Lesezeit 10 Minuten

Die verheerendsten Cyberattacken 2021: Was haben wir aus ihnen gelernt?

Das Jahr 2021 war erneut geprägt von zahlreichen Cyberangriffen auf Organisationen aller Branchen und Größen. Allein in Deutschland erlitten laut Umfrage des Bitkom e.V. 86% der Unternehmen einen Schaden durch Cyberangriffe. Die zunehmende Wucht und Professionalität der Angriffe, die die Wirtschaft erschüttern, stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) als besorgniserregend ein. Was waren die verheerendsten Cyberattacken des Jahres 2021 und wie können Unternehmen dafür sorgen, dass sie nicht selbst Opfer eines solchen Angriffs werden?

Microsoft Exchange Server

Im März 2021 sorgte das Bekanntwerden vier kritischer Sicherheitslücken bei Microsoft Exchange Servern für enorme Unruhe unter IT-Verantwortlichen. Das kombinierte Ausnutzen dieser Lücken erlaubte es Angreifern, Administratorenzugang zu Exchange Servern zu erlangen und so beliebige Dateien abzulegen und z.B. Schadcode auszuführen. Microsoft berichtete von „einer neuen Art von Ransomware-Angriffen“, die alle Dateien der betroffenen Exchange Server verschlüsseln konnten. Erst nach Zahlung eines Lösegelds an die Angreifer (engl. „ransom“ = Lösegeld) wurden Tools zum Entschlüsseln bereitgestellt. Der taiwanesische Computerhersteller Acer sah sich so mit einer Forderung von Hackern in Höhe von 50 Millionen US-Dollar konfrontiert. Zudem konnten Angreifer einfach sogenannte Backdoors installieren, die ihnen auch nach Patchen der Server mit später bereitgestellten Sicherheitsupdates Zugang zum Server ermöglichen. Exchange Server konnten komplett übernommen werden und Angreifer auf Emails und Passwörter zugreifen. Im Worst Case war eine Kompromittierung des gesamten Netzwerks möglich. So war es nicht ausreichend, lediglich die Updates durchzuführen – Systeme mussten vollumfänglich geprüft werden, um potenzielle Bedrohungen zu erkennen.

Insbesondere die rasche Verfügbarkeit sogenannter Exploit Kits war gefährlich: Gerade einmal 169 Zeilen Code waren notwendig, um die Lücken auszubeuten. In Deutschland, das Platz 2 der betroffenen Länder belegt, waren nach Angaben des BSI zehntausende Exchange Server betroffen. Vor allem kleine und mittlere Unternehmen waren Zielscheibe der Angreifer, da diese in der Regel aufgrund kleinerer Budgets für Informationssicherheit und fehlendem Know-how schlechter gegen solche Vorfälle geschützt sind.

Colonial Pipeline

Ebenfalls von einem Ransomware-Angriff betroffen war im Mai 2021 das U.S.-amerikanische Ölpipelinesystem Colonial Pipeline. Die Pipeline beginnt in Texas und transportiert rund 45% aller Ölprodukte in den Südosten der USA. Cyberkriminellen der osteuropäischen Hackergruppe DarkSide gelang zunächst den Zugang zur IT-Infrastruktur, die unter anderem die Rechnungsstellung abwickelt, und das Entwenden von rund 100 Gigabyte Daten. Anschließend erfolgte das eigentliche Lahmlegen der Systeme mit Schadsoftware. Die Lösegeldforderung zur Wiederherstellung der Systeme betrug rund 4,4 Millionen US-Dollar in der Kryptowährung Bitcoin. Colonial Pipeline reagierte sofort und fuhr das Ölpipelinesystem herunter, da unklar war, ob kritische IT-Systeme zum Betrieb der Pipeline betroffen waren.

Sicherheitsexperten vermuten, dass ein kompromittierter VPN-Zugang, mit dem Mitarbeiter beispielsweise im Home Office auf das interne Netzwerk zugreifen können, DarkSide als Einfallstor diente. Das Konto wurde zwar nicht mehr aktiv durch einen Mitarbeiter genutzt, jedoch war damit weiterhin der Zugang zu Colonial Pipelines Netzwerk möglich. Dieser hat mutmaßlich dasselbe Passwort für den VPN-Zugang und andere Konten verwendet, das sich in Listen geleakter Passwörter im Dark Web finden ließ. Auch denkbar war das Kompromittieren der Zugangsdaten durch eine Phishing-Mail. Durch das Fehlen einer Multi-Faktor-Authentifizierung war es den Angreifern so ein Leichtes, mit den Zugangsdaten initial in das Netzwerk einzudringen.

