Hacking mit Folgen wie Ransomware oder anderer eingeschleuster Malware war im Jahr 2021 omnipr\u00e4sent: Zahlreiche Unternehmen jedweder Gr\u00f6\u00dfe und Branche sind Opfer geworden. Im heutigen Blogbeitrag geben wir Ihnen einen \u00dcberblick \u00fcber Unternehmen, die es im Jahre 2021 schwer getroffen hat. Unser Ziel ist es, Sie damit zu sensibilisieren: IT-Sicherheit ist eines der Themen unserer Zeit \u2013 jedes Unternehmen muss sich damit auseinandersetzen vom KMU bis zum gro\u00dfen Konzern. Lesen Sie weiter und verschaffen Sie sich einen kompakten \u00dcberblick \u00fcber die Schlagzeilen der letzten Monate!<\/p>\n
Im Jahr 2021 gab es kaum einen Tag, an dem die Medien nicht \u00fcber neue Sicherheitsl\u00fccken, Angriffe oder Machenschaften von Cyberkriminellen berichteten. Im Folgenden schauen wir uns Monat f\u00fcr Monat an, welche die gr\u00f6\u00dften Schlagzeilen waren. Dabei erhebt diese Aufstellung keinesfalls den Anspruch auf Vollst\u00e4ndigkeit \u2013 wir fokussieren uns auf die aufsehenerregendsten F\u00e4lle.<\/p>\n
Der Januar 2021 begann gleich mit einem Hack gigantischen Ausma\u00dfes: SolarWinds wurde im Jahr 2020 gehackt und \u00fcber 18.000 Organisationen, Beh\u00f6rden und Unternehmen waren zu Beginn des Jahres 2021 mit den Folgen besch\u00e4ftigt. Cyberkriminellen war es gelungen, mit Sunburst eine Schadsoftware auf den Update-Server der IT-Management-Software Orion aus dem Hause SolarWinds zu platzieren. Die Folge: Die Schadsoftware wurde etliche Male \u00fcber die hauseigenen Update-Server heruntergeladen. Welche SolarWinds-Kunden betroffen waren und wie die Untersuchungen verliefen, dar\u00fcber berichteten wir im Januar 2021 in unserem Beitrag \u201eSolarWinds-Hack: Cyberattacke sorgt f\u00fcr globale Alarmstimmung\u201c<\/a>.<\/p>\n Romantiksuchende, die zum Valentinstag 2021 vielleicht frisch verliebt sein wollten, verging diese Stimmung sicherlich, als sie Ende Januar von einem Hack auf eine Dating-Plattform erfuhren: Details von mehr als 2,28 Millionen Nutzenden wurden ver\u00f6ffentlicht. Wenngleich laut Betreibenden keine Zahlungsinformationen darunter waren, handelte es sich um sehr private Informationen. Informationen von ZDNet zufolge<\/a> handelte es sich bei der 1,2 GB gro\u00dfen Datei, die in einem \u00f6ffentlich zug\u00e4nglichen Hackerforum gefunden wurde, um die Kopie einer Datenbank der Dating-Plattform MeetMindful. Neben Namen und Geburtstagen enthielt die Datenbank E-Mail-Adressen, Wohnorte, k\u00f6rperliche Details, die IP-Adressen, den Familienstand, Facebook-Informationen und verschl\u00fcsselte Kennw\u00f6rter. Das Datenleck wurde von MeetMindful geschlossen, au\u00dferdem die Sicherheitsvorkehrungen erh\u00f6ht.