IT-Security

Hacking, Ransomware & Co.: Diese Unternehmen hat es schwer getroffen

18. Januar 2022 von Admin PSW GROUP Blog WP

hacking-angriffe
©Mikko Lemola - stock.adobe.com

5
(3)

Hacking mit Folgen wie Ransomware oder anderer eingeschleuster Malware war im Jahr 2021 omnipräsent: Zahlreiche Unternehmen jedweder Größe und Branche sind Opfer geworden. Im heutigen Blogbeitrag geben wir Ihnen einen Überblick über Unternehmen, die es im Jahre 2021 schwer getroffen hat. Unser Ziel ist es, Sie damit zu sensibilisieren: IT-Sicherheit ist eines der Themen unserer Zeit – jedes Unternehmen muss sich damit auseinandersetzen vom KMU bis zum großen Konzern. Lesen Sie weiter und verschaffen Sie sich einen kompakten Überblick über die Schlagzeilen der letzten Monate!

Hacking in den Schlagzeilen

Im Jahr 2021 gab es kaum einen Tag, an dem die Medien nicht über neue Sicherheitslücken, Angriffe oder Machenschaften von Cyberkriminellen berichteten. Im Folgenden schauen wir uns Monat für Monat an, welche die größten Schlagzeilen waren. Dabei erhebt diese Aufstellung keinesfalls den Anspruch auf Vollständigkeit – wir fokussieren uns auf die aufsehenerregendsten Fälle.

Januar: Dating mit Folgen, SolarWinds & Gefahr für Brasilianer:innen

Der Januar 2021 begann gleich mit einem Hack gigantischen Ausmaßes: SolarWinds wurde im Jahr 2020 gehackt und über 18.000 Organisationen, Behörden und Unternehmen waren zu Beginn des Jahres 2021 mit den Folgen beschäftigt. Cyberkriminellen war es gelungen, mit Sunburst eine Schadsoftware auf den Update-Server der IT-Management-Software Orion aus dem Hause SolarWinds zu platzieren. Die Folge: Die Schadsoftware wurde etliche Male über die hauseigenen Update-Server heruntergeladen. Welche SolarWinds-Kunden betroffen waren und wie die Untersuchungen verliefen, darüber berichteten wir im Januar 2021 in unserem Beitrag „SolarWinds-Hack: Cyberattacke sorgt für globale Alarmstimmung“.

Romantiksuchende, die zum Valentinstag 2021 vielleicht frisch verliebt sein wollten, verging diese Stimmung sicherlich, als sie Ende Januar von einem Hack auf eine Dating-Plattform erfuhren: Details von mehr als 2,28 Millionen Nutzenden wurden veröffentlicht. Wenngleich laut Betreibenden keine Zahlungsinformationen darunter waren, handelte es sich um sehr private Informationen. Informationen von ZDNet zufolge handelte es sich bei der 1,2 GB großen Datei, die in einem öffentlich zugänglichen Hackerforum gefunden wurde, um die Kopie einer Datenbank der Dating-Plattform MeetMindful. Neben Namen und Geburtstagen enthielt die Datenbank E-Mail-Adressen, Wohnorte, körperliche Details, die IP-Adressen, den Familienstand, Facebook-Informationen und verschlüsselte Kennwörter. Das Datenleck wurde von MeetMindful geschlossen, außerdem die Sicherheitsvorkehrungen erhöht.

Nahezu alle Brasilianerinnen und Brasilianer waren im Januar 2021 durch einen Datenklau gefährdet – die vermutliche Quelle des Datendiebstahls, eine Bonitätsagentur, wies jedoch alle Schuld von sich. Betroffen waren die Datensätze von mehr als 220 Millionen Brasilianer:innen. In den geleakten Datenbanken waren neben den vollständigen Namen auch die Geburtsdaten und Steuernummern (Cadastro de Pessoas Físicas; CPF) der Bürger:innen enthalten. Insbesondere letztere, die CPF, spielen in Brasilien eine tragende Rolle: Die CPF dient zum Identifizieren von Bürger:innen. Sie wird bei allen erdenklichen Gelegenheiten – für Mietverträge, zur Kontoeröffnung oder für Behördengänge – verlangt, sie gehört also zu den wichtigsten Identifikationsmerkmalen brasilianischer Bürger:innen. Wenn nun in Ihnen Erinnerungen an einen anderen Fall hochkommen, ist das wenig verwunderlich: Der brasilianische Fall erinnert an das Desaster in den USA rund um Equifax, bei dem ein Hack mit ähnlichem Ausmaß durch simple Maßnahmen hätte vermieden werden können (wir berichteten).

