26 Echte Cyber-Vorfälle

Täglich werden Unternehmen und Privatpersonen von Hackern angegriffen. Große Unternehmen kommen in die Presse. Aufgrund von Umfragen und der Anzahl an Versicherungsfällen wissen wir, dass wir von den 10.000den kleinen und mittleren Unternehmen, die jeden Monat Cybervorfälle haben, nichts erfahren.

Bei den Cyberkriminellen handelt sich dabei einerseits um kriminelle Gruppen und andererseits staatliche Organisationen. Die Motivationen sind:

  • Geld zu erpressen bzw. zu ergaunern
  • Wirtschaftsspionage
  • (Wirtschafts-) Kriegsführung

Im folgenden finden Sie eine Liste von realen Vorfällen mit Quellenangaben.

Jedes Unternehmen, egal welcher Größe oder Branche, jede Behörde und jede Privatperson wird entweder durch massenhaft automatisierte Attacken oder individuell gezielt angegriffen. Die Angriffe erfolgen auf praktisch jeden Internetanschluss und jede E-Mail Adresse. IP Adressen und E-Mail Adressen werden dabei im Internet augelesen oder einfach automatisiert durchprobiert. Immer wieder mit Erfolg, wie man sieht...

Quizzfrage: Wer muss Lösegelder zur Entschlüsselung
der von Hackern verschlüsselten Daten
zahlen?

Antowort: Die, die keine zeitgerechte Datensicherung haben.

"Maybe you’ve been lucky and never had to survive a significant malware attack, but they can strike at any moment."

(Ehemals bei Maersk beschäftigter IT Experte)

