Cyberangriff über Bande So schützen Sie sich gegen die perfide Strategie der Kaseya-Hacker

Die Hackergruppe REvil, die den Angriff nach eigenen Angaben durchgeführt hat, behauptet deshalb, mehr als eine Million Computer mit der Verschlüsselungssoftware Sodinobiki infiziert zu haben. Quelle: Getty Images

Der schwere Cyberangriff auf das US-Unternehmen Kaseya zwingt IT-Verantwortliche in Unternehmen zum Umbau ihrer Schutzkonzepte. Das Modell „sichere Burg“ hat ausgedient. Künftig regieren die Paranoiker.

  • Teilen per:
  • Teilen per:

Auch vier Tage nach dem schweren Hackerangriff auf die Systeme des amerikanischen IT-Dienstleisters Kaseya rätseln Fachleute noch immer, wie groß der Schaden tatsächlich ist, den die Cyberkriminellen verursacht haben. Kaseya selbst betont, es sei bisher nur eine mittlere zweistellige Zahl von Kunden betroffen. Allerdings sind darunter auch weitere Dienstleister. Sie nutzen Kaseyas Fernwartungs-Software VSA, um wiederum die IT-Systeme ihrer – vielfach mittelständischen – Kunden zu managen und damit dort unter anderem Software-Updates einzuspielen. 

Damit droht eine Art Domino-Effekt, sodass der initiale Angriff sich auf weit mehr als die bisher bestätigten Betroffenen ausgeweitet haben könnte. Die Hackergruppe REvil, die den Angriff nach eigenen Angaben durchgeführt hat, behauptet deshalb, mehr als eine Million Computer mit der Verschlüsselungssoftware Sodinobiki infiziert zu haben. Mithilfe dieses Erpressungstrojaners hatte REvil Anfang Juni bereits den weltgrößten Fleischkonzern JBS aus Brasilien attackiert und kurzfristig lahmgelegt. 

Für die Freigabe der Kaseya-Systeme fordert REvil 70 Millionen Dollar Lösegeld vom US-Unternehmen, zahlbar in der Digitalwährung Bitcoin. Es wäre nicht nur eine der größten Cyberattacken bisher, es wäre auch die bislang höchste Erpressungssumme; noch vor der 50-Millionen-Dollar-Forderung gegen den taiwanischen Computer-Konzern Acer vom März dieses Jahres. 

Die angebliche Million betroffener Computer ist nach Einschätzung von Sicherheitsexperten eher Drohkulisse der Erpresser, denn Realität. Bisher zumindest erreicht die Zahl der bekanntgewordenen Fälle eher einen fünf- als siebenstelligen Bereich. Weltweit berichtet etwa der IT-Dienstleister Huntress von gut 1000 Unternehmen, bei denen Rechner verschlüsselt wurden

Nach Analysen des IT-Sicherheitsunternehmens ESET liegt der Schwerpunkt der bisher entdeckten Angriffsversuche in den USA, Kanada, Großbritannien, Südafrika, Kolumbien und Deutschland; insgesamt sollen Unternehmen in 17 Ländern betroffen sein. Hierzulande meldet das Bundesamt für Sicherheit in der Informationstechnik (BSI) – Stand Montagnachmittag – „mehrere Tausend IT-Geräte“, die verschlüsselt wurden. Kritische Infrastrukturen oder die Bundesverwaltung seien nach derzeitiger Kenntnis des BSI nicht betroffen. Das Lagebild entwickele sich allerdings dynamisch. 

Ebenso wirksam wie hinterhältig

Viel wichtiger aber als die absolute Zahl der am Ende tatsächlich verschlüsselten Systeme sind ohnehin die Lehren, die Unternehmen aus der Art der Attacke und der dabei genutzten Strategie der Hacker ziehen müssen, um sich künftig gegen ähnlich gelagerte Angriffe abzusichern. Denn was das Vorgehen so perfide wie wirksam zugleich macht ist, dass die Hacker nicht die Zielunternehmen direkt attackieren. Stattdessen spielen sie sozusagen über Bande und nehmen zunächst einmal ein externes Opfer ins Visier. 

Im konkreten Fall ist es das Unternehmen Kaseya, mit dessen VSA-Software wiederum tausende IT-Dienstleister weltweit ihre Kunden betreuen. Dabei ist es nebensächlich, ob es den Hackern dabei gelungen ist, über eine mangelhaft gesicherte Anmeldung in den VSA-Dienst einzudringen, wie die IT-Experten von Huntress melden, oder ob die Angreifer doch eine bis dato unbekannte Schwachstelle der Software ausnutzten, wie Spezialisten des niederländischen IT-Sicherheitsinstituts DIVD am Sonntag berichteten.



Entscheidend und deshalb so gefährlich ist, dass sowohl Kaseya als auch die Dienstleister, die VSA nutzen, bei ihren Kunden als vertrauenswürdig gelten. Gelingt es Hackern also, in die Systeme eines dieser externen Partner einzudringen, können sie deshalb bei deren Kunden zumeist ohne große Hürden in die IT einbrechen – und dort beispielsweise Schadprogramme wie Sodinobiki installieren.

„Diese sogenannten ‚Supply-Chain‘-Angriffe, die in der digitalen ‚Lieferkette‘ von Unternehmen ansetzen, haben in den vergangenen Jahren dramatisch zugenommen“, sagt Thomas Uhlemann, IT-Spezialist bei ESET in Jena. „Allein zwischen November 2020 und Februar 2021 haben wir weltweit vier große Angriffswellen diesen Typs dokumentiert.“ 

Auch im Fall des schweren Cyberangriffs auf zehn US-Regierungsbehörden sowie tausende weitere Unternehmen im Herbst 2020 waren Hacker in die elektronische „Lieferkette“ ihrer Opfer eingedrungen. Sie hatten eine Sicherheitslücke in der Fernwartungssoftware des Dienstleisters SolarWinds ausgenutzt, um Schadsoftware zu verbreiten. 

Inhalt
Artikel auf einer Seite lesen
© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%