<\/p>\n Nahezu alle Brasilianerinnen und Brasilianer waren im Januar 2021 durch einen Datenklau gef\u00e4hrdet \u2013 die vermutliche Quelle des Datendiebstahls, eine Bonit\u00e4tsagentur, wies jedoch alle Schuld von sich. Betroffen waren die Datens\u00e4tze von mehr als 220 Millionen Brasilianer:innen. In den geleakten Datenbanken waren neben den vollst\u00e4ndigen Namen auch die Geburtsdaten und Steuernummern (Cadastro de Pessoas F\u00edsicas; CPF) der B\u00fcrger:innen enthalten. Insbesondere letztere, die CPF, spielen in Brasilien eine tragende Rolle: Die CPF dient zum Identifizieren von B\u00fcrger:innen. Sie wird bei allen erdenklichen Gelegenheiten \u2013 f\u00fcr Mietvertr\u00e4ge, zur Kontoer\u00f6ffnung oder f\u00fcr Beh\u00f6rdeng\u00e4nge \u2013 verlangt, sie geh\u00f6rt also zu den wichtigsten Identifikationsmerkmalen brasilianischer B\u00fcrger:innen. Wenn nun in Ihnen Erinnerungen an einen anderen Fall hochkommen, ist das wenig verwunderlich: Der brasilianische Fall erinnert an das Desaster in den USA rund um Equifax, bei dem ein Hack mit \u00e4hnlichem Ausma\u00df durch simple Ma\u00dfnahmen h\u00e4tte vermieden werden k\u00f6nnen (wir berichteten<\/a>).<\/p>\n Im Falle Brasiliens waren die Informationen von 220 B\u00fcrger:innen betroffen \u2013 offenbar befanden sich auch Datens\u00e4tze von Verstorbenen darunter, denn Brasilien z\u00e4hlt derzeit rund 212 Millionen Einwohner:innen. Neben personenbezogenen Informationen fanden sich laut heise online auch Fahrzeugdaten in den Datenbank-Kopien. Allem Anschein nach stammt die Datenbank von der Bonit\u00e4tsbewertungsfirma Seresa Experian \u2013 vergleichbar mit der deutschen Schufa. Doch das Unternehmen streitet ab, die Quelle zu sein und reagiert mit Intransparenz, wie heise etwa einen Monat nach dem Vorfall berichtete<\/a>.<\/p>\n Im Februar konnte ein folgenschwerer Hacking-Angriff gl\u00fccklicherweise verhindert werden: Im US-Bundesstaat Florida plante ein Hacker, Wasser im \u00f6ffentlichen Versorgungsnetzwerk zu verseuchen. Dabei wollte der Hacker die Chemikalienzufuhr in einer Wasseraufbereitungsanlage manipulieren. Gl\u00fccklicherweise wurde der Angriff rechtzeitig entdeckt und lie\u00df sich abwehren. Wie der Tagesspiegel seinerzeit berichtete<\/a>, bat man die US-Bundespolizei FBI und den Secret Service als nationalen Sicherheitsdienst bei den Ermittlungen um Hilfe.<\/p>\n Der Hacking-Angriff auf den polnischen Spieleentwickler CD Projekt Red (CDPR) zeigt, dass Wirtschaftsspionage eines der Motive f\u00fcr Angriffe sein kann: Die Macher von Games wie \u201eCyberpunk 2077\u201c oder \u201eThe Witcher\u201c teilten im Februar 2021 mit, Opfer eines Hackerangriffs geworden zu sein. Angreifende h\u00e4tten offenbar Daten kopiert, au\u00dferdem Teile des Systems verschl\u00fcsselt und eine Botschaft in einer Textdatei hinterlassen:<\/p>\n Man habe das Studio \u201eepisch\u201c aufs Kreuz gelegt. Au\u00dferdem: \u201eWir haben komplette Kopien vom Performance-Server f\u00fcr Cyberpunk 2077, Witcher 3, Gwent und der unver\u00f6ffentlichten Version von Witcher 3 kassiert\u201c. Betroffen seien au\u00dferdem Dokumente aus Zahlungsvorg\u00e4ngen, aus administrativen und rechtlichen Bereichen und aus der Personalabteilung. Die Unternehmensserver seien zwar verschl\u00fcsselt, jedoch rechneten die Kriminellen damit, dass CDPR Backups habe. Deshalb drohten die Angreifenden mit der Ver\u00f6ffentlichung des Quellcodes der Spiele und der internen Dokumente, wenn man sich nicht einigen w\u00fcrde. Das Unternehmen stellte klar, dass es den Forderungen der Angreifenden nicht nachkommen werde, wie die FAZ berichtete<\/a>.