Handelsblatt App
Jetzt 4 Wochen für 1 € Alle Inhalte in einer App
Anzeigen Öffnen
MenüZurück
Wird geladen.

05.07.2021

02:06

Russische Hacker im Verdacht

Cyberangriff in USA trifft Hunderte Firmen – Supermarktkette in Schweden schließt fast alle Filialen

Von: Katharina Kort, Helmut Steuer

Eine Cyberattacke in den USA zieht Kreise bis nach Deutschland. Ziel war die Software des Anbieters Kaseya. US-Präsident Biden lässt klären, ob Russland dahintersteckt.

Auch am Sonntag musste die schwedische Supermarktkette zahlreiche Filialen geschlossen halten. Coop

Coop-Filiale

Auch am Sonntag musste die schwedische Supermarktkette zahlreiche Filialen geschlossen halten.

New York, Stockholm Eine neue Attacke mit Erpressungssoftware hat Hunderte Unternehmen und Zigtausende Computer in den USA und Europa getroffen. In Schweden musste die Supermarktkette Coop ihre Läden schließen.

Hinter den Attacken steckt voraussichtlich die gleiche kriminelle Gruppe, die vor einem Monat den weltgrößten Fleischverarbeiter JBS um elf Millionen Dollar erpresst hat. Die russischsprachige Gruppe, die unter dem Namen REvil bekannt ist, verschlüsselt auf den Computern Daten und verlangt für deren Freigabe 70 Millionen Dollar Lösegeld in Form von Bitcoin.

Mit dem jüngsten Angriff häufen sich die weltweiten Attacken der sogenannten Ransomware-Hacker. Diesmal nutzten die Erpresser eine Schwachstelle beim amerikanischen IT-Dienstleister Kaseya, dessen VSA-Software von Unternehmen genutzt wird, um Updates auf die Firmencomputer zu spielen.

Kaseya hat das Cybersicherheitsunternehmen FireEye Inc angeheuert, um die Folgen der Attacke zu bewältigen. Auf seiner Website teilte das in Miami ansässige Unternehmen Kaseya mit, dass seine Mitarbeiter bei der Untersuchung des Angriffs aktiv mit FireEye und anderen Sicherheitsfirmen zusammenarbeiteten. FireEye hat die Mitarbeit gegenüber Reuters bestätigt.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Das volle Ausmaß der Schäden blieb zunächst unklar. Die IT-Sicherheitsfirma Huntress sprach von mehr als 1000 Unternehmen, bei denen Systeme verschlüsselt worden seien. Die meisten davon seien kleine und mittelgroße Unternehmen.

    Nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden auch Tausende Computer in Deutschland angegriffen. „Ein IT-Dienstleister hat sich gemeldet, weil er betroffen ist“, sagte ein BSI-Sprecher der Nachrichtenagentur Reuters. Die BSI-Experten erwarten, dass am Montag weitere Meldungen einlaufen werden, weil Firmen erst dann Schäden bemerken würden, wenn sie ihre IT-Anlagen zu Wochenbeginn wieder hochfahren.

    Kaseya selbst ließ wissen, dass nur 40 seiner 36.000 Kunden betroffen seien. Allerdings seien 30 davon selbst IT-Dienstleister, die ihrerseits Kunden haben, die zum Ziel der Kriminellen werden können. Kaseya stoppte am Freitag seinen Cloud-Service und warnte die Kunden, sie sollten sofort auch ihre lokal laufenden VSA-Systeme ausschalten. Auch das US-Ministerium für Heimatschutz und das FBI rieten allen Kaseya-Kunden, ihre VSA-Server zu schließen.

    In Schweden waren auch die Bahn, Tankstellen und Apotheken getroffen

    In Schweden musste auch am Sonntag die Mehrzahl der 800 Coop-Supermärkte geschlossen bleiben. „Es läuft eine intensive Arbeit. Aber es sieht so aus, dass die Mehrzahl unserer Geschäfte auch am Sonntag geschlossen bleiben muss“, erklärte ein Sprecher gegenüber der Nachrichtenagentur TT. Nur in wenigen Landesteilen konnten einige Läden wieder öffnen.

    In Schweden klagten neben Coop auch die staatliche Bahngesellschaft SJ, die Tankstellenkette ST1 und der Apothekenbetreiber Apotek Hjärtat über Störungen. In den Bistrowagen der Bahn kann seit Samstag nicht mehr mit Kreditkarte gezahlt werden. Der Fahrplan konnte jedoch eingehalten werden.

    Verteidigungsminister Peter Hultqvist zeigte sich beunruhigt. „In einer anderen sicherheitspolitischen Lage können es staatliche Akteure sein, die uns in diesem Bereich angreifen, um das öffentliche Leben zu stören und für Chaos zu sorgen“, erklärte er im Fernsehsender SVT.

    US-Präsident Joe Biden lässt den Angriff durch die Geheimdienste untersuchen. „Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt – aber wir sind uns noch nicht sicher“, sagte er am Samstag. Biden hatte den russischen Präsidenten Wladimir Putin bei deren Treffen in Genf im Juni aufgefordert, die Aktivitäten von Hackergruppen nicht zu tolerieren, und mit Konsequenzen bei weiteren Attacken gedroht.

    US-Präsident leitet Untersuchung ein

    Vor allem in den USA war es zuletzt zu mehreren großen Attacken mit Erpressungs-Software gekommen. Vor dem Angriff auf den Fleischproduzenten JBS hatten Hacker bei Colonial Pipeline einen Großteil der Erdölversorgung der amerikanischen Ostküste lahmgelegt. Colonial zahlte 4,4 Millionen Dollar in Bitcoin. Davon konnte das Justizministerium jedoch mehr als die Hälfte beschlagnahmen.

    Normalerweise zielen die Hacker nicht auf Großunternehmen: „Ransomware-Hacker sind wie die Mafia: Sie arbeiten im Untergrund und erpressen lieber kleine Läden als den Großkonzern“, erklärt James Lewis, Vizepräsident des auf Fragen der nationalen Sicherheit spezialisierten Thinktanks CSIS (Center for Strategic and International Studies). „Das zieht weniger Aufmerksamkeit auf sich, und die zahlen still.“

    Der deutsche Industrieverband BDI will Cyberattacken mit einer „nationalen Wirtschaftsschutzstrategie“ von Politik und Wirtschaft besser abwehren. „Noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute“, sagte BDI-Sicherheitsexperte Matthias Wachter der „Welt am Sonntag“. Die Zahl der Angriffe sei in der Corona-Pandemie gestiegen, weil Unternehmen im Homeoffice noch verwundbarer seien.

    Im Rahmen des vorgeschlagenen nationalen Konzepts fordert der BDI unter anderem, dass die Bundesregierung einen „Koordinator für Wirtschaftsschutz“ im Rang eines Staatsministers oder Staatssekretärs einsetzt. Zudem solle ein nationales Wirtschaftsschutzzentrum als öffentlich-private Partnerschaft eingerichtet werden, das als Schnittstelle zwischen Sicherheitsbehörden und Unternehmen fungieren solle.

    Direkt vom Startbildschirm zu Handelsblatt.com

    Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

    Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

    ×