Die Konsequenzen des Ransomware-Angriffs waren enorm: Das tagelange Herunterfahren des Pipelinesystems führte im Südosten der USA zu eklatanten Versorgungsengpässen an Flughäfen sowie Tankstellen und steigende Kraftstoffpreise. In Zusammenarbeit mit dem FBI zahlte Colonial Pipeline das Lösegeld in Höhe von 4,4 Millionen US-Dollar an DarkSide und konnte anschließend die Pipeline wieder in Betrieb nehmen.

Kaseya

Während in den USA am 4. Juli 2021 der Unabhängigkeitstag gefeiert wurde, sorgte die Hackergruppe REvil für einen der bis dahin größten Ransomware-Angriffe auf den Softwarehersteller Kaseya. Kaseya entwickelt unter anderem IT-Management-Lösungen für IT-Dienstleister. Eine davon ist VSA. VSA dient dem Fernzugriff auf IT-Systeme, um z.B. Updates auf entfernte Computer aufzuspielen. Durch Ausnutzen einer bis dato unbekannten Schwachstelle („Zero-Day-Exploit“) in VSA gelang es den Hackern von REvil, Schadcode in die Software einzuschleusen. Bei anschließenden, legitimen Updates von VSA wurden die Systeme von Kaseyas Kunden mit Ransomware infiziert und die Daten verschlüsselt.

Kaseya gab an, dass zunächst „weniger als 60“ ihrer direkten Kunden betroffen seien. Da jedoch Kaseyas Kunden selbst als IT-Dienstleister auftreten und VSA bei deren Kunden nutzten, konnte sich die Erpressungssoftware weiter verbreiten. REvil verlangte für ein „universelles Entschlüsselungstool“ das höchste jemals geforderte Lösegeld in Höhe von rund 70 Millionen US-Dollar in Bitcoin. Schätzungen zufolge waren 800 bis 1500 Unternehmen betroffen, unter anderem die Kassensysteme einer schwedischen Supermarktkette, die alle Filialen im Land schließen musste, sowie zahlreiche weitere, vorwiegend kleine und mittlere Unternehmen.

Log4j

Mit der womöglich größten Sicherheitslücke in der Historie des Internets ging das Jahr 2021 fulminant zu Ende: Log4j. Log4j ist eine Protokollierungsbibliothek für Java-Anwendungen, mit der z.B. Fehlermeldungen, die auf einem Server auftreten, in einer Art Logbuch getrackt werden können. Da Java eine der am meistgenutzten Programmiersprachen weltweit und Log4j als Open-Source-Software frei verfügbar ist, ist Log4j Bestandteil vieler Programme. Unter anderem wird Log4j in Anwendungen von Unternehmen wie Microsoft, Twitter, Amazon oder Apple verwendet.

Ein Zero-Day-Exploit ermöglichte Cyberkriminellen das Einschleusen von beliebigem Programmcode in die angegriffene Anwendung. Sie bedienten sich unterschiedlichster Angriffsformen zum Ausnutzen der Schwachstelle: Interne Netze wurden ausgespäht, die zugrundeliegenden Server für die Errechnung von Kryptowährungen missbraucht oder Ransomware-Angriffe zur Erpressung von Lösegeld durchgeführt. Das BSI vergab dafür die höchste Bedrohungsstufe Rot (extrem kritisch). Besonders kritisch war zum einen, dass vielfach nicht klar ist, ob und in welcher Version eine Anwendung oder verknüpfte Bibliotheken Log4j nutzen. Zum anderen konnte die Sicherheitslücke in Log4j vergleichsweise einfach durch großflächige Scans im Internet aufgespürt und anschließend ausgenutzt werden.

Was können Unternehmen tun, um vorbereitet zu sein?