Im Falle Brasiliens waren die Informationen von 220 Bürger:innen betroffen – offenbar befanden sich auch Datensätze von Verstorbenen darunter, denn Brasilien zählt derzeit rund 212 Millionen Einwohner:innen. Neben personenbezogenen Informationen fanden sich laut heise online auch Fahrzeugdaten in den Datenbank-Kopien. Allem Anschein nach stammt die Datenbank von der Bonitätsbewertungsfirma Seresa Experian – vergleichbar mit der deutschen Schufa. Doch das Unternehmen streitet ab, die Quelle zu sein und reagiert mit Intransparenz, wie heise etwa einen Monat nach dem Vorfall berichtete.

Februar: Aufbereitungsanlage & Gaming-Entwickler im Visier

Im Februar konnte ein folgenschwerer Hacking-Angriff glücklicherweise verhindert werden: Im US-Bundesstaat Florida plante ein Hacker, Wasser im öffentlichen Versorgungsnetzwerk zu verseuchen. Dabei wollte der Hacker die Chemikalienzufuhr in einer Wasseraufbereitungsanlage manipulieren. Glücklicherweise wurde der Angriff rechtzeitig entdeckt und ließ sich abwehren. Wie der Tagesspiegel seinerzeit berichtete, bat man die US-Bundespolizei FBI und den Secret Service als nationalen Sicherheitsdienst bei den Ermittlungen um Hilfe.

Der Hacking-Angriff auf den polnischen Spieleentwickler CD Projekt Red (CDPR) zeigt, dass Wirtschaftsspionage eines der Motive für Angriffe sein kann: Die Macher von Games wie „Cyberpunk 2077“ oder „The Witcher“ teilten im Februar 2021 mit, Opfer eines Hackerangriffs geworden zu sein. Angreifende hätten offenbar Daten kopiert, außerdem Teile des Systems verschlüsselt und eine Botschaft in einer Textdatei hinterlassen:

Man habe das Studio „episch“ aufs Kreuz gelegt. Außerdem: „Wir haben komplette Kopien vom Performance-Server für Cyberpunk 2077, Witcher 3, Gwent und der unveröffentlichten Version von Witcher 3 kassiert“. Betroffen seien außerdem Dokumente aus Zahlungsvorgängen, aus administrativen und rechtlichen Bereichen und aus der Personalabteilung. Die Unternehmensserver seien zwar verschlüsselt, jedoch rechneten die Kriminellen damit, dass CDPR Backups habe. Deshalb drohten die Angreifenden mit der Veröffentlichung des Quellcodes der Spiele und der internen Dokumente, wenn man sich nicht einigen würde. Das Unternehmen stellte klar, dass es den Forderungen der Angreifenden nicht nachkommen werde, wie die FAZ berichtete.

März: Hack führt zu „Bedrohungslage rot“

Die Exchange-Server aus dem Hause Microsoft sind ein ausgesprochen beliebter Dienst für die Steuerung der E-Mail-Kommunikation in Netzwerken – dementsprechend häufig findet Microsoft Exchange auch Einsatz. Als Microsoft Anfang März vier Schwachstellen mit einem außerplanmäßigen Sicherheitspatch schließen wollte, fing alles noch ganz harmlos an – es handelte sich laut Microsoft um mäßige Bedrohungen.

Nach einigen Warnungen im Vorfeld, die Microsoft einfach verpuffen ließ, war das Chaos schon bald perfekt: die mittlerweile als kritisch eingestuften Lücken wurden aktiv ausgenutzt – und werden es noch immer, denn nach wie vor sind viele Exchange-Server offen. Da Unternehmen genauso wie Banken und Behörden betroffen waren (und teils noch sind), sah sich das BSI gezwungen, die IT-Bedrohungslage rot auszurufen. Laut CERT-Bund seien allein in Deutschland bis zu 58.000 Systeme potenziell verwundbar – auch Betreibende kritischer Infrastrukturen (KRITS) waren betroffen. In unserem Blogbeitrag „Microsoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot“ haben wir diesen Fall für Sie zusammengefasst und Tipps gegeben, wie Sie mit den kritischen Lücken umgehen.

