Mir liegen Informationen vor, dass die netgo group GmbH (vormals Cema) Opfer eines erfolgreichen Cyberangriffs geworden ist (es hieß "die sind gehackt worden"). Läuft wohl bereits seit Montag, den 6. November 2023, wobei aktuell vieles – selbst der Umstand, dass es einen Cyberangriff gegeben hat – noch unklar ist. Offizielle Informationen soll es "bald" geben. Ergänzung: Bestätigung liegt mir vor. Weitere Details nachgetragen.
Anzeige
Ich selbst habe habe nur die Information aus einer ungenannt bleiben wollenden Quelle, die aber keine Details hatte (danke für den Hinweis). Ob bereits Kunden über den Vorfall informiert wurden, entzieht sich meiner Kenntnis. Sobald mir mehr Informationen vorliegen, trage ich es nach.
Ich wollte direkt beim Anbieter eine schriftliche Stellungnahme und Bestätigung zum Vorfall anfragen. Lässt sich auf der Seite hier per Kontaktformular erledigen – aber nur, wenn man zustimmt, auch andere Benachrichtigungen von netgo zu erhalten. Geht ja mal gar nicht. Hab dann die info-Mail-Adresse aus dem Impressum für die Anfrage genutzt.
Es tröpfeln inoffizielle Informationen aus weiteren Quellen bei mir ein. Ich lese daraus, dass es wohl "die alte Cema-Infrastruktur beträfe" – also nichts von netgo. Ob es so laufen soll, wie ich es im Beitrag KaDeWe in Berlin von Play Ransomware-Gruppe angegriffen unter Bezug auf einen Tüv-Report beschrieben habe (wurde mir so zu geflüstert)? Mal schauen, ob sich netgo meldet.
Bestätigung des Anbieters
Ergänzung: Dank eines Blog-Lesers liegt mir nun die Bestätigung des Cyberangriffs vor. Die netgo is Opfer eines Cyberangriffs geworden. Hier der Text der offiziellen Mitteilung.
Sehr geehrte Kunden,
wir möchten Sie hiermit vorsorglich darüber in Kenntnis setzen, dass interne Betriebssysteme kürzlich Ziel eines Angriffs geworden sind. Trotz hoher Sicherheitsmaßnahmen wurde von außen ein Angriff gegen unsere Systeme durchgeführt, welcher zu einer temporären Beeinträchtigung der internen Prozesse und Geschäftsabläufe in einzelnen Regionen geführt hat.
Wir nehmen diese Situation äußerst ernst und haben unverzüglich reagiert, indem betroffene Systeme offline genommen wurden, um Risiken zu minimieren und eine Ausbreitung des Angriffs zu verhindern. Zugleich haben wir ein Expertenteam mit IT-Sicherheitsspezialisten mobilisiert, um die Situation zu untersuchen und zu beheben.
Wir setzen alles daran, Daten zu schützen und eventuelle Risiken zu minimieren. Die Sicherheit von Informationen und Netzwerkverbindungen hat oberste Priorität.
Wir arbeiten mit Hochdruck daran, Systeme und Geschäftsabläufe so schnell wie möglich wieder sicher in Betrieb zu nehmen und alle betroffenen Prozesse der Regionen wiederherzustellen. Während wir diesen Vorfall untersuchen und an der Lösung arbeiten, könnten Prozesse temporär eingeschränkt sein.
Feststellen konnten wir bislang, dass das vorrangige Ziel dieser Attacke war, den Geschäftsbetrieb der netgo zu stören. Für einen unerlaubten Download/Transfer der Daten gibt es derzeit keine Anhaltspunkte. Leider kann jedoch auch zum jetzigen Zeitpunkt nicht ausgeschlossen werden, dass die Angreifer Informationen (insbesondere Kontaktdaten, wie z.B. Mailadressen von Ansprechpartnern Ihres Unternehmens) missbrauchen oder veröffentlichen.
Wir bitten Sie um Verständnis für etwaige Unannehmlichkeiten, die dadurch entstehen könnten.
Bitte beachten Sie folgende wichtige Punkte:
- Wir werden Sie nie um sensible Informationen wie Passwörter bitten, insbesondere nicht per E-Mail.