Funktionierend Prozesse, wie der gekonnte Umgang mit Sicherheitsvorfällen, sensibilisierte Mitarbeiter und fachmännisch umgesetzte technische Maßnahmen sind entscheidend, um auf solche Angriffe vorbereitet zu sein und im Falle der Fälle richtig zu reagieren. Wie Informationssicherheit sinnvoll und strukturiert in Ihrem Unternehmen umgesetzt werden kann, regeln anerkannte Standards wie die ISO/IEC 27001. Mit einem Informationssicherheitsmanagementsystem (ISMS) haben Sie Ihr Unternehmen und schützenswerte Informationen im Blick und entscheiden risikobasiert, welche Schutzmaßnahmen implementiert werden sollten. Eine Zertifizierung nach ISO 27001 stärkt Ihre Informationssicherheit enorm und signalisiert Ihren Geschäftspartnern, dass Sie höchste Informationssicherheitsstandards erfüllen.

Generell empfehlen wir Ihnen auch ohne ein Informationssicherheitsmanagementsystem folgende Punkte in Ihrem Unternehmen kritisch zu prüfen:

Berechtigungsmanagement und Authentifizierung: Prüfen Sie, ob Passwörter stark genug sind, in besonders kritischen Applikationen ein zweiter Faktor zur Authentifizierung eingesetzt wird und ob ihr Berechtigungsmanagement nach dem „Need-to-Know“-Prinzip aufgebaut ist.
Verschlüsselung sensibler Informationen: Nutzen Sie Verschlüsselungsmaßnahmen zum Schutz der Integrität und Vertraulichkeit sensibler Informationen.
HR- und Gerätemanagement: Definieren Sie, was mit Dienstgeräten getan werden darf, wie diese gepatched werden und definieren Sie durch Awarenessmaßnahmen und Policies, welche Handlungen Ihrer Mitarbeiter untersagt sind und wie man z. B. Phishingmails identifizieren kann.
Backups: Führen Sie Backups durch, spiegeln Sie diese und lagern Sie ein Medium in einem separaten Brandabschnitt.

Unser Team aus Sicherheitsexperten und Juristen unterstützt Sie gerne bei der Steigerung Ihrer Informationssicherheit dabei – ganz egal, ob Sie gerade erst anfangen und einfach Ihren aktuellen Status Quo überprüfen lassen wollen oder Sie eine ISO 27001-Zertifizierung anstreben.

Vereinbaren Sie hier-ein kostenloses-Erstgespräch mit uns.

Die verheerendsten Cyberattacken 2021: Was haben wir aus ihnen gelernt?

Das Jahr 2021 war erneut geprägt von zahlreichen Cyberangriffen auf Organisationen aller Branchen und Größen. Allein in Deutschland erlitten laut Umfrage des Bitkom e.V. 86% der Unternehmen einen Schaden durch Cyberangriffe. Die zunehmende Wucht und Professionalität der Angriffe, die die Wirtschaft erschüttern, stuft das Bundesamt für Sicherheit in der Informationstechnik (BSI) als besorgniserregend ein. Was waren die verheerendsten Cyberattacken des Jahres 2021 und wie können Unternehmen dafür sorgen, dass sie nicht selbst Opfer eines solchen Angriffs werden?

Microsoft Exchange Server

Im März 2021 sorgte das Bekanntwerden vier kritischer Sicherheitslücken bei Microsoft Exchange Servern für enorme Unruhe unter IT-Verantwortlichen. Das kombinierte Ausnutzen dieser Lücken erlaubte es Angreifern, Administratorenzugang zu Exchange Servern zu erlangen und so beliebige Dateien abzulegen und z.B. Schadcode auszuführen. Microsoft berichtete von „einer neuen Art von Ransomware-Angriffen“, die alle Dateien der betroffenen Exchange Server verschlüsseln konnten. Erst nach Zahlung eines Lösegelds an die Angreifer (engl. „ransom“ = Lösegeld) wurden Tools zum Entschlüsseln bereitgestellt. Der taiwanesische Computerhersteller Acer sah sich so mit einer Forderung von Hackern in Höhe von 50 Millionen US-Dollar konfrontiert. Zudem konnten Angreifer einfach sogenannte Backdoors installieren, die ihnen auch nach Patchen der Server mit später bereitgestellten Sicherheitsupdates Zugang zum Server ermöglichen. Exchange Server konnten komplett übernommen werden und Angreifer auf Emails und Passwörter zugreifen. Im Worst Case war eine Kompromittierung des gesamten Netzwerks möglich. So war es nicht ausreichend, lediglich die Updates durchzuführen – Systeme mussten vollumfänglich geprüft werden, um potenzielle Bedrohungen zu erkennen.

