Das lässt sich noch nicht absehen. Kaseya hat weltweit 36.000 Kunden. Wenn bei diesen Kunden Updates aufgespielt werden müssen, erledigt Kaseya das für die. Oder wenn ein Kunde eine neue Software braucht, dann bekommt er die direkt von diesem Dienstleister. Da muss kein Systemadministrator mehr Hand anlegen. An deren Computernetzwerken dürften mehrere hunderttausend Endgeräte hängen. Die sind über das Fernwartungssystem von Kaseya erreichbar. Wieviele von denen ausspioniert wurden, um dann Daten zu verschlüsseln und die Betreiber anschließend zu erpressen, damit diese wieder Zugriff auf ihre Daten bekommen, wissen wir nicht. Bisher wird von einer Gesamterpressungssumme von 70 Millionen Dollar gesprochen. Aber die hat mir noch kein Behörden- oder Unternehmenssprecher offiziell bestätigt.

Schon gestern hat sich ein IT-Dienstleister aus Deutschland an das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, gewandt und mitgeteilt, dass er die Fernwartungssoftware VSA von Kaseya einsetzt. Gestern Abend sollen 5000 Computer davon betroffen gewesen. Die Zahl soll heute auf mehr als 20.000 gestiegen sein. Auch da liegen aber keine offiziellen Zahlen vor, sondern nur Schätzungen aus Sicherheitskreisen.

Die haben im Fall Kaseya eine Sicherheitslücke ausgenutzt, einen Erpressungstrojaner in die Fernwartungssoftware VSA eingeschleust, und der wurde dann per Fernwartung, wenn ein Update aufgespielt werden musste, wenn ein System repariert werden musste, dann auf dieses System gespielt. Kaseya hat die Wartungscloud am Freitag abgeschaltet und die Kunden aufgefordert, die lokal laufenden Fernwartungssystemen auch abzuschalten. Die Sicherheitslücke soll demnächst geschlossen werden, heißt es. Kaseya wollte dazu keine Details bekannt geben.

Die ersten Lösegeldforderungen sind bekannt geworden. Das Problem dabei: Auch Firmen, die aktuelle Backups ihrer Daten haben, werden voraussichtlich bezahlen. Denn die Strategie der Online-Kriminellen hat sich geändert. Die verschlüsseln nicht einfach nur Festplatten und verlangen für den Schlüssel Lösegeld. Sie saugen zuvor sensible, vertrauliche Daten ab, verschlüsseln dann. Das Erpressungsgeschäft verläuft zweistufig: Erstens wird für den Schlüssel bezahlt und zweitens dafür, dass die sensiblen Daten nicht veröffentlicht werden.

Sicherheitsforscher haben die seit ungefähr einem halben Jahr im Blick. Die Gruppe soll von Russland aus operieren. Aber das heißt nicht, dass sie für die Regierung arbeite. Wir haben es hier mit klassischer organisierter Kriminalität zu tun. Das Erpressungsgeschäft bringt hohe Gewinne bei geringem Risiko. Und deshalb haben die Attacken mit Erpressungssoftware seit gut zwei Jahren erheblich zugenommen. Die Gruppe Revil geht dabei sehr sorgfältig vor, d.h. die analysieren jedes Computernetzwerk, dessen Daten sie anschließend absaugen und das sie dann verschlüsseln wollen. Und erst wenn sie ein komplettes Kataster dieses Computernetzwerks erstellt haben, dann schlagen sie zu.

Der langfristige Schutz muss an drei Punkten ansetzen: 1. Wir brauchen endlich ein besseres Management der Sicherheitslücken. Denn die werden für Sicherheitsbehörden offen gehalten, damit die ihre Abhöraktionen und Online-Ermittlungen auf Basis dieser Sicherheitslücken führen können. Alle Sicherheitslücken müssen gemeldet und geschlossen werden. Auch im neuen IT-Sicherheitsgesetz 2.0 haben wir immer noch keine Meldepflicht für Sicherheitslücken.

Und was wir dann noch brauchen, zweitens: Wir haben in Sachen Fernwartung zu viel automatisiert. Das schafft zu viele Angriffspunkte, z.B. bei automatischen Updates. Da braucht es den geübten Blick von Systemadministratoren. Und drittens: Die Sicherheitsindustrie muss gezielter auf derartige Attacken vorbereitet sein, z. B. Verschlüsselungssoftware muss schon bei Zugriff auf bestimmte Speicheradressen im Arbeitsspeicher abgefangen und unschädlich gemacht werden.