Datum Unternehmen Beschreibung Quelle
12. November 2020 GWG Wohnungsgesellschaft Die städtische GWG Wohnungsgesellschaft in München mit über 30.000 Wohnungen und über 500 Mitarbeitern wurde Opfer eines Hackangriffs. Eine Sprecherin des Landeskriminalamts LKA sagte: "Wir können eine Cyber-Attacke bestätigen". Der Oberstaatsanwalt Thomas Goger teilte mit, dass die Täter einen Ransomware-Angriff durchgeführt haben. Die "großflächige IT-Störung" hat offenbar die IT Systeme und das Mailsystem lahmgelegt. Die Gesellschaft ist nur per Telefon zu erreichen. Hacker-Angriff auf GWG Wohnungsgesellschaft
10. September 2020 Universitätsklinikum Düsseldorf Interessanter Fall! Schon seit langer Zeit beschreibe ich die Risken von nicht zeitgerechten Backups. Nicht nur Unternehmen, sondern auch Behörden, Kliniken und Universitäten haben nach wie vor keine zeitgerechte Datensicherungstopologien.
Die Universitätsklinik wurde Opfer einer Ransomware Attacke. Der Angriff war nicht zielgerichtet, sondern "Beute" bei einem breit angelegen Angriff mit Ransomware auf zufällige Ziele. Die Angreifer konnten sich durch eine Zero-Day Sicherheitslücke einer Software (Citrix VPN Server) einnisten, d. h. sie hatten die Systeme mit Schadsoftware infiziert. Auch nach schließen dieser Sicherheitslücke hatten die Angreifer Zugriff auf die Computersystem, da die Schadsoftware schon installiert war.
Am 10. September schlugen die Cyberkriminellen zu: es wurden die Telefonanlage lahmgelegt und 30 Server der Uniklinik verschlüsselt.
Die Cybererpresser fordern 100 BitCoins, ca. 870.000 €. Selbst nach einer Woche ist das Klinikum nicht in der Lage, eine Notfallversorgung oder Operationen durchzuführen.
Mit dem Datensicherungskonzept der Backup in the Box wäre das Universitätsklinikum Düsseldorf vermutlich nach einem Tag wieder in der Lage, Notfallversorgungen und Operationen durchzuführen, da die Arbeitsplätze innert einiger Stunden wiederhergestellt wären und die Server direkt aus der Datensicherung hochgefahren werden könnten.
Uniklinik Düsseldorf nach Ransomware-Angriff weitgehend lahmgelegt
27. August 2020 Dirección Nacional de Migraciones (Argentinien)
Ziemlich "cooler" Hack: Russische Hacker sind mit der Ransomware Netwalker in die Computersysteme der argentinischen Ausländerbehörde eingedrungen. Sie haben Datensätze zwischen Ende April und Februar von ein- und ausreisenden Personen gestohlen. Desweiteren wurden Computerdaten verschlüsselt, wodurch die System für vier Stunden offline waren. Sie forderten von der Ausländerbehörde ein Lösegeld von 2 Mio. USD für die Entschlüsselung der Daten und drohten bei Nichtzahlung die Personendaten zu veröffentlichen. Die argentinischen Behörden verlautbarten, dass sie nicht mit "Hackern" verhandeln. Nach einer Woche erhöhten die Erpresser die Lösegeldforderung auf 4 Mio.USD, zahlbar in 355,8718 Bitcoins. Nachdem die Behörde immer noch nicht gezahlt hat, veröffentlichten die Hacker 100.000de Ausweisdaten im Internet, darunter 12.000 deutsche. Die Bundesregierung pennt wieder einmal, sie findet es nicht nötig, die Pässe für ungültig zu erklären und auf Staatskosten neue auszustellen. Man könnten die steuerfreien Diäten der Politiker für ein Jahr aussetzen und damit die Pässe finanzieren... Ransomware-Hacker nehmen Argentiniens Grenzen offline
9. August 2020 KME Die Attacke betraf E-Mail und Dateiserver. Anfangs war die Produktion nicht eingeschränkt, nach und nach wurden die Probleme größer und die Produktion wurde in Mitleidenschaft gezogen. KME zufolge, war das Datenschutz- und Sicherheitsmanagement des Unternehmens auf dem aktuellen Stand der Technik. -> Hilft alles nichts, wenn keine vernünftige Datensicherungstopologie existiert. Siehe dazu unser Webinar. KME muss nach Hackerattacke Produktion drosseln
4. August 2020
LG und
Xexox
Mit der Erpresser Software Maze haben Hacker Daten von LG und Xerox erbeutet. Beide Unternehmen weigerten sich, Erpressungsgelder zu zahlen,  damit die Daten nicht veröffentlicht werden. In der Folge veröffentlichten die Cyberkriminellen 50 GByte Daten von LG und fast 26 GByte Daten von Xerox, die frei zum Download bereitstehen. Ransomware-Gang veröffentlicht massenhaft interne Daten von LG und Xerox
30. Juli 2020 Canon Hacker sollen mit Hilfe von WastedLocker oder Maze in Besitz von zehn Terabyte an Daten gekommen. Den Zugang zu den Daten haben sie entweder durch Verschlüsselung oder auf andere Weise unterbunden. Sie forderten ein Lösegeld von 10Mio. USD. Es wird gedroht, die Daten öffentlich ins Internet zu stellen, wenn die Lösegeldforderung nicht erfüllt wird.
