Sie haben Fragen?

info@8com.de
+49 6321 48446-0

Cyberangriffe und Bedrohungen 2022

13. Dezember 2022

Ransomware-Angriff auf die Unfallkasse Thüringen
Gleich zum Jahresbeginn sorgte hierzulande ein Hackerangriff auf das Computersystem der Unfallkasse Thüringen (UKT) für Aufsehen. Am 4. Januar vermeldete die UKT auf ihrer Internetseite, dass es zu einem „gezielten Angriff auf unsere informationstechnischen Systeme“ gekommen sei. Zeitweise konnte die Unfallkasse infolgedessen auf Versicherungsdaten nicht zugreifen, Mitgliedsunternehmen konnten Arbeitsunfälle nicht digital melden und Zahlungsanforderungen an Dienstleister konnten nicht bearbeitet werden. Den Medienberichten zufolge hatten Hacker die Server der Kasse komplett verschlüsselt.
Laut einer Sprecherin hatten die Angreifer ein Lösegeld gefordert: „Darauf sind wir nicht eingegangen“. Näheres wurde nicht bekannt. Kurzzeitig war der Unfallversicherer nicht einmal telefonisch erreichbar. Die vollständige Wiederherstellung der Systeme und die Rückkehr zum Regelbetrieb erfolgte allmählich Anfang Februar.

In der Unfallkasse Thüringen sind rund 850.000 Menschen, darunter Angestellte des Landes und der Kommunen, Studierende, Schüler und Kindergartenkinder gesetzlich unfallversichert.


Brute-Force-Angriff auf Thalia Online-Shop
Ende Januar teilte der Buchhändler Thalia mit, dass sein Onlineshop mittels Brute-Force-Angriff gehackt wurde. Über einige Stunden hinweg hatte jemand systematisch zahllose Kombinationen bestehend aus Benutzernamen und Passwörtern ausprobiert, um dadurch Zugriff auf Kundenkonten zu erlangen. Nach Angaben des Unternehmens war die Aktion letztlich „bei einigen Kundenkonten“ erfolgreich. Dennoch seien dem Buchhändler zufolge weder Daten verändert noch unberechtigte Bestellungen getätigt worden. Peinlich in diesem Zusammenhang für Thalia war, dass offenblieb, warum offensichtlich keine Maßnahmen in Form von Intrusion-Prevention-Systemen zum Schutz vor Brute-Force-Attacken ergriffen worden waren. Immerhin vermeldete Thalia, dass „unmittelbar nach Bekanntwerden des Hackerangriffs umfangreiche Gegenmaßnahmen eingeleitet“ und Passwörter betroffener Konten zurückgesetzt worden seien und nun daran gearbeitet werde, „die Systeme noch stärker gegen unberechtigte Zugriffe zu schützen“.

Funke Mediengruppe
Ende Februar registrierte die Funke Mediengruppe im Zusammenhang ihrer Berichterstattung über den Krieg in der Ukraine Angriffe auf ihre Webseiten. Demnach hatte es gezielte Cyberattacken auf Artikel der verlagseigenen Webseiten gegeben. Im Live-blog der zur Gruppe gehörenden Westdeutschen Allgemeinen Zeitung (WAZ) berichtete Funke von Bot-Angriffen gezielt auf Nachrichten rund um den russischen Angriffskrieg. Die automatisierten Massenangriffe hatten zur Folge, dass die Aktualisierung der Webseiten verzögert wurde.

Der Cyberangriff war nicht der erste, dem sich die Funke Mediengruppe ausgesetzt sah. Im Dezember 2020 hatte sich eine ähnliche Attacke ereignet, damals sogar mit schwereren Folgen. Zeitungen konnten damals nur als Notausgaben erscheinen. Die Folgen des Angriffs waren beim Konzern wochenlang zu spüren.

Mehr als 20.000 Rechenzentren von DCIM-Sicherheitslücke betroffen
Wie aus den zu Jahresbeginn veröffentlichten Ergebnissen einer Untersuchung hervorging, hatten Sicherheitsforscher zahlreiche Sicherheitslücken in Tools und Software für das Data Infrastructure Management (DCIM) gefunden. Dadurch waren mehr als 20.000 Web-Instanzen verschiedener Produkte über das Internet zugänglich. Das bedeutete, dass sensible Details aus den Rechenzentren wie Sensorinformationen, Netzwerk-, Benutzer- und Firmware-Details, Sicherungsdateien und Protokolle von Hackergruppen dazu verwendet werden konnten, strategische Angriffe auf ganze Rechenzentren zu planen.

Die dafür verantwortlichen Sicherheitslücken wurden von den Forschern umgehend an die Computer Emergency Response Teams (CERTs) der jeweiligen Länder gemeldet, da zu den potenziell gefährdeten Datacentern auch kritische Infrastrukturen, Börden, Finanzinstitute, Krankenhäuser und Regierungsstellen gehörten.

Da die Zusammenarbeit mehrerer Technologien und Softwares in Rechenzentren es Angreifern vergleichsweise einfach macht, Schlupflöcher zu finden, müssen Administratoren mehrfach auf der Hut sein. Umfassender Schutz wird da nur durch Implementierung einer angemessenen Zugangskontrolle für sämtliche angeschlossene Anlagen, ordentliche Netzwerksegmentierung, strenge Passwortregelung und kontinuierliche Schwachstellenüberprüfungen sichergestellt – um nur ein paar der wichtigsten Maßnahmen zu benennen.

Hackerangriff auf IT-Dienstleister Perbit
Anfang April wurde das Softwareunternehmen Perbit Opfer eines Hackerangriffes. Weil das Unternehmen Software- und IT-Dienstleistungen für hunderte Unternehmen und Verbände wie die Industrie und Handelskammern (IHK) anbietet, konnten die Angreifer hochsensible Kundendaten wie Lohn- und Gehaltsabrechnungen, Sozialversicherungsnummern, Kontodaten und private Telefonnummern stehlen.

