Cyberattacken auf die Lieferkette: Bedeutende Angriffe und ihre Auswirkungen

1. Cyberangriff auf SolarWinds

Der Angriff auf SolarWinds gilt als eine der schwerwiegendsten Cyberattacken in der jüngeren Vergangenheit. Bei dem Anbieter von Netzwerkmanagement-Lösungen infizierten Angreifer die Updates für die Orion-Plattform mit der Malware Sunburst. Zu den betroffenen Kunden zählen Unternehmen wie Microsoft, Intel und Cisco sowie mehrere US-Ministerien und -Behörden, insgesamt bis zu 18.000 Kunden. Die Folgen waren gravierend: Die Hacker konnten auf sensible Daten sowie auf den Programmcode von Microsoft zugreifen. Der Angriff auf SolarWinds kostete Unternehmen in Schlüsselsektoren durchschnittlich 11 % ihres Jahresumsatzes. Der Angriff wurde der russischen Hackergruppe APT29, auch bekannt als Cozy Bear, zugeschrieben und im Dezember 2020 entdeckt.

Faktenübersicht

• Betroffene Kunden:
  u.a. Microsoft, Intel, Cisco, Deloitte, mehrere US-Ministerien und Behörden; in Summe bis zu 18.000 Kunden
• Angriffsweg:
  Hacker infizierten Updates für die Netzwerkmanagement-Plattform Orion von SolarWinds mit der Malware Sunburst
• Im Detail:
  Installation einer Backdoor bei infizierten Systemen, um diese aus der Ferne zu übernehmen. Die Angreifer konnten auf die Nutzerkonten von betroffenen Organisationen zugreifen und sich als diese ausgeben
• Folgen:
  Zugriff auf die Netzwerkumgebung und Programmcode bei Microsoft; Zugriff auf sensible Kundendaten
• Schaden:
  Im Durchschnitt 11% des jährlichen Umsatzes eines Unternehmens

2. Cyberangriff auf MOVEit 

Ein gravierender Angriff betraf das Datenübertragungsprogramm MOVEit Transfer der Firma Progress Software Corp., ein US-amerikanisches Unternehmen mit Sitz in Burlington. MOVEit wird weltweit von vielen Unternehmen und Dienstleistern, insbesondere Banken und Versicherungen, für den Austausch sensibler Daten eingesetzt. Über eine Zero-day SQL-Injection-Schwachstelle gelang es den Angreifern, Sicherheitskontrollen zu umgehen und sich Zugang zu vertraulichen Daten von über 62 Millionen Menschen, einschließlich medizinischer Informationen und Sozialversicherungsnummern zu verschaffen. Zu den betroffenen Kunden zählen British Airways, BBC, US-Behörden, mehrere große Gesundheitsdienstleister aus aller Welt, die University of Georgia und Heidelberger Druck etc. – insgesamt mehr als 2000 Kunden. Der geschätzte Schaden belief sich auf etwa 9,9 Milliarden USD. Die Hackergruppe CLOP wird verdächtigt, diesen Angriff im Juni 2023 durchgeführt zu haben.

Faktenübersicht

• Dienstleister:
  Progress Software Corp.
• Betroffene Kunden:
  u.a. British Airways, BBC, US-Behörden, PwC, EY, NYC öffentliches Schulsystem; insgesamt mehr als 2000 Kunden, darunter auch weitere Dienstleister → kaskadierender Effekt (siehe 3. Majorel)
• Angriffsweg/-technik:
  Zero-day exploit einer SQL-Injection Schwachstelle, welche für Remote Code Execution (RCE) eingesetzt werden kann
• Im Detail:
  Die Zero-Day-Schwachstelle ermöglichte es Angreifern, remote ohne Authentifizierung in die Datenbank von MOVEit Transfer einzudringen und SQL-Befehle zu injizieren, um kritische Datenbankelemente zu ändern oder zu löschen
• Folgen:
  Über 62 Millionen geschädigte Personen; u.a. Zugriff auf sensible, personenbezogene Daten wie medizinische Informationen und Social Security numbers
• Schaden:
  ~9,9 Milliarden USD (Schätzung)

3. Cyberangriff Majorel Deutschland GmbH

In Folge des des MOVEit-Hacks wurde der Kontowechsel-Dienst Majorel Deutschland gehackt. Kunden wie Barmer, ING, Deutsche Bank, die Comdirect sowie einige Sparda-Banken und andere waren betroffen. Die Angreifer konnten personenbezogene Daten wie Bankverbindungen und Krankenversicherungsnummern erbeuten. Insgesamt sind mehr als 144.000 Datensätze von Bankkunden im Darknet aufgetaucht. Der Angriff wurde im Juli 2023 aufgedeckt. Die genaue Schadenshöhe ist nicht bekannt.

