Wir beginnen mit einer guten Nachricht. Garmin muss den Nutzern seines Dienstes „Connect“ keinen Datenverlust erklären. Das Dashboard des Connect-Dienstes ist zum Zeitpunkt der Veröffentlichung dieses Beitrags wieder über den Browser erreichbar und zeigt alle Daten, die vor dem Totalausfall synchronisiert worden waren, unverändert an. Die Synchronisierung neuer Daten über die mobilen Apps oder das Windows-Programm Garmin Express funktioniert indes weiterhin nicht.
Herz der Dienste: Connect ist wieder da
Damit befindet sich der Hersteller von GPS-basierten Sportutensilien wie Uhren und Fahrradcomputern sowie Navigationsgeräten zumindest auf dem Weg der Besserung. Immerhin ist Connect für die Garmin-Nutzer das Herzstück der Funktionalität. Ohne Connect-Verbindung sammeln die Uhren wie jene der beliebten Forerunner-Uhrenreihe zwar die Daten des Nutzers, können sie aber nicht an den Dienst übergeben, der sie dann auswerten und dem Nutzer über das Web-Dashboard oder die Übersichten in den Smartphone-Apps zur Verfügung stellen sollte. Eine Garmin-Uhr ohne Connect wäre nur ein teures Stück Kunststoff.
Je länger ein solcher Ausfall dauert, desto ungehaltener dürften die Verwender werden. Sie können ihre Aktivitäten nicht analysieren, Leistungsverbesserungen nicht erkennen, ihre Herzfrequenz nicht auswerten, ihre Daten nicht an Strava oder sonstige Dienste übergeben. Personen, die einen Diätplan etwa über My Fitnesspal einhalten, müssen auf die wechselseitige Datenübergabe verzichten. Wiederholen wir es ruhig: Ohne Connect ist ein Garmin-Gerät praktisch wertlos.
Garmin informiert in schmaler FAQ
Nachdem sich die Situation also zu entspannen beginnt, bleibt die Frage, wie es zu dem Totalausfall kommen konnte. Garmin ist da bislang nicht sehr auskunftsfreudig.
In einer überaus schmalen FAQ spricht Garmin von einem Systemausfall, der neben den wichtigsten Diensten auch den Produkt-Support betrifft. So können wohl weder Anrufe noch E-Mails oder Online-Chats empfangen werden. Kundendaten seien dabei nach derzeitigem Kenntnisstand nicht verloren gegangen. Für das Connect-Dashboard können wir das bereits bestätigen, aber auch sonstige Kunden-, vor allem Zahlungsdaten, sieht Garmin nicht betroffen.
Auch der wichtige Notrufdienst Inreach soll trotz des Ausfalls weiter funktionieren. Besonders unangenehm ist der Ausfall indes für Käufer neuer Garmin-Geräte. Da die einmalig bei Garmin Connect angemeldet werden müssen, lassen sie sich derzeit nicht in Betrieb nehmen. Weitere Informationen gibt der Hersteller nicht heraus.
Spekulationen über Ransomware-Angriff
Wie das Tech-Portal Bleeping Computer berichtet, soll inzwischen eine Bestätigung dafür vorliegen, dass der Totalausfall auf das Wirken der Ransomware „Wastedlocker“ zurückzuführen ist. Das will das Portal von einem Garmin-Mitarbeiter und einer Person, die mit den Vorgängen befasst ist, erfahren haben.
Danach hätten Garmin-Mitarbeiter am Donnerstagmorgen verdächtige Vorgänge im Netzwerk entdeckt. Sie sollen dann erfolglos versucht haben, so viele Computer wie möglich per Fernwartung herunterzufahren. Zu diesem Zeitpunkt soll es aber bereits zu Verschlüsselungen gekommen sein. Sogar per VPN verbundene Rechner von Remote-Mitarbeitern sollen Opfer der Ransomware geworden sein.
Nachdem die Versuche, gezielt Rechner herunterzufahren, gescheitert seien, hätten sich die Garmin-Admins dazu entschlossen, präventiv alle Rechner im Data-Center abzuschalten. Letztlich soll es dieser Vorgang gewesen sein, der zu dem weltweiten Totalausfall der Garmin-Dienste geführt hat.