Der Zugang zu mehreren Canon-Systemen stand infolge eines Ransomware-Zwischenfalls einige Tage nicht zur Verfügung.
Nach Garmin jetzt auch Canon im Visier von Hackern
23.Juli 2020 Garmin Garmin wurde Opfer der Ransomware WastedLocker. Dabei wurden offenbar sowohl die aktiven Daten wie auch die Datensicherung verschlüsselt bzw. zerstört. Nach Zahlung von angeblich 10 Mio. USD Lösegeld konnte Garmin seine Systeme offenbar wieder verwenden. Garmin zahlt mehrere Millionen Dollar Lösegeld
Juli 2020
CWT
Beim US-Reiseunternehmen CWT wurden 30.000 Computer infiziert/verschlüsselt. CWT zahlte nach öffentlichen Verhandlungen "nur" 4,5 Mio. USD (414 Bitcoin). Gefordert waren 10 Mio. USD.
Die Cyberkriminellen hatten sich nach eigenen Angaben Zugang zu rund zwei Terabyte an Firmendaten verschafft. Darunter sollen sich Finanzberichte, persönliche Daten von Mitarbeitern sowie Gehaltsinformationen befunden haben. Die Hacker versprachen, die Daten gegen die erfolgte Bezahlung zu löschen und CWT eine Software bereitzustellen, mit der die durch die Ransomware verschlüsselten Daten auf den betroffenen Firmenrechnern wieder hergestellt werden können.
Ransomware-Attacke: Reiseunternehmen zahlt 4,5 Millionen an Cyber-Erpresser
Juli 2020
Dussmann Group/ Dresdner Kühlanlagenbau Die Ransomware Nefilim wurde erfolgreich eingeschleust. Dabei wurden nach Angaben der Cyberkriminellen ca. 200 GB an Daten heruntergeladen. Hacker veröffentlichten bisher 14 GB an Daten auf frei verfügbare Internetseiten. Die Daten wurden nach dem Donwload verschlüsselt. Mehr Informationen stehen zurzeit nicht zur Verfügung (6.8.2020). Ransomware-Angriff auf Dussmann: Hacker veröffentlichen Daten
18. Juli 2020 Telecom Argentina
Von der Telecom Argentina verlangen die Erpresser Lösegeld in der Kryptowährung Monero (XMR) im Wert von 7,5 Millionen US-Dollar.
Es wurden angeblich 18.000 Rechner verschklüsselt.
Argentinische Telecom erleidet Ransomware-Angriff in Millionenhöhe
20. Mai 2020 Schmersal Schmersal war Ziel eines Cyber-Angriffs. Das Unternehmen wurde telefonisch vom Landeskriminalamt informiert, dass ein Angriff stattgefunden hätte bzw. ein Angriff unmittelbar bevor stehe. Das Unternehmen reagierte außerordentlich schnell: in sieben Minuten wurde an allen Standorten in Deutschland die Internetverbindungen getrennt. Es dauerte 90 Minuten, bis dies an allen sieben Standorten der Welt geschen war.
Bei den Untersuchungen stellte sich heraus, dass etwa 80% aller Computer infiziert waren und, dass das Einschleusen der Ransomware schon seit drei Monaten im Gang war. Die Ransomware wurde über eine sehr gut gemachte E-Mail im Unternehmen gestreut, die auch ein vorsichtiger Mitarbeiter nicht als Ransomware Attacke ausmachen konnte.
Der Angriff wurde frühzeitig erkannt, so dass das Unternehmen nach 14 Tagen wieder voll oprativ war.
Gehackt: Schmersal erholt sich von Cyberangriff
15. Mai 2020
Grubman Shire Meiselas & Sacks Der Kanzlei wurden 750 GByte Daten prominenter Klienten entwendet. Die ursprüngliche Forderung von 21 Mio. USD haben die Erpresser auf 42 Mio.USD erhöht. Lösegeldforderung verdoppelt: REvil-Ransomware nimmt Donald Trump ins Visier
14. März 2020 Universitätsklinik Brünn Mit Hilfe eines Erpressungstrojaners gelang es den Hackern, das Krankenhaus tagelang lahm zu legen. Alle Rechner sein abgeschaltet worden. Operationen konnten nicht planmäßig durchgeführt werden usw. Ein Zugriff auf die Krankenakten mit Testergebnissen und anderen Daten war nicht mehr möglich. Angaben zu den Lösegeldforderungen gab es nicht. Cyberangriff legt tschechisches Krankenhaus mit größtem Corona-Testlabor des Landes lahm
März 2019
Norsk Hydro
Bei Norsk Hydro, einem der größten Aluminium Hersteller der Welt, verschlüsselte die Ransomware LockerGoga Server, Notebooks und Desktops. Die Produktion vieler der 170 Produktionsstätten fielen aus.
Die Attacke fiel 3 Monate lang nicht auf, bis die Daten von den Cyberkriminellen schlussendlich verschlüselt wurden und die Lösegeldforderung gestellt wurde.
Norsk Hydro hat keine Lösegeld gezahlt. Stattdessen haben sie die Daten von Backup Servern wiederhergestellt. So muss eine Backup Lösung strukturiert sein!
Der Artikel geht auf den Hergang und die Entwicklung des Angriffs ein. Sehr interessant zu lesen.
Der geschätzte Schaden betrug 71 Mio. USD.
Hackers hit Norsk Hydro with ransomware