Hacking im April: TU Berlin & Quanta

Wir schreiben den 30. April 2021, es ist früher Morgen: Mitarbeitende der Technischen Universität Berlin (TU Berlin) stellten Anomalien fest. Man reagierte zügig und fuhr die Server vorsorglich herunter – doch getroffen wurde die TU Berlin durch den Hacking-Angriff: Weder das hausinterne WLAN noch das TU-Portal, die VPN-Clients oder die SAP-Anwendungen funktionierten. Zugriffe auf den E-Mail-Dienst und die Cloud waren nicht mehr möglich. In enger Zusammenarbeit vom hauseigenen IT-Notfallstab, dem BSI und einem IT-Krisendienstleister fand man heraus, dass es sich offenbar um einen Angriff der Hackergruppe Conti handelte. Auf einer eigens eingerichteten Site informiert die TU Berlin bis heute über den Stand der Dinge.

Seit einigen Jahren macht die Ransomware-Gang REvil von sich Reden – und zwar insbesondere mit extrem hohen Lösegeldforderungen. Wie wir in unserem Beitrag „Ransomware-Angriffe nehmen zu“ berichtet haben, hatte es die Gruppe im April 2021 auch auf den Apple-Fertiger Quanta abgesehen. Die Kriminellen forderten die gigantische Summe von 50 Millionen US-Dollar und drohten mit der Veröffentlichung von erbeuteten Informationen – mitunter Blueprints von Apples Hardware. Mitte März hatte es die REvil-Gang bereits auf Acer abgesehen, im März folgte ein Hackerangriff auf das US-Unternehmen Kaseya; zuletzt sogar mit Forderungen von 70 Millionen US-Dollar. Im November 2021 gelang Ermittelnden ein Schlag gegen die Ransomware-Gang REvil; vor wenigen Tagen soll die Zerschlagung der Gruppe gelungen sein.

Mai: irischer Gesundheitsdienst & US-Benzin-Pipeline lahmgelegt

Im Mai führte ein Hackerangriff auf Irlands öffentlichen Gesundheitsdienst HSE dazu, dass alle IT-Systeme heruntergefahren werden mussten. Eine Dubliner Klinik ging in den Notbetrieb. Wie die Tageschau berichtete, handelte es sich um einen „sehr ausgefeilten Angriff“, nicht um eine Standardattacke.

In den USA musste im Mai eine der wichtigsten Benzin-Pipelines nach einem Ransomware-Angriff abgeschaltet werden, mit der die US-Ostküste versorgt wird. Die Ransomware-Gruppe Darkside soll in das Netzwerk des Betreibers Colonial eingedrungen sein und etwa 100 GB an Daten kopiert haben. Im Anschluss wurden die Rechner verschlüsselt, erklärte das Magazin Bloomberg. Die in der Folge abgeschaltete Pipeline transportiert täglich rund 400 Millionen Liter Heizöl für die US-Ostküste – dieser Angriff hatte also verheerende Folgen.

Juni: Großunternehmen unter Druck

Im Juni ging es heiß her: Zunächst war JBS – der größte Fleischkonzern der Welt – betroffen. Ein Ransomware-Angriff traf den brasilianischen Konzern, der vergleichsweise zügig wieder zum Normalbetrieb zurückfand. Weiter ging es mit dem Online-Händler Pearl, der seinen Shop sogar vom Netz nehmen musste: Ein Hackerangriff auf die IT-Systeme führte dazu, dass die Angreifenden Zugriff auf virtuelle Server und Maschinen gehabt hätten, wie heise online berichtete.

Nach CDPR traf es mit Electronic Arts (EA) in 2021 einen weiteren Gaming-Entwickler: 780 GB Quellcode und Software wurden angeblich erbeutet. Kriminellen gelang offenbar der Zugriff aufs Netzwerk und das Kopieren besagter Daten. Betroffen waren mitunter der Quellcode zur Fußballspielserie FIFA und die Spielengine Frostbite. Wie Golem.de berichtete, brüsteten sich die Hacker in einem Hackerforum damit, den Quellcode von FIFA 21 und den Code für den Matchmaking-Server gestohlen zu haben.