Faktenübersicht

• Betroffene Kunden:
  u.a. Barmer, ING, Deutsche Bank, Comdirect, Postbank, Sparda-Banken, Versicherungskammer Bayern
• Angriffsweg/-technik:
  Zero-Day-Exploit – Der Angriff ist auf den MOVEit-Hack zurückführen
• Im Detail:
  Angreifer konnten in die Datenbank von MOVEit Transfer eindringen und SQL-Befehle injizieren
• Folgen:
  Zugriff auf und Veröffentlichung von sensiblen personenbezogenen Daten wie Bankverbindungen, Krankenversicherungsnummern, Prämienbeiträge (beim Versicherer); insgesamt erbeuteten Hacker mehr als 144.000 Datensätze
• Schaden:
  Keine Zahlen bekannt

4. Cyberangriff auf Infosys McCamish Systems

Der US-Dienstleister für Finanz- und Versicherungsunternehmen Infosys McCamish Systems (IMS) verzeichnete im November 2023 einen folgenschweren Ransomware-Angriff. Dabei wurden die Daten von über sechs Millionen Menschen kompromittiert, darunter Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern, Krankenakten, Kreditkarteninformationen und Passwörter. Bezüglich der Angriffsmethode gibt es keine Details. Zu den betroffenen Kunden zählen die US-amerikanische Großbank Bank of America Corporation (BofA) sowie die US-Rentenversicherungsgesellschaft Oceanview Life & Annuity. Der geschätzte Schaden für IMS liegt bei mindestens 30 Millionen USD. Der Angriff wird der Ransomware-Gruppe LockBit zugeschrieben.

Faktenübersicht

• Betroffene Kunden:
  u.a. Bank of America Corporation (BofA), US-Rentenversicherungsgesellschaft
• Angriffsweg/-technik:
  Ransomware
• Im Detail:
  Nichts bekannt
• Folgen:
  Es wurden sensible Daten von über 6 Millionen Personen kompromittiert. Darunter u.a. Namen, Social Security numbers, finanzielle Informationen, medizinische Informationen, biometrische Daten, und Reisepassnummern
• Schaden:
  Laut Einschätzung von IMS mindestens 30 Millionen USD; keine Angaben seitens BofA oder Oceanview Life & Annuity

5. Cyberangriff auf Kaseya

Im Juli 2021 wurde Kaseya, einer der weltweit führenden Anbieter von IT-Managementsoftware, Opfer eines Ransomware-Angriffs. Die Angreifer erlangten über eine ungepatchte Zero-Day-Schwachstelle Zugriff auf die Fernwartungssoftware VSA und erstellten ein bösartiges Update, das automatisch auf die VSA-Server in den Netzwerken der Kunden eingespielt wurde. Zu den betroffenen Unternehmen gehörten neben Kaseya auch zahlreiche IT-Dienstleister, was zu einem Dominoeffekt führte, der bis zu 1500 Organisationen weltweit betraf, einschließlich der schwedischen Supermarktkette Coop. Die Angreifer forderten zunächst 70 Millionen USD Lösegeld, reduzierten den Betrag aber später. Der Angriff führte zur Verschlüsselung von Daten und Systemen und verursachte Produktionsausfälle. Konkrete Schadenszahlen wurden nicht öffentlich gemacht.

Faktenübersicht

• Betroffene Kunden:
  u.a. Coop (Supermarkt-Kette); ca. 50 direkte Kunden, darunter weitere Dienstleister. Es kam zu einem Domino-Effekt, wodurch bis zu 1500 Organisationen betroffen waren
• Angriffsweg/-technik:
  Angriff auf die VSA-Software von Kaseya, über die Organisationen Software-Updates in Computer-Systemen verwalten
• Im Detail:
  In Folge der VSA-Update-Manipulation wurde Ransomware in die Kundennetzwerke überspielt 
• Die Folgen:
  Verschlüsselung der Daten und Systeme betroffener Organisationen; z.T. Produktionsausfälle; Zugriff auf und Veröffentlichung von personenbezogenen Daten
• Der Schaden:
  Keine konkreten Zahlen

