungseinheit zuzustimmen“

– Reinhard Schade Landesvorsitzender Sächsischer Richterverein

Quellen:

https://www.mdr.de/nachrichten/sachsen/leipzig/leipzig-leipzig-land/cyberangriff-spreadshirt-leipzig-100.html

https://www.pctipp.ch/news/sicherheit/cyber-angriff-spread-group-2680668.html

Sie denken über OT- und IoT-Sicherheit nach? CyberCompare hat geprüfte Anbieter im Portfolio und liefert Ihnen als unabhängiger Marktteilnehmer kostenfreie und unverbindliche Vergleichsangebote. Sprechen Sie uns an (Mail an uns) oder testen Sie Ihr Cyberrisikoprofil mit unserer Diagnostik.

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.