Anschließend versuchten die Hacker Perbit zu erpressen, indem sie im Austausch für die erbeuteten Daten ein Lösegeld in Millionenhöhe verlangten. In Absprache mit den Polizeibehörden entschied sich das Unternehmen, nicht auf die Forderungen einzugehen. Kurz darauf wurden viele gestohlene Daten im Darknet veröffentlicht. Nur wenig später waren bereits Phishing-Mails im Umlauf, die auf den geleakten Daten basierten.

Wie viele Daten tatsächlich gestohlen wurden, wollten weder Perbit noch die Behörden aus „ermittlungstaktischen Gründen“ öffentlich machen. Vorsichtig sprach das Unternehmen von einer „erheblichen Anzahl“ von Kunden, die auch umgehend informiert worden seien.

Auch das System von Perbit wurde im Nachgang durch die Angreifer lahmgelegt und konnte erst mithilfe von Forensikern und Experten wieder stabilisiert und in Betrieb genommen werden.

Cyberangriff auf Deutsche Windtechnik AG
Ebenfalls im April wurde das Unternehmen Deutsche Windtechnik Opfer eines Cyberangriffs. Mitte des Monats teilte der in Bremen ansässige Betrieb mit, einem „gezielten professionellen Cyberangriff“ zum Opfer gefallen zu sein. Aus Sicherheitsgründen wurden damals kurzzeitig alle IT-Anlagen und Rechner vorsorglich heruntergefahren sowie Verbindungen zur Datenfernüberwachung zu Windanlagen abgeschaltet. Auf Nachfrage bestätigte eine Sprecherin der Deutschen Windtechnik AG, dass bei dem Angriff Ransomware zum Einsatz bekommen war.

Schon im Februar war die Satellitenkommunikation bei Tausenden von Windrädern in Deutschland zeitweise ausgefallen. Zur Unterbrechung der Stromproduktion war es dabei nicht gekommen, nur konnten Mitarbeitende des Windkraftanlagenherstellers Enercon 5.8000 Anlagen nicht mehr aus der Ferne überwachen und steuern. Verantwortlich gemacht für die Störung wurde ein mutmaßlicher Cyberangriff auf das Satellitennetzwerk KA-SAT, Verbindungen fielen mehrere Wochen lang aus. Mutmaßlich dahinter standen der russischen Regierung nahestehende Hacker.

Das Unternehmen Deutsche Windtechnik ist spezialisiert auf die technische Instandhaltung von On- und Offshore-Windenergieanlagen und beschäftigt mehr als 2.000 Mitarbeiter.

Log4j-Sicherheitslücke
Bereits Mitte Dezember 2021 war in der weit verbreiteten Java-Bibliothek Log4j eine Schwachstelle entdeckt worden, die zu einer „extrem kritischen Bedrohungslage“ (BSI) geführt und uns das gesamte Jahr 2022 hindurch begleitet hat: Log4Shell.

In gleich zweifacher Hinsicht waren Systemadministrator:innen und Porgrammierer:innen gefordert. Zum einen ist Log4j äußerst weit verbreitet. Die Bibliothek wird sowohl in Rechenzentren, Unternehmensservern, Netzwerktechnologien als auch in zahlreichen Systemkomponenten eingesetzt. Zum anderen war die Lücke zu Beginn ihrer Entdeckung besonders leicht ausnutzbar und ermöglichte es Angreifern, beliebigen Schadcode auszuführen, Software nachzuladen oder Daten zu stehlen.

Updates zur Behebung der Schwachstelle standen schon bald zur Verfügung, was die Bedrohungssituation Anfang 2022 nur leicht abmilderte. Zum einen blieben viele Systeme – gerade durch die weite Verbreitung – lange Zeit ungepatcht. Durch die oft unzureichende Transparenz sowie mangelnde Sichtbarkeit und schließlich fehlende Ressourcen, um Aktualisierungen in kürzester Zeit durchführen zu können, blieben viele Systeme lange Zeit weiterhin verwundbar. Zudem bestand die Gefahr, dass Schadsoftware längst eingeschleust worden war. Eine Bedrohung, die nicht durch die Aktualisierung, sondern nur durch die permanente Überwachung der Systeme auf verdächtige Vorgänge und den Rückgriff auf Sicherungskopien gebannt werden kann.

Die schiere Bandbreite der durch Log4Shell eröffneten Möglichkeiten – die Installation von Backdoors und Brückenköpfen, das Nachladen jeglichen Codes, … –, zusammen mit der weiten Verbreitung von Log4j, lassen vermuten, dass uns langfristige Folgen im Zusammenhang mit Log4Shell auch noch im kommenden Jahr begleiten werden.

Bild (c) Tumisu / Pixabay

Zurück zur Blog-übersicht
Zurück zuM Research-Blog
Alle Mitarbeiter-Interviews
Security Services
Managed Security Services
Security Operations Center
SIEM as a Service
EDR as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
8com Academy - E-Learning
Was uns ausmacht
Cyber Defense Center
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
HinSchG-Vereinbarung
Webpräsenz der Allianz für Cyber-Sicherheit
ISO 27001 Zertifikat auf Basis von BSI IT-Grundschutz
Die Kernprozesse des Security Operations Center (SOC) der 8com GmbH & Co. KG: Security Information and Event Management (SIEM) as a Service, Endpoint Detection and Response (EDR) as a Service, Vulnerability Management as a Service als Managed Security Services für Geschäftskunden und Behörden.
Mehr Informationen