Dezember 2019 Travelex Travelex ist ein Dienstleister für Währungswechsel und hat 1.000 Geldautomaten und 1.000 Geldwechselstuben. Die Ransomware Sodinokibi (andere Quellen sprechen von Maze) hat wesentliche Systeme verschlüsselt und 5 GB sensible Daten an die Angreifer übertragen, so dass Travelex längere Zeit offline war. Sie haben es nicht geschafft, kurzfristig wieder online zu sein und ihre Daten von der Datensicherung wieder herzustellen. Sie haben 2,3 Mio. von den geforderten 6 Mio. USD an die Erpresser REvil gezahlt, um wieder an ihre Daten zu kommen und für das Versprechen, dass die gestohlenen Daten gelöscht und nicht veröffentlicht werden. Durch den Cybervorfall und die Corona Krise hat das Unternehmen einen Schaden von 26 Mio. engl. Pfund allein im 1. Quartal 2020 erlitten. Weitere 84 Mio. engl. Pfund sind notwendig, um notwendige Restrukturierungen durchzuführen. Die Folge der Ransomware ist, dass über 1.000 Stellen gestrichen werden mussten. Aufgrund der Restrukturierung werden zusätzlich 1.300 Stellen abgebaut.
Erst am 17. Januar 2020 waren die ersten Travelex Systeme für Kunden wieder einsatzfähig.
Eine Sache haben Sie gut gemacht. Sie hatten eine Cyber-Versicherung abgeschlossen, die einen großen Teil des Schadens deckt.
Travelex Paid $2.3 Million to Ransomware Gang
8. Dezember 2019
Universität Gießen
"Der Präsident nennt es eine "digitale Naturkatastrophe". An der Uni Gießen geht nichts mehr: nicht die Website, nicht die Mails, nicht die Ausleihe in der Bibliothek. Niemand kann sich an den PCs einloggen, das Prüfungsamt kann keine Zeugnisse ausstellen. Die Studierenden kommen weder an ihre Noten, noch an ihre Seminarunterlagen ran. In den Studentenwohnheimen gibt es kein WLAN mehr. Seit mehr als einer Woche sind die 28.000 Studierenden und 5.500 Mitarbeiter der Justus-Liebig-Universität offline." (Ausschnitt aus Zeit Campus vom 17.Dezember 2019).
Zum Wiederaufbau wurden rund 6 Wochen benötigt. Der Schaden unter anderem durch erhöhten Personalaufwand betrug ca. 1,7 Mio. €.
Wenn die Uni plötzlich offline ist - Hackerangriff auf die Universität Gießen
20. Oktober 2019
Pilz
Hackern gelang es, sämtliche Server zu verschlüsseln. Über die Höhe der Forderung zur Entschlüsselung der Daten wurden keine Angaben gemacht. Es dauerte ca. eine Woche, bis die Systeme wieder normal einsatzbereit waren. Der Schaden ging angeblich in die Millionen.
Cyberangriff bei Pilz: Komplette Unternehmens-IT abgeschaltet
25. September 2019 Kammergericht Berlin
Hacker verschlüsselten bzw. zerstörten mit Hilfe von Emotet den gesamten Datenbestand des Kammergerichts Berlin. Möglicherweise wurde zuvor der gesamte Datenbestand abgezogen.
Mehr als 500 Computer und über 100 Server mussten vom Netz genommen werden. Zur Zeit des Angriffs waren alle Datensicherungsserver defekt. Es gibt offensichtlich keine Sicherungen.
Die IT des Kammergerichts Berlin ist auch nach 6 Monaten immer noch nicht wieder voll einsatzfähig!
Trojaner-Attacke auf Gericht: Möglicherweise gesamter Datenbestand geklaut
4. Juli 2019
Wempe
Die Daten des Schmuckhändlers wurden verschlüsselt. Nach Zahlung einer Lösegeldforderung von über 1 Mio. € wurden die Daten wieder entschlüsselt.
Der Fall Wempe zeigt, wie verwundbar die IT im Mittelstand ist
Lake City Cyberkriminelle haben die Daten der Stadtverwaltung Lake City (Florida) verschlüsselt. Zur Entschlüsselung forderten Sie 42 Bitcoins (ca. 460.000 USD), die die Statverwaltung dann auch bezahlte.
Wenn Hacker eine ganze Stadt als Geisel nehmen
12. März 2019
Hexion
Momentive
Die Computer beider Unternehmen wurden von der Ransomware LockerGoga verschlüsselt.
Ransomware Forces Two Chemical Companies to Order ‘Hundreds of New Computers’
24. Januar 2019
Altran Technologies Alle wurden von LockerGoga angegriffen. Deren Daten wurden verschlüsselt und es wurden Lösegeldforderungen gestellt,um die Daetn wieder entschlüsseln zu können. New LockerGoga Ransomware Allegedly Used in Altran Attack
21. November 2018 Krauss Maffei Krauss Maffei mit Hauptsitz in München, an dem 1.800 Mitarbeiter arbeiten und weltweit 5.000 Mitarbieter beschäftigt sind, wurde von einer Ransomware befallen, die zahlreiche Dateien für die Fertigung und Montage verschlüsselt hat. Erst nach etwas vier Wochen konnte wieder der Normalbetrieb hergestellt werden. "Es sind sind hundert Prozent der Server und Computer des Netzwerks ausgefallen“, sagte ein BSI-Sprecher. Cyberkriminelle erpressen Krauss Maffei