Nach Erkenntnissen von Bleeping Computer hat der Angriff seinen Ursprung in Taiwan. Dem Portal ist es nach eigenen Angaben gelungen, den Angriff mittels eines auf die Website Virustotal hochgeladenen Malware-Samples zu rekonstruieren und so zu verifizieren, dass es sich tatsächlich um die Ransomware Wastedlocker handelt. Aus internen Quellen will Bleeping Computer erfahren haben, dass die Angreifer ein Lösegeld von zehn Millionen US-Dollar fordern.
Wastedlocker und die Evil Corp
Wastedlocker ist eine Schadsoftware, die Daten auf den betroffenen Computern verschlüsselt. Danach fordern die Angreifer in der Regel ein Lösegeld, das gezahlt werden soll, um diese Verschlüsselung rückgängig zu machen. Deshalb trägt Malware diesen Typs die Bezeichnung Ransomware. Ransom heißt in deutscher Übersetzung Lösegeld.
Im Gegensatz zu einem Hackerangriff erfolgt die Aktivierung einer Ransomware in der Regel durch den Angegriffenen selbst. Die Verbreitung erfolgt zumeist durch den Versand von E-Mails mit schädlichem Anhang oder per Link zu einer durch den Angreifer manipulierten Internetseite. Die Ransomware kann ihren Auftrag nur dann erledigen, wenn der E-Mail-Anhang ausgeführt oder der manipulierte Link aktiv geklickt wird.
Die Ransomware Wastedlocker wird der Cyberkriminellen-Gruppe Evil Corp aus Russland zugeschrieben, die seit spätestens 2007 immer wieder durch den Einsatz verschiedener Malwares auf sich aufmerksam gemacht hat. So hat sie etwa die besonders wirksame Malware Dridex entwickelt, die allein in den USA einen finanziellen Schaden von über 100 Millionen Dollar verursacht haben soll.
Deswegen hatte die US-Regierung im Dezember 2009 Sanktionen gegen die Hackergruppe verhängt und unter anderem US-Bürgern verboten, Transaktionen jedweder Art mit der Gruppe oder ihren Mitgliedern vorzunehmen. Das könnte für Garmin als schweizerisch-amerikanisches Unternehmen zusätzlich zu Problemen führen, wenn und soweit sich das Unternehmen zur Lösegeldzahlung entschließen sollte.
Passend dazu:
- Ransomware-Attacke? Systemausfall legt Garmin lahm
- Nach Garmin-Hack: Wer braucht überhaupt Fitness-Tracking?
Auch dieser Vorfall zeigt das ganze Dilemma Cloud-basierter / Internet-of-Things basierter Serviceleistungen:
Bei einem Denial-Of-Service geht NICHTS — mehr KEIN SERVER, KEIN SERVICE!
„Früher“ musste man selbst schon Hand anlegen um seine Geräte zu „bricken“ (z.B. Rooten von SmartPhones, Hardware-Hacks, etc.) Heute reicht eine Vielzahl von Fremdfaktoren IRGENDWO AUF DER WELT, damit wie hier, meine 600EUR Uhr plötzlich Schrott ist.
Aber auch so kann der Anbieter eines IoT-Geräts jederzeit das Funktionieren abstellen. Mal ist es Ransomware, mal ist es das Ende des PLCs, mal ist die Firma schlicht pleite, wie wir jüngst bei einigen Webcams erleben durften.
Und auch die hier so gerne als Trendsetter gehypte Firma Tesla wird in Zukunft bestimmte, beim Kauf vorhandene Funktionen entweder dauerhaft abzuschalten oder nur noch gegen monatliche Gebühr freigeben.
Gleichzeitig sind die nicht für Updates vorgesehenen Geräte ein ideales Einfallstor ins Heimnetzwerk oder hier ins Handy. Was nützt eine (Consumer) Firewall, wenn „der Feind“ bereits im
Inneren ist. Ich brauche dann auch kein WPA3 mit MFP oder anderen eigentlich ganz vernünftigen „Sicherheitsmerkmalen“.
Angesichts solcher, in der Anzahl deutlich zunehmenden , ganz real existierenden Probleme würde ich mir wünschen, dass die Anwender ihr Kaufverhalten überdenken.
Früher habe ich mich immer geärgert, wenn sogenannte Experten vom DAU, dem Dümmsten Anzunehmenden User, gesprochen haben. Heute halte ich es leider auch eher mit „Stamos Gesetz“:
No matter how low an opinion you have of your users, they will figure out a way to disappoint you!