Archiv

Erpressungssoftware per Fernwartung
Was steckt hinter dem Online-Angriff auf Kaseya?

800 Läden der schwedischen Supermarktkette Coop mussten am Freitag schließen. Denn Hacker hatten die Computer des Zahlungsdienstleisters Visma Esscom lahmgelegt. Dahinter steckte eine Attacke auf den amerikanischen IT-Dienstleister Kaseya. Über dessen Fernwartungssoftware wurde ein Erpressungstrojaner verteilt.

Von Peter Welchering |
Illustration: Ein Mann ohne Gesicht mit Kapuze vor einem Hintergrund aus Binärcodes.
Wer steckt hinter dem Cyberangriff auf den IT-Dienstleister Kaseya? (imago / agefotostock)

Wie viele Computer sind davon betroffen?

Das lässt sich noch nicht absehen. Kaseya hat weltweit 36.000 Kunden. Wenn bei diesen Kunden Updates aufgespielt werden müssen, erledigt Kaseya das für die. Oder wenn ein Kunde eine neue Software braucht, dann bekommt er die direkt von diesem Dienstleister. Da muss kein Systemadministrator mehr Hand anlegen. An deren Computernetzwerken dürften mehrere hunderttausend Endgeräte hängen. Die sind über das Fernwartungssystem von Kaseya erreichbar. Wieviele von denen ausspioniert wurden, um dann Daten zu verschlüsseln und die Betreiber anschließend zu erpressen, damit diese wieder Zugriff auf ihre Daten bekommen, wissen wir nicht. Bisher wird von einer Gesamterpressungssumme von 70 Millionen Dollar gesprochen. Aber die hat mir noch kein Behörden- oder Unternehmenssprecher offiziell bestätigt.

Sind auch deutsche Unternehmen betroffen?

Schon gestern hat sich ein IT-Dienstleister aus Deutschland an das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, gewandt und mitgeteilt, dass er die Fernwartungssoftware VSA von Kaseya einsetzt. Gestern Abend sollen 5000 Computer davon betroffen gewesen. Die Zahl soll heute auf mehr als 20.000 gestiegen sein. Auch da liegen aber keine offiziellen Zahlen vor, sondern nur Schätzungen aus Sicherheitskreisen.

Wie kommt die Ransomware auf den Rechner?

Die haben im Fall Kaseya eine Sicherheitslücke ausgenutzt, einen Erpressungstrojaner in die Fernwartungssoftware VSA eingeschleust, und der wurde dann per Fernwartung, wenn ein Update aufgespielt werden musste, wenn ein System repariert werden musste, dann auf dieses System gespielt. Kaseya hat die Wartungscloud am Freitag abgeschaltet und die Kunden aufgefordert, die lokal laufenden Fernwartungssystemen auch abzuschalten. Die Sicherheitslücke soll demnächst geschlossen werden, heißt es. Kaseya wollte dazu keine Details bekannt geben.
Die ersten Lösegeldforderungen sind bekannt geworden. Das Problem dabei: Auch Firmen, die aktuelle Backups ihrer Daten haben, werden voraussichtlich bezahlen. Denn die Strategie der Online-Kriminellen hat sich geändert. Die verschlüsseln nicht einfach nur Festplatten und verlangen für den Schlüssel Lösegeld. Sie saugen zuvor sensible, vertrauliche Daten ab, verschlüsseln dann. Das Erpressungsgeschäft verläuft zweistufig: Erstens wird für den Schlüssel bezahlt und zweitens dafür, dass die sensiblen Daten nicht veröffentlicht werden.

Hinter dem Hack soll die russische Gruppe REvil oder R-Evial stecken. Was wissen wir von der?

Sicherheitsforscher haben die seit ungefähr einem halben Jahr im Blick. Die Gruppe soll von Russland aus operieren. Aber das heißt nicht, dass sie für die Regierung arbeite. Wir haben es hier mit klassischer organisierter Kriminalität zu tun. Das Erpressungsgeschäft bringt hohe Gewinne bei geringem Risiko. Und deshalb haben die Attacken mit Erpressungssoftware seit gut zwei Jahren erheblich zugenommen. Die Gruppe Revil geht dabei sehr sorgfältig vor, d.h. die analysieren jedes Computernetzwerk, dessen Daten sie anschließend absaugen und das sie dann verschlüsseln wollen. Und erst wenn sie ein komplettes Kataster dieses Computernetzwerks erstellt haben, dann schlagen sie zu.

Wie können sich Unternehmen vor solchen Attacken schützen?

Der langfristige Schutz muss an drei Punkten ansetzen: 1. Wir brauchen endlich ein besseres Management der Sicherheitslücken. Denn die werden für Sicherheitsbehörden offen gehalten, damit die ihre Abhöraktionen und Online-Ermittlungen auf Basis dieser Sicherheitslücken führen können. Alle Sicherheitslücken müssen gemeldet und geschlossen werden. Auch im neuen IT-Sicherheitsgesetz 2.0 haben wir immer noch keine Meldepflicht für Sicherheitslücken.
Manuel Höferlin in der 237. Sitzung des Deutschen Bundestages im Reichstagsgebäude.
Auch der FDP-Politiker Manuel Höferlin hat im Deutschlandfunk auf die Gefahr offener Softwarelücken hingewiesen und deren Bereinigung gefordert. Der aktuelle Hackerangriff auf Kaseya sei ein "Paradebeispiel, wie gefährlich es ist, Sicherheitslücken offenzuhalten."
Und was wir dann noch brauchen, zweitens: Wir haben in Sachen Fernwartung zu viel automatisiert. Das schafft zu viele Angriffspunkte, z.B. bei automatischen Updates. Da braucht es den geübten Blick von Systemadministratoren. Und drittens: Die Sicherheitsindustrie muss gezielter auf derartige Attacken vorbereitet sein, z. B. Verschlüsselungssoftware muss schon bei Zugriff auf bestimmte Speicheradressen im Arbeitsspeicher abgefangen und unschädlich gemacht werden.