<\/p>\n Die Exchange-Server aus dem Hause Microsoft sind ein ausgesprochen beliebter Dienst f\u00fcr die Steuerung der E-Mail-Kommunikation in Netzwerken \u2013 dementsprechend h\u00e4ufig findet Microsoft Exchange auch Einsatz. Als Microsoft Anfang M\u00e4rz vier Schwachstellen mit einem au\u00dferplanm\u00e4\u00dfigen Sicherheitspatch schlie\u00dfen wollte, fing alles noch ganz harmlos an \u2013 es handelte sich laut Microsoft um m\u00e4\u00dfige Bedrohungen.<\/p>\n Nach einigen Warnungen im Vorfeld, die Microsoft einfach verpuffen lie\u00df, war das Chaos schon bald perfekt: die mittlerweile als kritisch eingestuften L\u00fccken wurden aktiv ausgenutzt \u2013 und werden es noch immer, denn nach wie vor sind viele Exchange-Server offen. Da Unternehmen genauso wie Banken und Beh\u00f6rden betroffen waren (und teils noch sind), sah sich das BSI gezwungen, die IT-Bedrohungslage rot auszurufen. Laut CERT-Bund seien allein in Deutschland bis zu 58.000 Systeme potenziell verwundbar \u2013 auch Betreibende kritischer Infrastrukturen (KRITS) waren betroffen. In unserem Blogbeitrag \u201eMicrosoft Exchange-Server-Hack verursacht IT-Bedrohungslage rot\u201c<\/a> haben wir diesen Fall f\u00fcr Sie zusammengefasst und Tipps gegeben, wie Sie mit den kritischen L\u00fccken umgehen.<\/p>\n Wir schreiben den 30. April 2021, es ist fr\u00fcher Morgen: Mitarbeitende der Technischen Universit\u00e4t Berlin (TU Berlin) stellten Anomalien fest. Man reagierte z\u00fcgig und fuhr die Server vorsorglich herunter \u2013 doch getroffen wurde die TU Berlin durch den Hacking-Angriff: Weder das hausinterne WLAN noch das TU-Portal, die VPN-Clients oder die SAP-Anwendungen funktionierten. Zugriffe auf den E-Mail-Dienst und die Cloud waren nicht mehr m\u00f6glich. In enger Zusammenarbeit vom hauseigenen IT-Notfallstab, dem BSI und einem IT-Krisendienstleister fand man heraus, dass es sich offenbar um einen Angriff der Hackergruppe Conti handelte. Auf einer eigens eingerichteten Site informiert die TU Berlin bis heute \u00fcber den Stand der Dinge.<\/p>\n Seit einigen Jahren macht die Ransomware-Gang REvil von sich Reden \u2013 und zwar insbesondere mit extrem hohen L\u00f6segeldforderungen. Wie wir in unserem Beitrag \u201eRansomware-Angriffe nehmen zu\u201c<\/a> berichtet haben, hatte es die Gruppe im April 2021 auch auf den Apple-Fertiger Quanta abgesehen. Die Kriminellen forderten die gigantische Summe von 50 Millionen US-Dollar und drohten mit der Ver\u00f6ffentlichung von erbeuteten Informationen \u2013 mitunter Blueprints von Apples Hardware. Mitte M\u00e4rz hatte es die REvil-Gang bereits auf Acer abgesehen, im M\u00e4rz folgte ein Hackerangriff auf das US-Unternehmen Kaseya; zuletzt sogar mit Forderungen von 70 Millionen US-Dollar. Im November 2021 gelang Ermittelnden ein Schlag<\/a> gegen die Ransomware-Gang REvil; vor wenigen Tagen soll die Zerschlagung der Gruppe<\/a> gelungen sein.<\/p>\n Im Mai f\u00fchrte ein Hackerangriff auf Irlands \u00f6ffentlichen Gesundheitsdienst HSE dazu, dass alle IT-Systeme heruntergefahren werden mussten. Eine Dubliner Klinik ging in den Notbetrieb. Wie die Tageschau berichtete<\/a>, handelte es sich um einen \u201esehr ausgefeilten Angriff\u201c, nicht um eine Standardattacke.