Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Tausende Server sind betroffen: Eine neue Angriffswelle mit Erpressungssoftware hat Organisationen in aller Welt getroffen. Dabei wäre der Schutz in diesem Fall einfach gewesen.
Netzwerkserver in einem Büro
Weltweit seien etwa 84.000 Server mit der betroffenen Software installiert, in Deutschland etwa 7000.
Bild: E+/Getty Images
Bonn Eine neue Welle von Erpressungssoftware hat zahlreiche Organisationen in aller Welt lahmgelegt – auch in Deutschland. Die unbekannten Täter nutzen eine Sicherheitslücke in einem Programm des Softwareherstellers VMware, um in Server einzudringen und wichtige Daten zu verschlüsseln.
Tausende Systeme seien weltweit mit Ransomware infiziert worden, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag mit. In Deutschland gebe es nach aktuellem Kenntnisstand eine „mittlere dreistellige Zahl an Betroffenen“. Weitere regionale Schwerpunkte seien Frankreich, die USA und Kanada.
Als Ransomware bezeichnen Fachleute schädliche Software, mit der kriminelle Gruppen in die IT-Systeme von Organisationen eindringen und wichtige Daten verschlüsseln. Für die Freigabe verlangen sie ein Lösegeld (Englisch: „ransom“), zu zahlen in einer Kryptowährung wie Bitcoin oder Monero. Das BSI bezeichnet die Masche als „Hauptbedrohung für Unternehmen“.
>> Lesen Sie hier: Experten für die Cyberabwehr werden knapp
Die Sicherheitslücke befindet sich in der Virtualisierungslösung ESXi, die physische Server in mehrere virtuelle Maschinen aufteilt. Sicherheitsforscher bewerten sie als äußerst kritisch, im international anerkannten Bewertungsstandard CVSS erreicht sie nach BSI-Angaben einen Wert von 8,8 – die höchstmögliche Zahl ist 10.
Hersteller VMware bietet seit Februar 2021 ein Sicherheitsupdate an, mit dem sich die Sicherheitslücke schließen lässt. Viele Organisationen haben dieses aber offenbar noch nicht eingeführt. „Wer bisher die Patches nicht installiert hat, sollte hier schnellstens aktiv werden“, sagte Tim Berghoff vom Bochumer IT-Sicherheitsspezialisten G Data Cyber Defense.
Bei den Tätern handelt es sich nach Einschätzung der italienischen Regierung um Kriminelle. „Es gibt keine Beweise, die auf eine Aggression durch einen Staat oder eine feindliche staatsähnliche Organisation hindeuten“, teilte sie am Montag mit. Die dortige Cybersicherheitsbehörde ACN hatte bereits am Wochenende vor der Attacke gewarnt.
Konkretere Aussagen zum Ausmaß von Schäden sind nach Angaben des BSI noch nicht möglich. Die Behörde befürchtet jedoch, dass die Auswirkungen groß sein könnten: „Die massenhafte Ausnutzung der Schwachstelle durch Ransomware kann zu erheblichen Beeinträchtigungen der Abläufe in zahlreichen Organisationen führen.“ Das gelte auch für kritische Infrastrukturen.
Rund um Ransomware hat sich eine kriminelle Industrie entwickelt. IT-Sicherheitsforscher beobachten, dass die Täter sich professionalisieren und immer stärker arbeitsteilig vorgehen. So gibt es Organisationen, die die Software entwickeln, während sich andere Gangs aufs Einbrechen in IT-Systeme spezialisieren – beispielsweise durch bekannte Sicherheitslücken.
Der aktuelle Vorfall zeigt daher einmal mehr, dass viele IT-Organisationen bei der IT-Sicherheit Schwächen haben. G-Data-Experte Berghoff verweist auf die Bedeutung des sogenannten Patch Managements, also der systematischen Aktualisierung von IT-Systemen: „Auch eine alte Sicherheitslücke kann zum Problem werden.“
Das BSI empfiehlt zudem, dass „die Notwendigkeit und Art der Erreichbarkeit eigener Systeme aus dem Internet beziehungsweise Intranet überprüft werden“ sollten. Eine Erfahrung der IT-Sicherheitsbranche lautet: Nicht selten nutzen Hacker Sicherheitslücken auf Geräten als Einfallstor, die in der Organisation aus dem Blick geraten sind.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×