Mit McDonald’s war 2021 auch der weltgrößte Fast-Food-Konzern von einer Cyberattacke betroffen: Hacker hatten Zugriff auf einige Daten, darunter auch persönliche Informationen. Betroffen waren die Länder USA, Taiwan und Südkorea; aus letzteren beiden seien auch Kundendaten abgegriffen worden. In den USA seien Daten von Mitarbeitenden, Franchise-Nehmenden und einzelnen Restaurants ebenfalls betroffen.

Juli: Schwedens Supermärkte schließen

Der Hackerangriff auf die US-Firma Kaseya hatte Auswirkungen, die in der ganzen Welt spürbar waren: So funktionierten etwa die Kassensysteme in der schwedischen Supermarktkette Coop nicht mehr. Wieder steckte die Ransomware-Gruppe REvil hinter dem Angriff; wir berichteten. REvil gelang es, mit VSA das Desktop-Management-Tool von Kaseya zu kapern und ein verseuchtes Update einzuspielen. Dementsprechend waren Unternehmen auf der ganzen Welt betroffen – auch IT-Dienstleistende und weitere Firmen aus Deutschland.

August: Pegasus spioniert, Gigabyte & T-Mobile werden Opfer von Hacking

Das Jahr 2021 hatte einen Dauerbrenner zum Thema: Die NSO-Spyware Pegasus. Im August kamen Berichte an die Oberfläche, die zeigten, dass Schwachstellen in iOS 14 die Installation der Spähsoftware erlaubten. Leider blieb offen, ob Apple die Schwachstellen, die Pegasus nutzte, mit der Folgeversion iOS 14.7.1 beseitigt wurden.

Gigabyte – einer der bekanntesten Hardware-Hersteller – wurde Opfer eines Ransomware-Angriffs auf die internen IT-Systeme: Daten wurden verschlüsselt und, wie Bleepingcomputer.com berichtete, offenbar auch entwendet. Das Unternehmen reagierte, indem man Systeme abschaltete und die Strafverfolgungsbehörden informierte. Eine kleine Anzahl an Servern sei betroffen gewesen, die Supportseite war länger nicht erreichbar.

Millionen von sensiblen Kundendaten wurden offenbar bei einem Angriff auf die Telekom-Tochter T-Mobile US erbeutet – wir berichteten: Die Namen der Kund:innen waren genauso betroffen wie deren Sozialversicherungsnummern, Geburts- sowie Führerscheindaten. Betroffen waren die Daten von 7,8 Millionen Vertragskund:innen sowie 40 Millionen frühere oder potenzielle Kund:innen. Das Datenleck konnte geschlossen werden, die Ermittlungen wurden aufgenommen.

September: 30.000 Passwörter als Beute aus der Schweiz

Im September traf es das Schweizer Unternehmen Suisse Velo – einen Anbieter von Fahrrad-Schutzdienstleistungen wie dem Bikefinder, Vollkaskoversicherungen oder Pannenhilfe für Fahrradfahrende. Erbeuten konnten die Hacker Account-Informationen von rund 30.000 Nutzenden, also E-Mail-Adressen und Passwörtern, jedoch keine weiteren Daten. Die Schwachstelle konnte identifiziert und behoben werden; Kund:innen wurden gebeten, ihr Passwort zurückzusetzen.

Oktober: Acer-Server und Syniverse-Hack

Erneut wurde Acer im Oktober Opfer eines Hacker-Angriffs – diesmal wurden Server in Indien und Taiwan gehackt. Anfang Oktober sollen die Angreifenden zunächst in die indischen Acer-Server eingedrungen, um dort Kunden- sowie Firmendaten zu erbeuten. Einige Tage später verschafften sich offenbar dieselben Hacker Zugang zu taiwanesischen Acer-Servern, um sich hier an Daten von Mitarbeitenden zu bereichern.