<\/p>\n In den USA musste im Mai eine der wichtigsten Benzin-Pipelines nach einem Ransomware-Angriff abgeschaltet werden, mit der die US-Ostk\u00fcste versorgt wird. Die Ransomware-Gruppe Darkside soll in das Netzwerk des Betreibers Colonial eingedrungen sein und etwa 100 GB an Daten kopiert haben. Im Anschluss wurden die Rechner verschl\u00fcsselt, erkl\u00e4rte das Magazin Bloomberg. Die in der Folge abgeschaltete Pipeline transportiert t\u00e4glich rund 400 Millionen Liter Heiz\u00f6l f\u00fcr die US-Ostk\u00fcste \u2013 dieser Angriff hatte also verheerende Folgen.<\/p>\n Im Juni ging es hei\u00df her: Zun\u00e4chst war JBS<\/a> \u2013 der gr\u00f6\u00dfte Fleischkonzern der Welt \u2013 betroffen. Ein Ransomware-Angriff traf den brasilianischen Konzern, der vergleichsweise z\u00fcgig wieder zum Normalbetrieb zur\u00fcckfand. Weiter ging es mit dem Online-H\u00e4ndler Pearl, der seinen Shop sogar vom Netz nehmen musste: Ein Hackerangriff auf die IT-Systeme f\u00fchrte dazu, dass die Angreifenden Zugriff auf virtuelle Server und Maschinen gehabt h\u00e4tten, wie heise online berichtete<\/a>.<\/p>\n Nach CDPR traf es mit Electronic Arts (EA) in 2021 einen weiteren Gaming-Entwickler: 780 GB Quellcode und Software wurden angeblich erbeutet. Kriminellen gelang offenbar der Zugriff aufs Netzwerk und das Kopieren besagter Daten. Betroffen waren mitunter der Quellcode zur Fu\u00dfballspielserie FIFA und die Spielengine Frostbite. Wie Golem.de berichtete<\/a>, br\u00fcsteten sich die Hacker in einem Hackerforum damit, den Quellcode von FIFA 21 und den Code f\u00fcr den Matchmaking-Server gestohlen zu haben.<\/p>\n Mit McDonald\u2019s war 2021 auch der weltgr\u00f6\u00dfte Fast-Food-Konzern von einer Cyberattacke betroffen: Hacker hatten Zugriff auf einige Daten, darunter auch pers\u00f6nliche Informationen. Betroffen waren die L\u00e4nder USA, Taiwan und S\u00fcdkorea; aus letzteren beiden seien auch Kundendaten abgegriffen worden. In den USA seien Daten von Mitarbeitenden, Franchise-Nehmenden und einzelnen Restaurants ebenfalls betroffen.<\/p>\n Der Hackerangriff auf die US-Firma Kaseya hatte Auswirkungen, die in der ganzen Welt sp\u00fcrbar waren: So funktionierten etwa die Kassensysteme in der schwedischen Supermarktkette Coop nicht mehr. Wieder steckte die Ransomware-Gruppe REvil hinter dem Angriff; wir berichteten<\/a>. REvil gelang es, mit VSA das Desktop-Management-Tool von Kaseya zu kapern und ein verseuchtes Update einzuspielen. Dementsprechend waren Unternehmen auf der ganzen Welt betroffen \u2013 auch IT-Dienstleistende und weitere Firmen aus Deutschland.<\/p>\n Das Jahr 2021 hatte einen Dauerbrenner zum Thema: Die NSO-Spyware Pegasus. Im August kamen Berichte an die Oberfl\u00e4che<\/a>, die zeigten, dass Schwachstellen in iOS 14 die Installation der Sp\u00e4hsoftware erlaubten. Leider blieb offen, ob Apple die Schwachstellen, die Pegasus nutzte, mit der Folgeversion iOS 14.7.1 beseitigt wurden.