6. Cyberangriff auf Adesso

Im Frühsommer 2022 wurde der IT-Dienstleister Adesso gehackt, zu dessen Kunden u.a. DAX-Konzerne wie Daimler, BMW, RWE und Eon sowie Bundesbehörden wie das Bundesministerium des Innern und für Heimat (BMI), das Bundesministerium für Digitales und Verkehr (BMDV), das Bundeskriminalamt (BKA), die Finanzaufsicht Bafin und die Bundesbank zählen. Die Angreifer hatten eine Sicherheitslücke in der Software „Confluence“ von Atlassian ausgenutzt, manipulierte Plug-ins in Systemen installiert sowie privilegierten Zugriff auf Systeme und Dateien im internen Netzwerk erlangt. Der Angriff wurde erst Januar 2023 vom Adesso Sicherheitsteam entdeckt, jedoch erst über ein Whistleblower publik. Konkrete Schadenszahlen wurden nicht veröffentlicht.

Faktenübersicht

• Betroffene Kunden:
  u.a. DAX-Konzerne, BMI, BMDV
• Angriffsweg/-technik:
  Sicherheitslücke in dem Enterprise Wiki System „Confluence“ des Softwareherstellers Atlassian
• Im Detail:
  Nichts bekannt
• Folgen:
  Zugriff auf einzelne Informationen und Dateien, darunter u.a. große Mengen an E-Mail-Kommunikation mit personenbezogenen Daten
• Schaden:
  Keine Zahlen bekannt

7. Cyberangriff auf Count + Care

Ein Ransomware-Angriff auf den hessischen IT-Dienstleister Count + Care lähmte im Juni 2022 gleich mehrere Unternehmen, darunter wichtige KRITIS-Betreiber und Kommunen. Angreifern ist es gelungen, in das Unternehmensnetzwerk des Dienstleisters einzudringen und dort Daten und Systeme zu verschlüsseln. Count + Care ist die IT-Tocher des ENTEGA-Konzerns, einer der führenden Energie- und Infrastrukturdienstleister Deutschlands. Neben dem Energieversorger waren auch das Darmstädter Verkehrsunternehmen Heag, die Frankfurter Entsorgungs- und Service-Gruppe (FES) sowie die Mainzer Stadtwerke betroffen. In Folge des Angriffes landeten zahlreiche persönliche Daten von ENTEGA-Mitarbeiterinnen und -Mitarbeitern sowie Geschäftspartnern im Darknet.

Faktenübersicht

• Betroffene Kunden:
  u.a. Entega, Frankfurter Entsorgungs- und Service-Gruppe (FES), Heag, Mainzer Stadtwerke
• Angriffsweg/-technik: Ransomware
• Im Detail:
  Nichts bekannt
• Folgen:
  Verschlüsselung der Daten und Systeme betroffener Organisationen; Homepages nicht mehr erreichbar; Dienstleistungen eingeschränkt (u.a. Fahrtausfälle im öffentlichen Nahverkehr)
• Schaden:
  Keine Zahlen bekannt

Fazit

Cyberattacken auf die Lieferkette können sich zu dominoartigen Kettenreaktionen entwickeln. Unternehmen müssen diesen Bedrohungen mit robusten Sicherheitsmaßnahmen entgegentreten, um ihre Systeme und Daten zu schützen. Dies erfordert eine ganzheitliche Sicherheitsstrategie, die sowohl technologische als auch organisatorische Aspekte berücksichtigt.

Ein erster Schritt ist die sorgfältige Auswahl von Dienstleistern: Überprüfen Sie die Sicherheitsstandards und Zertifizierungen Ihrer Anbieter. Stellen Sie sicher, dass Ihre Dienstleister die IT- und Datenschutzvorgaben (u.a. nach Regulatorien wie NIS2, DORA und TSAX) erfüllen und regelmäßige Sicherheitsüberprüfungen durchführen. Das Geschäftspartner-Risikomanagement von LocateRisk unterstützt Sie dabei mit automatisierten IT-Risikoanalysen und Monitorings sowie digitalen Fragebögen für die Lieferantenselbstauskunft. Das ermöglicht es allen Beteiligten, Zeit und Kosten zu sparen, Risiken zu minimieren und kontinuierliche Verbesserung voranzutreiben.

Lesen Sie auch Lieferanten-Risikomanagement für komplexe Lieferketten – leicht gemacht

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Alex freut sich!

Ihr Ansprechpartner
Alexander Feldmann
Beratung

+49 (0) 6151 6290246

Jetzt Kontakt aufnehmen

Home

Blog

Über uns

Kontakt

Impressum

Datenschutz

AGB

Jobs

© LocateRisk 2023