Insbesondere die rasche Verfügbarkeit sogenannter Exploit Kits war gefährlich: Gerade einmal 169 Zeilen Code waren notwendig, um die Lücken auszubeuten. In Deutschland, das Platz 2 der betroffenen Länder belegt, waren nach Angaben des BSI zehntausende Exchange Server betroffen. Vor allem kleine und mittlere Unternehmen waren Zielscheibe der Angreifer, da diese in der Regel aufgrund kleinerer Budgets für Informationssicherheit und fehlendem Know-how schlechter gegen solche Vorfälle geschützt sind.

Colonial Pipeline

Ebenfalls von einem Ransomware-Angriff betroffen war im Mai 2021 das U.S.-amerikanische Ölpipelinesystem Colonial Pipeline. Die Pipeline beginnt in Texas und transportiert rund 45% aller Ölprodukte in den Südosten der USA. Cyberkriminellen der osteuropäischen Hackergruppe DarkSide gelang zunächst den Zugang zur IT-Infrastruktur, die unter anderem die Rechnungsstellung abwickelt, und das Entwenden von rund 100 Gigabyte Daten. Anschließend erfolgte das eigentliche Lahmlegen der Systeme mit Schadsoftware. Die Lösegeldforderung zur Wiederherstellung der Systeme betrug rund 4,4 Millionen US-Dollar in der Kryptowährung Bitcoin. Colonial Pipeline reagierte sofort und fuhr das Ölpipelinesystem herunter, da unklar war, ob kritische IT-Systeme zum Betrieb der Pipeline betroffen waren.

Sicherheitsexperten vermuten, dass ein kompromittierter VPN-Zugang, mit dem Mitarbeiter beispielsweise im Home Office auf das interne Netzwerk zugreifen können, DarkSide als Einfallstor diente. Das Konto wurde zwar nicht mehr aktiv durch einen Mitarbeiter genutzt, jedoch war damit weiterhin der Zugang zu Colonial Pipelines Netzwerk möglich. Dieser hat mutmaßlich dasselbe Passwort für den VPN-Zugang und andere Konten verwendet, das sich in Listen geleakter Passwörter im Dark Web finden ließ. Auch denkbar war das Kompromittieren der Zugangsdaten durch eine Phishing-Mail. Durch das Fehlen einer Multi-Faktor-Authentifizierung war es den Angreifern so ein Leichtes, mit den Zugangsdaten initial in das Netzwerk einzudringen.

Die Konsequenzen des Ransomware-Angriffs waren enorm: Das tagelange Herunterfahren des Pipelinesystems führte im Südosten der USA zu eklatanten Versorgungsengpässen an Flughäfen sowie Tankstellen und steigende Kraftstoffpreise. In Zusammenarbeit mit dem FBI zahlte Colonial Pipeline das Lösegeld in Höhe von 4,4 Millionen US-Dollar an DarkSide und konnte anschließend die Pipeline wieder in Betrieb nehmen.

Kaseya

Während in den USA am 4. Juli 2021 der Unabhängigkeitstag gefeiert wurde, sorgte die Hackergruppe REvil für einen der bis dahin größten Ransomware-Angriffe auf den Softwarehersteller Kaseya. Kaseya entwickelt unter anderem IT-Management-Lösungen für IT-Dienstleister. Eine davon ist VSA. VSA dient dem Fernzugriff auf IT-Systeme, um z.B. Updates auf entfernte Computer aufzuspielen. Durch Ausnutzen einer bis dato unbekannten Schwachstelle („Zero-Day-Exploit“) in VSA gelang es den Hackern von REvil, Schadcode in die Software einzuschleusen. Bei anschließenden, legitimen Updates von VSA wurden die Systeme von Kaseyas Kunden mit Ransomware infiziert und die Daten verschlüsselt.

Kaseya gab an, dass zunächst „weniger als 60“ ihrer direkten Kunden betroffen seien. Da jedoch Kaseyas Kunden selbst als IT-Dienstleister auftreten und VSA bei deren Kunden nutzten, konnte sich die Erpressungssoftware weiter verbreiten. REvil verlangte für ein „universelles Entschlüsselungstool“ das höchste jemals geforderte Lösegeld in Höhe von rund 70 Millionen US-Dollar in Bitcoin. Schätzungen zufolge waren 800 bis 1500 Unternehmen betroffen, unter anderem die Kassensysteme einer schwedischen Supermarktkette, die alle Filialen im Land schließen musste, sowie zahlreiche weitere, vorwiegend kleine und mittlere Unternehmen.