Das sagen Experten zur Ransomware-Attacke auf Krauss Maffei
8. November 2018 Klinikum Fürstenfeldbruck
Die IT im Klinikum wurde vollständig lahmgelegt. Nicht ein einziger der 450 Computer funktionierte. Es dauerte etwa 2 Wochen, bis der Normalbetrieb wiederhergestellt war. Computervirus legt Klinik lahm
27. Juni 2017
Maersk
Bei der Reederei Maersk fiel im Sommer 2017 nach einem Befall mit der Software „NotPetya“ das gesamte Netzwerk für zehn Tage aus, der Schaden belief sich in der ersten Woche auf rund 300 Millionen Dollar.
Das Besondere dabei war, dass der Trojaner durch ein Update der Buchhaltungssoftware eingeschleust wurde.
Nach NotPetya-Angriff: Weltkonzern Maersk arbeitete zehn Tage lang analog

Background Information: "Maersk, me & notPetya"
10.Februar 2016 Lukaskrankenhaus Neuss Das Lukaskrankenhaus wurde von einer Ransomware Attacke befallen. Das Krankenhaus hatte ein sicheres Backup, das wieder eingespielt werden konnte und war nach einem Monat wieder voll einsatzfähig. Sie hatten die Lösegeldforderung daher nicht zahlen müssen. Dennoch entstand ein Schaden von ca.einer Mio.€. Trojaner im OP - wie ein Krankenhaus mit den Folgen lebt

Gemeldete Schadenssummen
durch NotPetya

$870,000,000

Pharmaceutical company Merck

$400,000,000

Delivery company FedEx (through European subsidiary TNT Express)

$384,000,000

French construction company Saint-Gobain

$300,000,000

Danish shipping company Maersk

$188,000,000

Snack company Mondelēz (parent company of Nabisco and Cadbury)

$129,000,000

British manufacturer Reckitt Benckiser (owner of Lysol and Durex condoms)


$10 billion

Total damages from NotPetya, as estimated by the White House.

The Untold Story of NotPetya, the Most Devastating Cyberattack in History

"The malevolent hackers who are trying to illegally access data are not going to give up any time soon, and they will continue to find ways to get through even the toughest security measures."

(Nikita Duggal)