<\/p>\n Gigabyte \u2013 einer der bekanntesten Hardware-Hersteller \u2013 wurde Opfer eines Ransomware-Angriffs auf die internen IT-Systeme: Daten wurden verschl\u00fcsselt und, wie Bleepingcomputer.com berichtete, offenbar auch entwendet. Das Unternehmen reagierte, indem man Systeme abschaltete und die Strafverfolgungsbeh\u00f6rden informierte. Eine kleine Anzahl an Servern sei betroffen gewesen, die Supportseite war l\u00e4nger nicht erreichbar.<\/p>\n Millionen von sensiblen Kundendaten wurden offenbar bei einem Angriff auf die Telekom-Tochter T-Mobile US erbeutet \u2013 wir berichteten<\/a>: Die Namen der Kund:innen waren genauso betroffen wie deren Sozialversicherungsnummern, Geburts- sowie F\u00fchrerscheindaten. Betroffen waren die Daten von 7,8 Millionen Vertragskund:innen sowie 40 Millionen fr\u00fchere oder potenzielle Kund:innen. Das Datenleck konnte geschlossen werden, die Ermittlungen wurden aufgenommen.<\/p>\n Im September traf es das Schweizer Unternehmen Suisse Velo<\/a> \u2013 einen Anbieter von Fahrrad-Schutzdienstleistungen wie dem Bikefinder, Vollkaskoversicherungen oder Pannenhilfe f\u00fcr Fahrradfahrende. Erbeuten konnten die Hacker Account-Informationen von rund 30.000 Nutzenden, also E-Mail-Adressen und Passw\u00f6rtern, jedoch keine weiteren Daten. Die Schwachstelle konnte identifiziert und behoben werden; Kund:innen wurden gebeten, ihr Passwort zur\u00fcckzusetzen.<\/p>\n Erneut wurde Acer im Oktober Opfer eines Hacker-Angriffs \u2013 diesmal wurden Server in Indien und Taiwan gehackt<\/a>. Anfang Oktober sollen die Angreifenden zun\u00e4chst in die indischen Acer-Server eingedrungen, um dort Kunden- sowie Firmendaten zu erbeuten. Einige Tage sp\u00e4ter verschafften sich offenbar dieselben Hacker Zugang zu taiwanesischen Acer-Servern, um sich hier an Daten von Mitarbeitenden zu bereichern.<\/p>\n Syniverse \u2013 ein Unternehmensname, der hierzulande wohl kaum Bekanntheit hat \u2013 ist ein Spezialist darin, Nachrichten zwischen verschiedenen Mobilfunkprovidern auszutauschen, also sowohl SMS als auch Meta-Informationen wie Routing-, Kunden- oder Service-Kosten-Informationen. Wie sich im Oktober herausstellte<\/a>, gestand dieses Unternehmen der US-B\u00f6rsenaufsicht SEC quasi nebenbei, dass es im Mai 2016 gehackt wurde und dies erst im Mai 2021 intern bemerkt wurde. Offensichtlich hatten Hacker also sagenhafte f\u00fcnf Jahre Zugang zu Milliarden von SMS von Milliarden Mobilfunknutzenden auf der ganzen Welt! Vielleicht l\u00e4sst sich eine ann\u00e4hernde Zahl kalkulieren, wenn man wei\u00df, dass Syniverse j\u00e4hrlich mehr als 740 Milliarden Textnachrichten bearbeitet. Sicherheitsexperten sprachen seinerzeit von einer \u201eglobalen Privatsph\u00e4re-Katastrophe\u201c und dass detaillierte Profilerstellungen m\u00f6glich seien. Syniverse selbst schwieg sich aus: Es gab keine Informationen \u00fcber das Wer, \u00fcber das Wie oder \u00fcber das Warum.<\/p>\n Im November 2021 r\u00e4umte die Trading-Plattform Robinhood einen Hackerangriff ein<\/a>. Dem Unternehmen zufolge waren Millionen Kundendaten, darunter E-Mail-Adressen und Namen und bei rund 340 Kund:innen auch weitere Daten, betroffen. Der Vorfall wurde am Abend des 3. Novembers entdeckt, jedoch seien keine Sozialversicherungsnummern, Bank- oder Kreditkartendaten kompromittiert worden. Offenbar war es Angreifenden per Social Engineering gelungen, \u00fcber einen Mitarbeiter im Kundensupport Zugang zu den Systemen zu erhalten.