Log4j

Mit der womöglich größten Sicherheitslücke in der Historie des Internets ging das Jahr 2021 fulminant zu Ende: Log4j. Log4j ist eine Protokollierungsbibliothek für Java-Anwendungen, mit der z.B. Fehlermeldungen, die auf einem Server auftreten, in einer Art Logbuch getrackt werden können. Da Java eine der am meistgenutzten Programmiersprachen weltweit und Log4j als Open-Source-Software frei verfügbar ist, ist Log4j Bestandteil vieler Programme. Unter anderem wird Log4j in Anwendungen von Unternehmen wie Microsoft, Twitter, Amazon oder Apple verwendet.

Ein Zero-Day-Exploit ermöglichte Cyberkriminellen das Einschleusen von beliebigem Programmcode in die angegriffene Anwendung. Sie bedienten sich unterschiedlichster Angriffsformen zum Ausnutzen der Schwachstelle: Interne Netze wurden ausgespäht, die zugrundeliegenden Server für die Errechnung von Kryptowährungen missbraucht oder Ransomware-Angriffe zur Erpressung von Lösegeld durchgeführt. Das BSI vergab dafür die höchste Bedrohungsstufe Rot (extrem kritisch). Besonders kritisch war zum einen, dass vielfach nicht klar ist, ob und in welcher Version eine Anwendung oder verknüpfte Bibliotheken Log4j nutzen. Zum anderen konnte die Sicherheitslücke in Log4j vergleichsweise einfach durch großflächige Scans im Internet aufgespürt und anschließend ausgenutzt werden.

Was können Unternehmen tun, um vorbereitet zu sein?

Funktionierend Prozesse, wie der gekonnte Umgang mit Sicherheitsvorfällen, sensibilisierte Mitarbeiter und fachmännisch umgesetzte technische Maßnahmen sind entscheidend, um auf solche Angriffe vorbereitet zu sein und im Falle der Fälle richtig zu reagieren. Wie Informationssicherheit sinnvoll und strukturiert in Ihrem Unternehmen umgesetzt werden kann, regeln anerkannte Standards wie die ISO/IEC 27001. Mit einem Informationssicherheitsmanagementsystem (ISMS) haben Sie Ihr Unternehmen und schützenswerte Informationen im Blick und entscheiden risikobasiert, welche Schutzmaßnahmen implementiert werden sollten. Eine Zertifizierung nach ISO 27001 stärkt Ihre Informationssicherheit enorm und signalisiert Ihren Geschäftspartnern, dass Sie höchste Informationssicherheitsstandards erfüllen.

Generell empfehlen wir Ihnen auch ohne ein Informationssicherheitsmanagementsystem folgende Punkte in Ihrem Unternehmen kritisch zu prüfen:

Berechtigungsmanagement und Authentifizierung: Prüfen Sie, ob Passwörter stark genug sind, in besonders kritischen Applikationen ein zweiter Faktor zur Authentifizierung eingesetzt wird und ob ihr Berechtigungsmanagement nach dem „Need-to-Know“-Prinzip aufgebaut ist.
Verschlüsselung sensibler Informationen: Nutzen Sie Verschlüsselungsmaßnahmen zum Schutz der Integrität und Vertraulichkeit sensibler Informationen.
HR- und Gerätemanagement: Definieren Sie, was mit Dienstgeräten getan werden darf, wie diese gepatched werden und definieren Sie durch Awarenessmaßnahmen und Policies, welche Handlungen Ihrer Mitarbeiter untersagt sind und wie man z. B. Phishingmails identifizieren kann.
Backups: Führen Sie Backups durch, spiegeln Sie diese und lagern Sie ein Medium in einem separaten Brandabschnitt.

Unser Team aus Sicherheitsexperten und Juristen unterstützt Sie gerne bei der Steigerung Ihrer Informationssicherheit dabei – ganz egal, ob Sie gerade erst anfangen und einfach Ihren aktuellen Status Quo überprüfen lassen wollen oder Sie eine ISO 27001-Zertifizierung anstreben.

Vereinbaren Sie hier-ein kostenloses-Erstgespräch mit uns.