Von einer Firma namens Kaseya haben bislang vermutlich vor allem IT-Experten etwas gehört. Das Unternehmen aus Miami, Florida, immerhin gut zwei Milliarden Dollar wert, arbeitet im Hintergrund. Im besten Fall merken die Anwender auch so gut wie nichts davon, dass Kaseya oder eine Partner-Firma die IT ihres Unternehmens managt. Das ändert sich nun schlagartig: Hackern ist es gelungen, bei einer Reihe von Partnerfirmen von Kaseya einzudringen und Teile von deren Software zu kompromittieren. Diese verschlüsselt Daten auf den Systemen der Betroffenen, in Botschaften auf dem Bildschirm fordern die Erpresser Lösegeld in Kryptowährung - insgesamt eine Milliardensumme. Dieser Erpresserangriff gehört zu den bisher größten, auch Tausende deutscher Firmen seien gefährdet, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Die US-Regierung zeigt sich alarmiert und hat die Geheimdienste zu intensiven Ermittlungen aufgefordert. Das könnte auch politische Beben nach sich ziehen, denn als möglicher Urheber der Attacke gilt eine Hackergruppe namens REvil aus Russland. US-Präsident Joe Biden vermied zwar zunächst eine Schuldzuweisung, doch das könnte sich schnell ändern, wenn die Dienste belastbare Beweise oder wenigstens starke Indizien dafür finden, dass tatsächlich russische Staatshacker hinter dem Angriff stecken. "Der erste Eindruck war, dass die russische Regierung nicht dahintersteckt - aber wir sind uns noch nicht sicher", sagte Biden. Nach vorangegangenen Attacken, die nach US-Erkenntnissen von russischen Hackern verübt worden waren, hatte Biden seinem russischen Kontrapart Wladimir Putin aber schon vorgeworfen, kriminelle Hacker in seinem Land einfach gewähren zu lassen.

Was ist eigentlich genau passiert? Die Angreifer haben Software bei IT-Dienstleistern manipuliert, die eigentlich Systeme sicherer machen soll. Weil kleine und mittlere Firmen nicht genügend Personal und Kompetenz haben, ihre IT selbst zu warten und vor Angriffen zu schützen, engagieren sie Dienstleister, im Jargon Managed Service Providers (MSP) genannt. Diese übernehmen es zum Beispiel, Software-Updates einzuspielen. Sie nutzten dafür die Software VSA von Kaseya.

Damit das klappt, müssen diese Dienstleister eine hohe Berechtigung auf den Systemen ihrer Kunden haben. Das haben die Angreifer ausgenutzt. Indem sie quasi die Update-Funktion der Management-Software als trojanisches Pferd verwendeten, konnten sie in die IT-Systeme der Kunden gelangen und diese lahmlegen. In Schweden etwa musste eine Supermarktkette nahezu alle ihrer mehr als 800 Filialen schließen, weil die Registrierkassen nicht mehr funktionierten.

Die Betroffenen haben die schwierige Wahl: zahlen oder System neu aufsetzen

Statt jede der Firmen einzeln zu attackieren, wozu man technische Sicherheitslücken und menschliche Schwächen nutzen kann, erreichten sie damit einen Multiplikator-Effekt. Wie hoch die Zahl der betroffenen Unternehmen ist, ist noch unklar. Während Kaseya von 40 betroffenen Kunden sprach, bezifferte das US-Sicherheitsunternehmen Huntress Labs, bei dem sich attackierte Firmen meldeten, die Zahl der Geschädigten auf mehr als Tausend, die Zahl könnte auch noch steigen.

Die Betroffenen stehen nun vor einer schwierigen Wahl: Entweder sie bezahlen das Lösegeld und haben damit eine Chance, dass ihre Systeme bald wieder laufen und damit auch ihr Geschäft. Oder aber sie weigern sich und sind dann gezwungen, alles neu aufzusetzen. Das kann dauern und ist teuer, weshalb viele Firmen zähneknirschend bezahlen. Die Sicherheitsbehörden sehen das nicht gerne, denn zum einen ist nicht sicher, ob das Entsperren der Systeme wirklich klappt. Zum anderen gibt es dann auch keine hundertprozentige Sicherheit, ob die Angreifer nicht noch eine weitere Schadsoftware eingeschleust haben, die beispielsweise Daten stiehlt.

Detailansicht öffnen Ein digitaler Supermarkt von Tegut in München: Die Lebensmittelkette hatte es auch schon mal erwischt. (Foto: Florian Peljak)

Doch weil mehr und mehr Firmen bezahlen, machen die Hackergruppen erst recht ein Geschäft mit der sogenannten Ransomware, der Erpressersoftware. Längst sind sie nach Sparten organisiert. Während die einen sich darum kümmern, wie man in Computersysteme eindringt, übernehmen andere die Verhandlungen mit den Betroffenen, auch fürs Entsperren danach gibt es Spezialisten. Es ist wie Schutzgeldpressung, bloß ohne Gorillas, ohne vorgehaltene Knarren - und ohne Schutz. Niemand kann garantieren, dass man nicht von einer anderen Bande attackiert wird.

Ransomware-Attacken haben in den vergangenen Jahren mehr und mehr zugenommen, nicht nur in den USA. Auch hierzulande hat es in diesem Jahr bereits die Lebensmittelkette Tegut erwischt, die Funke Mediengruppe oder das Medienhaus Madsack. Großes Aufsehen erregten auch eine Attacke auf einen ukrainischen Anbieter für Buchhaltungssoftware und ein Angriff auf den US-Softwareanbieter SolarWinds. Die Kunden beider Software-Unternehmen bekamen über die Update-Funktion die Erpressersoftware mitgeliefert.

Experten sind besorgt, die Sicherheitslage sei angespannt

Die zunehmende Zahl solcher Angriffe alarmiert auch den Bundesverband der Deutschen Industrie (BDI). Der fordert in der Welt am Sonntag eine nationale Wirtschaftsschutzstrategie. Besorgt gibt sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Sicherheitslage sei angespannt, besonders bei Ransomware stelle man eine "gesteigerte Aktivität" fest.

Die Auswirkungen des Angriffs hätten durchaus noch größer sein können, denn Kaseya hat weltweit mehr 36 000 Kunden. Sicherheitsexperten lobten das Unternehmen aber für seine schnelle Reaktion auf den Angriff. Betroffen davon waren nach bisherigen Erkenntnissen nur Firmen, die die VSA-Software in ihren eigenen Rechenzentren einsetzen. Kunden, die den Dienst über die Cloud gebucht haben, sollen demnach verschont geblieben sein.