Syniverse – ein Unternehmensname, der hierzulande wohl kaum Bekanntheit hat – ist ein Spezialist darin, Nachrichten zwischen verschiedenen Mobilfunkprovidern auszutauschen, also sowohl SMS als auch Meta-Informationen wie Routing-, Kunden- oder Service-Kosten-Informationen. Wie sich im Oktober herausstellte, gestand dieses Unternehmen der US-Börsenaufsicht SEC quasi nebenbei, dass es im Mai 2016 gehackt wurde und dies erst im Mai 2021 intern bemerkt wurde. Offensichtlich hatten Hacker also sagenhafte fünf Jahre Zugang zu Milliarden von SMS von Milliarden Mobilfunknutzenden auf der ganzen Welt! Vielleicht lässt sich eine annähernde Zahl kalkulieren, wenn man weiß, dass Syniverse jährlich mehr als 740 Milliarden Textnachrichten bearbeitet. Sicherheitsexperten sprachen seinerzeit von einer „globalen Privatsphäre-Katastrophe“ und dass detaillierte Profilerstellungen möglich seien. Syniverse selbst schwieg sich aus: Es gab keine Informationen über das Wer, über das Wie oder über das Warum.

November: Hacking, Ransomware & Spam

Im November 2021 räumte die Trading-Plattform Robinhood einen Hackerangriff ein. Dem Unternehmen zufolge waren Millionen Kundendaten, darunter E-Mail-Adressen und Namen und bei rund 340 Kund:innen auch weitere Daten, betroffen. Der Vorfall wurde am Abend des 3. Novembers entdeckt, jedoch seien keine Sozialversicherungsnummern, Bank- oder Kreditkartendaten kompromittiert worden. Offenbar war es Angreifenden per Social Engineering gelungen, über einen Mitarbeiter im Kundensupport Zugang zu den Systemen zu erhalten.

Ebenfalls im November mussten sich die Elektronikmärkte der Ceconomy AG mit einem Ransomware-Angriff auseinandersetzen: Sämtliche Landesgesellschaften der MediaMarktSaturn-Holding waren betroffen. 3.100 Windows-Server seien mit dem Verschlüsselungstrojaner Hive infiziert worden, sodass die Kassen- und Warenwirtschaftssysteme der Filialen nicht funktionierten wie sie sollten. Mitarbeitende wurden angewiesen, Kassen vom Netz zu nehmen und Rechner nicht zu nutzen. Um die verschlüsselten Daten wieder freizugeben, forderten die Erpressenden 50 Millionen US-Dollar.

Außerdem gelang es Cyberkriminellen im November, einen E-Mail-Server des FBi zu kapern. Sie verschickten mehr als 100.000 Spam-E-Mails, in denen sie vor einem Cyberangriff warnten. Nach einiger Zeit hatte sich eine Person namens „Pompompurin“ gemeldet – sie habe die Aktion durchgeführt, um das FBI auf eine schwere Coding-Lücke zu verweisen.

Dezember: Keine Weihnachtsruhe dank Log4Shell

Das Jahr 2021 endete mit einer weiteren IT-Katastrophe, die alle angeht: Die Log4j-Sicherheitslücke entlockte dem BSI erneut die Warnstufe rot und sorgte dafür, dass kaum ein Administrator besinnliche Weihnachten genießen kann. Die Angriffe, mit denen hierbei zu rechnen sind, rollen bereits an. In unserem Blogbeitrag „Log4j Sicherheitslücke: Das müssen Sie wissen“ erklären wir alles Wesentliche zu Log4Shell.

Hacking, Ransomware & Co.: Investieren Sie in Sicherheit!

Unsere Beispiele zeigen: Niemand ist gefeit vor Hacking, Ransomware & Co. – es kann jeden treffen. Die Folgen sind verheerend: Das Image ist kräftig angekratzt, der Geschäftsbetrieb funktioniert eingeschränkt oder gar nicht mehr – Verluste sind vorprogrammiert. Dabei ist es gar nicht so schwer, eine solide Schutzschicht aufzutragen: Verschlüsseln Sie Ihre Kommunikation, schützen Sie Maschinenidentitäten, authentisieren, authentifizieren und autorisieren Sie sicher und sensibilisieren Sie Ihre Mitarbeitenden. Für all dies sind wir gerne Ihr Ansprechpartner – nehmen Sie einfach Kontakt zu uns auf und freuen Sie sich auf eine bedarfsgerechte Beratung auf Augenhöhe!

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 3


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu