Das Berliner Kaufhaus des Westens (KaDeWe) ist wohl Opfer eines Cyberangriffs geworden. Verantwortlich zeichnet die Gruppe "Play", die wohl in die Systeme eindringen konnten. Die IT-Systeme wurden zur Vorsicht herunter gefahren. In den Läden der KaDeWe-Gruppe läuft derzeit an den Kassen ein Offline-Notbetrieb – Zahlungen mit Karten sollen aber möglich sein.
Anzeige
Cyberangriff Freitag-Nacht
Ich bin über nachfolgenden Post auf BlueSky auf den Sachverhalt gestoßen. Diverse Medien wie die Berliner Morgenpost, RBB24 oder das Redaktionsnetzwerk Deutschland (RND) berichten über den Vorfall.
Die KaDeWe-Gruppe hat wohl gegenüber Medien den Cyberangriff bestätigt. Laut Tagesspiegel heißt es in einem Schreiben des Geschäftsführers Michael Peterseim: "Unsere aufmerksamen Sicherheits- und Warnsysteme konnten durch sofortige Maßnahmen glücklicherweise den Angriff in einem sehr frühen Stadium abwehren und die Auswirkungen deutlich eindämmen." Interessant ist für mich die Information, dass sich der Angriff "in der Nacht zu Freitag" ereignet haben muss.
Sprich: Der Angriff erfolgte am 2. auf den 3. November 2023, so dass die Auswirkungen bereits am Wochenende zu spüren waren. Am Wochenende war daher nur Barzahlung in den Geschäften der KaDeWe-Gruppe möglich. Inzwischen heißt es, u.a. von Sprecherin Catharina Berndt gegenüber dem Tagesspiegel, dass auch Kartenzahlungen in den Geschäften wieder möglich seien. Die Zahlungen per Karte und im Online-Shop sollen laut KaDeWe-Gruppe auch sicher sein.
Anzeige
Das Unternehmen gibt an, dass man den betroffenen IT-Bereich nach aktuellem Informationsstand eingrenzen können. Die KaDeWe Group habe umgehend nach Kenntnis des Angriffs die Behörden eingeschaltet, Strafanzeige erstattet und stehe im Austausch mit der Cyber Crime Unit der Polizei Berlin" zitieren Medien aus einer Pressemitteilung des Luxus-Kaufhauses. Weiterhin seien die Datenschutzbehörde vorsorglich informiert worden. Hinweise auf entwendete Daten gebe es bislang nicht, auch Passwörter von Online-Accounts sollen nicht betroffen sein. Aktuell laufen wohl die Untersuchungen zum Umfang des Angriffs mit Unterstützung der Cyber Crime Unit der Polizei Berlin und Forensikern.
Play-Ransomware-Gruppe verantwortlich
Als Angreifer wird die Play-Ransomware-Gruppe genannt. Play ist eine Gruppe von Cyberkriminellen, die für zahlreiche Ransomware-Angriffe auf Unternehmen und staatliche Institutionen verantwortlich ist. Die Gruppe trat 2022 in Erscheinung und griff Ziele in der USA, in Brasilien, in Argentinien, Deutschland (Ransomware-Angriff für Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich), Belgien sowie in der Schweiz (Ransomware-Infektionen, Datenabflüsse, Sicherheitslücken Ende Mai 2023) an.
Sicherheits-Experten vermuten, dass die Gruppe aus Russland stammt, da die verwendeten Verschlüsselungstechniken denen von anderen aktiven russischen Randsomware-Gruppen wie Hive und Nokoyawa stark ähneln. Der Name "Play" kommt von der Datei-Endung ".play", die die Gruppe für die verschlüsselten Daten ihrer Opfer verwendet und dabei eine Nachricht mit dem Wort "PLAY" und einer E-Mail-Adresse hinterlässt.
Mehrheit der Unternehmen schweigt
Ich nehme es mal mit in den Beitrag auf. Beim KaDeWe ließ sich der Vorfall wohl nicht verschweigen, weil in den Länden und im Online-Shop Öffentlichkeit herrscht. Bei der Mehrzahl der Unternehmen werden Cybervorfälle aber wohl verschwiegen, wie ich gerade dem Post von Dennis Kipker (Professor für IT-Sicherheit) entnehmen.
Herausgekommen ist dies durch den TÜV-Verband, aus dessen Bericht Silicon hier zitiert. Nur 15 % betroffener Unternehmen informieren die Öffentlichkeit über Cybervorfälle. Und nur 4 Prozent der Unternehmen geben die Information an die Öffentlichkeit, weil sie gesetzlich dazu verpflichtet sind (z.B. bei Datenlecks, bei denen personenbezogene Daten abfließen). Fast 3/4 der Befragten gaben laut TÜV-Verband an, dass sie es vermeiden, einen Cybersicherheitsvorfall öffentlich zu machen, weil sie einen Reputationsschaden befürchten (74 Prozent).
82 Prozent der deutschen Unternehmen, die in den vergangenen zwölf Monaten einen IT-Sicherheitsvorfall zu verzeichnen hatten, hielten diesen geheim. Das ergab eine repräsentative Ipsos-Studie im Auftrag des TÜV-Verbands, bei der rund 500 Unternehmen befragt wurden. Und das muss man spiegeln an der Aussage, dass 83 Prozent der Befragten der Meinung sind, dass mehr Unternehmen Cybersicherheitsvorfälle öffentlich machen sollten, um das Risikobewusstsein zu schärfen. Hier sind sicherlich gesetzgeberische Auflagen gefordert, um die Unternehmen zu Transparenz zu verpflichten.
Ähnliche Artikel:
Ransomware-Angriff für Ausfall der Rackspace-Exchange-Instanzen im Dez. 2022 verantwortlich
Ransomware-Infektionen, Datenabflüsse, Sicherheitslücken Ende Mai 2023
Microsoft Exchange: Neue OWASSRF-Exploit-Methode (ProxyNotShell) durch Play-Ransomware
Anzeige
Das Ding heißt nicht KADW und auch nicht KADWE, sondern KaDeWe ;)
Kaufhaus des Westens
" Verantwortlich zeichnet die Russische Gruppe "Play"". Bitte journalistisch sorgfältig arbeiten. Daß es sich um eine russische Gruppe handelt wird vermutet. ist aber nicht erwiesen also bitte mutmaßlich russische Gruppe. Oder gibt es einen Bekennerbrief mit Adresse?
Man hat den Ausweis gefunden :-)
Geisterfahrer-Effekt?
Es gab Mal ne Zeit in der Leute mit Absicht falsch auf die Autobahn fuhren. "Mal sehen ob wir ne Radiomeldung auslösen können"…
Mich interessiert nicht, wie sich diese Gruppe nennt und wo sie vermeintlich herkommt.
Mich interessiert, wie sie in das Firmen-Netz gekommen sind und ob ich U.U. etwas zusätzlich tun müsste/könnte.
Aber vermutlich bin ich da die Ausnahme?
Man bestellt heute irgendwie ein zusätzliches "Sicherheits layer" und gut ist? Ist ja nicht mehr meine Verantwortung.
Ich habe mein Bestes getan, den Auftrag unterschrieben.
Wenn ich einmal in meinem Kopf überschlage, was diese ganzen Angriffe im Jahr zusammen addiert wohl gekostet haben mögen allein für dieses Jahr, komme ich auf eine Summe, die vermutlich zwischen 50 und 150 Milliarden Euro liegen dürfte.
Also diese Summe dafür, dass Deutschland in Wirtschaft und Verwaltung ein erbärmliches Bild abgibt, was die Cybersicherheit anbetrifft. Sachlicher Unverstand, Monokultur, Gleichgültigkeit, Überforderung, falsche Prioritätensetzung, Kapitulation vor der Komplexität… ich könnte sicher noch mehr Gründe finde.
Schon seit einiger Zeit mehren sich Stimmen, die meinen, dass sich Deutschland auf dem absteigenden Ast befindet. Diese Meinung teile ich, aber nicht erst seit kurzem. Zu spüren waren die ersten Anzeichen bereits in den Neunziger Jahren. Die negativen Auswirkungen wurden nur mehr oder weniger damals in die Zukunft verschoben.
Die Überalterung unserer Gesellschaft, die immer mehr um sich greifende konservative bis extrem konservative Grundhaltung, die dazu führt, dass man der Meinung ist, dass andere es schon richten werden oder man ja gar nichts machen müsse, weil "früher ging's ja auch". In meinen Augen ist das "Vogel-Strauß-Taktik". Oder einfach nur generelles, gesellschaftliches Versagen.
Das BSI sprach die Tage von 201 Milliarden bzw. ca. 45% vom aktuellen Bundeshaushalt.
Also wenn ich so in mein Aktien Depot schaue:
Ja, Deutschland ist auf dem fallenden Ast.
Dem, den sie selbst angesehen haben.
Seine angeblich hervorragenden Motoren stellten sich als Betrug heraus, die Konzernleitung hat eMobilität mit Absicht ignoriert, ha ablockiert. (Die Arbeitsplätze, die Arbeitsplätze. Ja, da muss man sich halt anpassen. Es gibt da eine Firma, die Wolleweberei im Namen trägt und floriert. Wie dass? Sie sind umgestiegen und handeln jetzt nur noch mit Wohnraum…).
Und irgendwie nicht gerafft hat, dass die Chinesen auch gute Ingenieure haben, und wo etwas fehlt, die besten Deutschen rauskaufen. Und die gehen nicht wegen des Geldes nach China, sondern weil sie dort nicht von den alten Sturköpfen gebremst werden, und das tun können was ihnen zusagt, anstatt gegen Windmühlen und Gummiwände zu kämpfen.
Armes Deutschland
Und nun?
Außer schriftlich abzuko…. und diverse, angeblich verursachende Gründe zu (be)nennen (kann man vieles davon sicher so sehen, muss man aber nicht unbedingt) kommt sonst nichts … Konstruktive Lösungsvorschläge wären angebracht, finde ich.
Und nein, auch ich habe diese leider nicht.
Allerdings bin ich mittlerweile persönlich so weit, dass ich (für mich) den ganzen IT- und Digitalisierungskram zumindest generell in Frage stelle. Wir werden da wohl nicht mehr positiv raus kommen, da man es generell versäumt hat, rechtzeitig alles in einigermaßen geregelte Bahnen zu lenken. Vor allem wurde – wie bei fast allen "großen Dingen" – die Sache mit dem "Fluch" aus dem "Fluch und Segen zugleich", sträflich von Anbeginn an vernachlässigt. Und das rächt sich jetzt halt immer mehr. Ist ja nicht nur in D so. IT-Angriffe und Cyberbedrohungen usw., sind ja ein weltweites Thema. Und nicht nur dies: Noch wesentlich schlimmer finde ich die ganzen Entwicklungen im Bereich der persönlichen Überwachung (eben "gläserner Mensch" usw.) bei der wir alle doch mitgemacht haben und weiterhin mehr oder weniger brav mitmachen. Inzwischen eben auch mitmachen müssen, um nicht "diverse Nachteile" zu erleiden. Was eigentlich in sich selbst ein Widerspruch darstellt, da es eben nur oberflächlich betrachtet zunächst Vorteile sind, die sich oft sehr schnell dann doch eher als Nachteil herausstellen (können). Und, ganz wichtig: Die "unwissend-sorglose" Mehrheit macht noch immer weitgehend kritiklos bis bejubelnd dabei mit; einschließlich der unterbelichtet-kritiklosen "Mainstream"-Presse.
Was unter dem Strich (!!) betrachtet, hat uns denn eigentlich die Digitalisierung Positives gebracht? Wenn man die ganze Sache doch mal ganz nüchtern betrachtet und gegeneinander aufwiegt, dann kommt da am ehesten wohl doch ein Nuller (+/-) raus?! Man hat sich halt neue Probleme geschaffen, man hat alten Problemen einen neuen Namen verpasst, man hat Probleme um-, aus-, auf eine andere Ebene verlagert und Probleme sogar auch überlagert (>> soll heißen, man hat nicht gelöste, alte Probleme mit neuen Problemen zugepflastert und sich dann gewundert, dass sich die Problematik sogar noch verstärkt).
Der Geist ist seit langer Zeit aus der Flasche und nicht mehr einfangbar. Die Geister, die man rief eben … Dem "großen Ding" mit einer gemeinsamen und übergreifenden "Strategie" (wie auch immer die aussehen mag) wieder Herr zu werden, wird nicht (mehr) möglich sein, da längstens zu viele Köche den Brei verdorben haben … Der Unterschied zum verdorbenen Brei ist, dass ich den einfach wegschütten und einen neuen kochen kann. Dies geht halt bei der IT und Digitalisierung leider längstens nicht mehr, da man dazu gleich auch noch die Kochtruppe, die ganze Küche und das Gebäude, in dem die Küche ist, komplett wegwerfen müsste. Somit sind wir wohl alle letztendlich Einzelkämpfer und werden sehen müssen, wie wir persönlich mit dem ganzen Dilemma umgehen …
Wer eine andere/bessere Meinung und/oder einen generellen Lösungsvorschlag hat, darf ihn gerne hier der Allgemeinheit mitteilen. Bin gespannt.
Seit 2000 (Chen Ing-Hau) https://de.wikipedia.org/wiki/CIH_(Computervirus) hat es kein Virus oder (what ever) in unser Netz geschaft, das hat mich darmals richtig wach gemacht, als sämtliche Bios gelöscht wurden. Dann haben wir richtig viel Geld in die Hand genommen und alles gemacht was nötig ist. Warum macht ihr das nicht auch?!
Weil dazu auch eine gute Portion Glück AKA Statistische Wahrscheinlichkeit gehört überhaupt angegriffen zu werden.
Da kauft man sich diese irre teure Cisco Firewall, und dann hat Just diese ein Loch.
Sag doch mal, was ihr gemacht habt.
Ich denke dass das viele interessieren wird, und auch sozial sehr hochwertig wäre.
Nicht? War teuer? Konkurrenz und Angreifer schlau machen?
Was hätten wir davon außer Arbeit durch Rückfragen.
Also Heise hat ihren Fall ja zu Geld gemacht und bietet jetzt teurere Kurse an, in denen sie beschreiben, was man tun muss und wie, damit nur das halbe Netz gekapert wird.
Hat sich leider in diese negative Richtung entwickelt und ist vermutlich auch der Grund, warum nicht gesagt wird, wo das Loch war.
Es ist eine Möglichkeit zusätzlich Geld einzunehmen.
Das KaDeWe scheint ja auch irgendwas richtiger gemacht zu haben, da wohl nicht alles platt gemacht werden mußte.
Und nutzt das jetzt für Virale Werbung…
Diese irre teure Cisco Firewall hat bestimmt auch noch mehr Löcher…
Ja – eine Tür ist irgendwie auch ein Loch – aber dann bezeichnet man das als Öffnung.
Nicht die Tür ist das Problem, sondern wer alles Schlüssel hat.
Nichts anderes habe ich gesagt ;)
Die sind dann auf FW1 umgestiegen.
Gaaaanz toll. Das Miststück hat den SSH Tunnel über HTTPS erkannt und geblockt.
SSH ist sowieso pöhse!
Das treibt dann solche Blüten, das Entwickler sich die Daten von einem Studenten an der Uni herunterladen ließen und per Band auf ihren Rechner bringen ließen. Irre.
Trotzdem war das damals alles nicht so schlimm wie es heute gerne dargestellt wird um mit der Angst (vor Verantwortung) Kohle machen zu können.
Achso. Dieses absolut professionelle Netz wurde dann von ein paar Microsoft Fraggels weiter "optimiert". Die Entwickler waren dankbar, dass sie endlich ihren SSH-Tunnel ohne Umwege nach Hause schlagen konnten..Ich vermute, man hat das Loch eingebaut um evtl. ggf. evtl. unbequeme oder überflüssige gewordene Leute kostenlos und schnell entsorgen zu können…
Natürlich ist es absoluter Wahnsinn, sich dauerhaft per SSH nach Hause zu verbinden um so unkontrollierbar Surfen zu können, selbst wenn man dafür einen separaten Rechner nimmt..
Auch ein Faktor der auch übersehen wird.
Diese ständige Kontrolle verändert die betroffenen Menschen.
