Wenn ein Dienst wie Garmin Opfer eines Ransomware-Angriffs wird, dann ist das nicht nur für die sportlich orientierten Kunden ein Problem. Denn das Unternehmen verdient auch in den Bereichen Aviation, Auto und Marine gutes Geld – rund die Hälfte der Erträge kam 2019 aus diesen drei Geschäftsfeldern. Gleichzeitig ist der Fall aber auch eine geeignete Case-Study, um zu zeigen, wie eng die Kundenkonten – und damit die erste Ansprechstelle bei funktionalen Einschränkungen – mit dem tatsächlichen Dienst verknüpft sind.

Dabei hat wohl die Ransomware „Wastedlocker“ in den Netzen des US-amerikanischen Herstellers von Navigationstechnik ihr Unwesen getrieben, wie die Website Bleeping Computer erklärt. Garmin selbst spricht nur von den Ausfällen, bestätigt aber nicht die Ursache Ransomware.

Doch das Unternehmen befindet sich in bester Gesellschaft: Denn laut dem IT-Sicherheitsunternehmen Kaspersky steigt die Zahl an Ransomware-Angriffen in den letzten Monaten weiter an. Betroffen sind dabei neben Privatnutzern vor allem Unternehmen. Deren Systeme werden oftmals nicht gezielt attackiert. Auch die Sicherheitsexperten von Malwarebytes beobachten seit 2019 einen weiteren Anstieg an Ransomware, wobei das Unternehmen erklärt, dass es eine nahezu komplette Verschiebung hin zu kommerziellen Opfern gebe. Die Experten beobachteten schon im vergangenen Jahr nahezu eine Vervierfachung der Angriffe auf Unternehmen, die mit Ransomware zu tun hatten. Aktuelle Zahlen trägt schließlich auch das Sicherheitsunternehmen Avast bei: Die Experten verzeichnen in Deutschland seit März 2020 eine Zunahme von Ransomware-Angriffen um 20 Prozent im Vergleich zu Januar und Februar.

Doch was waren in den letzten Monaten die gravierendsten und spektakulärsten Angriffe in diesem Segment? Wir haben fünf Fälle zusammengestellt, die zeigen, dass solche auch als „Lösegeld-Trojaner“ bezeichneten Angriffsszenarien gerade für Unternehmen existenzbedrohend sein können:

Die Pilz-Gruppe gilt als Sicherheitsexperte in der industriellen Prozessautomatisierung. Dass das schwäbische Traditionsunternehmen im Oktober 2019 einem solchen Angriff zum Opfer fiel, galt als kleine Sensation in der Branche – und zeigte auf, dass selbst Experten nicht davor gefeit sind, Opfer gezielter Ransomware-Attacken zu werden. Das Unternehmen musste sämtliche Systeme vom Netz nehmen und war über Tage mit Hilfe externer Forensiker mit der Fehlerbehebung befasst. Erst mehr als eine Woche nach dem Angriff waren sämtliche Systeme wieder einsatzfähig. Die Schäden dürften in die Millionen gehen – den Image-Schaden nicht mitgerechnet.

Ein nicht minder attraktives Ziel war (oder sollte man sagen ist?) das Kammergericht Berlin, das ebenfalls im Herbst vergangenen Jahres Opfer eines Ransomware-Angriffs wurde. Mehr als 500 Computer und über hundert Server mussten vom Netz genommen werden und das Gericht war über mehrere Monate nur per Telefon, Fax oder Brief erreichbar. Ob und in welchem Umfang hierbei Daten erbeutet wurden, konnte auch gut ein Vierteljahr später nicht zweifelsfrei geklärt werden. Es sei höchstwahrscheinlich möglich gewesen, „einen verborgenen Account anzulegen und den gesamten Datenbestand des KG zu exfiltrieren und zu manipulieren, während gleichzeitig die Spuren verschleiert werden“ urteilte die mit dem Fall betraute T-Systems. Erschwerend kam hier offenbar hinzu, dass das Kammergericht – immerhin das Berliner Oberlandesgericht – eine eigene IT-Infrastruktur unter eigener Regie betrieben haben soll. Diese habe offenbar die gängigen IT-Sicherheitsgrundsätze vernachlässigt.

Aus anderen Gründen gravierend war der Angriff auf den Juwelier Wempe, dessen IT-Systeme im Sommer vergangenen Jahres gekapert wurden. Ein Krypto-Trojaner soll das IT-System lahmgelegt haben und das Unternehmen an der Arbeit gehindert haben. Ob die Medienberichte stimmen, wonach das Unternehmen ein Lösegeld in Millionenhöhe gezahlt haben soll, lässt sich nicht zweifelsfrei klären – das Unternehmen macht hierzu mit Hinweis auf die Ermittlungen laut Handelsblatt keine Angaben. Klar ist aber, dass in einer Branche, in der es wie hier um Diskretion geht, ein solcher Ransomware-Angriff einen empfindlichen Image-Schaden darstellt.

Dass es bei einem solchen Cyberangriff auch um Menschenleben gehen kann, zeigt ein Fall, der sich Anfang 2020 in Tschechien ereignete. Dort legten Unbekannte die Krankhaus-IT-Infrastruktur des Universitätsklinikums in Brünn lahm. Operationen konnten infolgedessen nicht durchgeführt werden und die gesamte Krankenhaus-IT arbeitete nur mit starken Einschränkungen. Erschwerend hinzu kam, dass besagte Klinik eines der größten Labore des Landes für die Analyse von Covid-19-Proben beherbergt. Immerhin seien die Ressourcen des Labors nicht von dem Angriff betroffen gewesen, heißt es.

Gleich 13 Krankenhäuser der Trägergesellschaft Süd-West des Deutschen Roten Kreuzes wurden im vergangenen Sommer Opfer einer Ransomware-Attacke. Der Angriff auf die Häuser, die allesamt in Rheinland-Pfalz und dem Saarland lagen, erschwerte zwar laut Medieninformationen die Arbeit der Klinikmitarbeiter, wirkte sich aber immerhin nicht auf geplante Operationen und Patienten aus. Auch hier hatte eine Schadsoftware in Form eines Lösegeld-Trojaners Ressourcen der Kliniken verschlüsselt und vorübergehend unbrauchbar gemacht. Hierbei unterstützte eine Cybercrime-Einheit des Landeskriminalamtes die IT-Verantwortlichen, indem man die infizierten Systeme herunterfuhr und vom Netz trennte.

Die beschriebenen Vorfälle, bei denen in einigen Fällen auch Lösegeld in Millionenhöhe gezahlt worden sein soll, zeigen, dass die gezielten Angriffe auf Unternehmen und kritische Infrastrukturen ein einträgliches Geschäft für die organisierte Kriminalität sein können. Denn letztlich ist es zwar für den Kunden ärgerlich, wenn etwa, wie im Fall Garmin, sportliche Tracking-Ergebnisse nicht abgespeichert werden können, es gibt jedoch deutlich gravierendere Angriffe, die beispielsweise auf kritische Infrastrukturen abzielen und Menschenleben schädigen können. Hinzu kommt, wie etwa im Fall Wempe oder Pilz, ein Vertrauensverlust und ein schwerwiegender Image-Schaden.

Das könnte dich auch interessieren:

• Ransomware: Was du über Lösegeld-Trojaner wissen musst
• Ransomware-Attacke? Systemausfall legt Garmin lahm