<\/p>\n Ebenfalls im November mussten sich die Elektronikm\u00e4rkte der Ceconomy AG mit einem Ransomware-Angriff auseinandersetzen<\/a>: S\u00e4mtliche Landesgesellschaften der MediaMarktSaturn-Holding waren betroffen. 3.100 Windows-Server seien mit dem Verschl\u00fcsselungstrojaner Hive infiziert worden, sodass die Kassen- und Warenwirtschaftssysteme der Filialen nicht funktionierten wie sie sollten. Mitarbeitende wurden angewiesen, Kassen vom Netz zu nehmen und Rechner nicht zu nutzen. Um die verschl\u00fcsselten Daten wieder freizugeben, forderten die Erpressenden 50 Millionen US-Dollar.<\/p>\n Au\u00dferdem gelang es Cyberkriminellen im November, einen E-Mail-Server des FBi zu kapern. Sie verschickten mehr als 100.000 Spam-E-Mails, in denen sie vor einem Cyberangriff warnten. Nach einiger Zeit hatte sich eine Person namens \u201ePompompurin\u201c gemeldet \u2013 sie habe die Aktion durchgef\u00fchrt, um das FBI auf eine schwere Coding-L\u00fccke zu verweisen<\/a>.<\/p>\n Das Jahr 2021 endete mit einer weiteren IT-Katastrophe, die alle angeht: Die Log4j-Sicherheitsl\u00fccke entlockte dem BSI erneut die Warnstufe rot und sorgte daf\u00fcr, dass kaum ein Administrator besinnliche Weihnachten genie\u00dfen kann. Die Angriffe, mit denen hierbei zu rechnen sind, rollen bereits an. In unserem Blogbeitrag \u201eLog4j Sicherheitsl\u00fccke: Das m\u00fcssen Sie wissen\u201c<\/a> erkl\u00e4ren wir alles Wesentliche zu Log4Shell.<\/p>\n Unsere Beispiele zeigen: Niemand ist gefeit vor Hacking, Ransomware & Co. \u2013 es kann jeden treffen. Die Folgen sind verheerend: Das Image ist kr\u00e4ftig angekratzt, der Gesch\u00e4ftsbetrieb funktioniert eingeschr\u00e4nkt oder gar nicht mehr \u2013 Verluste sind vorprogrammiert. Dabei ist es gar nicht so schwer, eine solide Schutzschicht aufzutragen: Verschl\u00fcsseln Sie Ihre Kommunikation, sch\u00fctzen Sie Maschinenidentit\u00e4ten<\/a>, authentisieren, authentifizieren und autorisieren Sie sicher<\/a> und sensibilisieren Sie Ihre Mitarbeitenden<\/a>. F\u00fcr all dies sind wir gerne Ihr Ansprechpartner \u2013 nehmen Sie einfach Kontakt zu uns<\/a> auf und freuen Sie sich auf eine bedarfsgerechte Beratung auf Augenh\u00f6he!<\/p>\nFebruar: Aufbereitungsanlage & Gaming-Entwickler im Visier<\/h3>\n
M\u00e4rz: Hack f\u00fchrt zu \u201eBedrohungslage rot\u201c<\/h3>\n
Hacking im April: TU Berlin & Quanta<\/h3>\n
Mai: Irischer Gesundheitsdienst & US-Benzin-Pipeline lahmgelegt<\/h3>\n
Juni: Gro\u00dfunternehmen unter Druck<\/h3>\n
Juli: Schwedens Superm\u00e4rkte schlie\u00dfen<\/h3>\n
August: Pegasus spioniert, Gigabyte & T-Mobile werden Opfer von Hacking<\/h3>\n
September: 30.000 Passw\u00f6rter als Beute aus der Schweiz<\/h3>\n
Oktober: Acer-Server und Syniverse-Hack<\/h3>\n
November: Hacking, Ransomware & Spam<\/h3>\n
Dezember: Keine Weihnachtsruhe dank Log4Shell<\/h3>\n
Hacking, Ransomware & Co.: Investieren Sie in Sicherheit!<\/h2>\n