Interessierte können sich ja mal die Urteils Begründung zur Volkszählung ansehen.
Wenn ich nicht auf die Webseite darf, weil dort das Wort "Hack" steht, dann geht man eben nicht auf die Website, warum sollte man mit seinem Job spielen und kreativ Löcher in die Firewall zu schlagen… vielleicht ist die Webseite wirklich gefährlich und die von Google gefundene Info fake? jeder Admin weiß das die eigentlichen Feinde der Sicherheit auf der Innenseite des Netzwerks auf einem Stuhl sitzen und "User" genannt werden.
Darum alle 10 Tage ein neues 12stelliges Passwort mit Sonderzeichen, ohne o,O,0, 1,l, 5,s etc. wobei die letzten 20 verwendeten Passwörter gesperrt sind und jedes Neue erstmal gegen haveibeenpawnd und die die Passwörter aller anderen User und Dienste im Klartext vor Gina.dll geprüft werden. Im Klartext. Wie sollte man sonst Sicherheit in diesen Sauhaufen bringen?
ja. immer eines mehr als man findet
Vor Snowden wäre man für verrückt erklärt worden, wenn man behauptet hätte,dass amerikanische Hersteller Backdoors einbauen oder das jemand so viel IP Kapazität hätte, um das gesamte Tor Netzwerk betreiben zu können, oder eine komplette Etage im WTC mieten zu können um darin sämtliche Glas Fasern abschnuffeln zu können, oder Tiefsee Kabel zu angeln um sie am Strand in einem Schuppen abzugreifen.
Alles völlig unvorstellbar.
Wie auch Festplatten im Zug Gigabyte bereich, hergestellt aus DRAMs, weil nichts anderes schnell genug war
Snowden? Das war 2015, oder, achne, 2013, vor zehn Jahren…
Wie geht's ihm eigentlich?
Fang hier "mal" an: Administrator: Windows Power Shell
Get-NetAdapterBinding -Name * -IncludeHidden -AllBindings
Hat sehr wenig mit "Glück" zu tun, "auf 38 Jahre Erfahrung basierend" und tägliche Angriffe..
In Windows diverse Dienste und Bindungen verändern (fast alles) und IPv4 only (Client`s-Intern).
https://abload.de/img/ipv4onlytohwfw_p3dd5.jpg
Extern/Out alles völlig anders, auch geht kein Client über Windows out/in.
Das würde zu weit führen das alles hier mitzuteilen, das Wissen in 38 Jahren zusammentragen, von Win1 bis 11 3/4. :)
ja, schon klar.
Dunkel erinnere ich mich, das es mal "hardening Scripte" gab. irgendwie sind die verschwunden.
ich vermute mal, weil Microsoft die Härtung immer wieder zurückgerollt hat. Irgendwann hatte Syiphus auch keinen Bock mehr den Sand in der Wüste zusammen zu kehren..
Da gab es mal einen(!) infizierten PC.
Der fiel aber nicht durch teuere Spezial Programme auf, sondern durch Brain 1.0.
Das Netz hatten absolute Profis entworfen.
Es war vollkommen dicht, funktionierte für die User gut.
Nichts ging mit fremden IP. oder Broadcast.
Alles musste bei den DNS erfragt werden und sie müssten Proxy benutzen.
Allerdings wurden keine Werbeblocker zwangsweise eingesetzt (es waren halt "nur" Netzwerke-Profis…und man war sich dieser Gefahr nicht gewahr.).
Über die Banner-Werbung kam ein Virus auf seine Kiste, und die hat den DNS auf den externen des Angreifers gestellt. Das ging auf seiner Kiste damals noch.
Durch das schlaue Netzkonzept fiel das dem Benutzer sofort auf:
Er könnte fast nichts mehr machen da seine DNS abfragen ins nirwana gingen. Nur die Rechner die doch noch mit Broadcast zu finden waren, konnte er erreichen.
Heute würde das nicht mehr gemacht werden.
Oder hat schon jemand mal erfolgreich geschaft, nur die Zugriffe auf MS Server dauerhaft frei zuschalten und anderevIP und der MS Cloud zu sperren ohne ständig nachbessern zu müssen?
Sag wie.