- Seien Sie wachsam hinsichtlich möglicher Phishing-Versuche, die sich als Kommunikation unseres Unternehmens ausgeben könnten.
- Wenn Sie Anomalien oder Sicherheitsbedenken im Zusammenhang mit unseren Abläufen, Prozessen oder Dienstleistungen feststellen, kontaktieren Sie uns bitte umgehend.
- Wir werden Ihnen regelmäßige Updates geben, sobald neue Informationen verfügbar sind. Unsere Kommunikationskanäle bleiben offen, und unser Kundendienst steht bereit, um Ihre Fragen zu beantworten.
Wir danken Ihnen für Ihr Vertrauen und Ihre Geduld in dieser herausfordernden Situation und versichern Ihnen, dass wir alles in unserer Macht Stehende tun, um die Integrität unserer Systeme und die Sicherheit der Daten zu gewährleisten.
Mit freundlichen Grüßen
Ihr Team der netgo
So richtig viel an Details steht nicht drin, der übliche Wischwasch – nicht mal ein Datum, wann der Angriff statt fand, und was genau angegriffen wurde, lässt sich dem Text entnehmen. Da die Systeme laut obigem Text deaktiviert wurden, können Leser möglicherweise hier in den Kommentaren was beitragen, was nicht funktioniert.
Anzeige
Wer ist netgo?
Die netgo group GmbH ist ein bundesweit tätiges Systemhaus, welches laut Eigenauskunft in der heutigen Form aus dem Zusammenschluss vieler Gesellschaften erwachsen ist. Das Unternehmen rühmt sich mit detailliertem IT-Expertenwissen und innovativen Software-Entwicklungen und will "zukunftsorientierte Unternehmen" digitalisieren und beim Geschäftserfolg unterstützen.
netgo Webauftritt
Interessant fand ich, dass die nicht nur im Bereich KI-Revolution und Microsoft 365 Copilot tätig sind, sondern auch mit Webinaren in Network-Security und Identitätsmanagement sowie Datenschutz punkten wollen. Spontan bin ich dann auch auf diesen Artikel zu einem Cybervorfall bei Sommerlad gestoßen, wo netgo die Aufarbeitung begleitet hat. Über den Cybervorfall hatte ich 2021 im Beitrag Ransomware-Angriffe: Brenntag-Tochter, irisches Gesundheitssystem, Hacker erpressen Gießener Möbelhaus Sommerlad berichtet. Der IT-Dienstleister ist also auch im Bereich IT-Sicherheit unterwegs und hat neben Sommerlad auch Klostermann (Opfer eines Angriffs) im Kundenbestand.
Ergänzung: Es gibt noch einen Tweet, der besagt, dass netgo sich kürzlich noch als "Partner of the year" von Okta herausgestellt habe. Aber Okto wurde kürzlich erneut gehackt (Okta Support-System mit gestohlenen Credentials gehackt) und deren Kunden wurden Opfer an Cyberangriffen. Ob es in obigem Fall einen Zusammenhang gibt, ist damit natürlich offen – vielleicht gibt es zu gegebener Zeit Aufklärung.
Ergänzung 2: Eine zeitnah angefragte Stellungnahme der netgo liegt mir bis zum 13.11.2023 nicht vor. Im obigen Text hatte ich geschrieben, dass mir von Quellen berichtet wurde, dass sich der "Cybervorfall bei der CEMA" ereignet habe. CEMA, das ist die ehemalige CEMA IT Systemhaus AG in Mannheim (siehe Northdata), die sich gemäß dieser Meldung im März 2021 mit der netgo zusammen geschlossen hat (einige Infos finden sich in dieser Pressemitteilung).
Inzwischen ergibt sich aus einem Artikel der Borkener Zeitung eine indirekte Bestätigung des CEMA-Hacks. Redakteur Peter Berger, der im Vorfeld des Artikels der Borkener Zeitung mit mir telefoniert hatte, schreibt, dass der Angriff am "vergangen Montag" (wohl der 6. November 2023, wie oben im Text erwähnt) über einen "von der netgo aufgekauften IT-Dienstleister in Süddeutschland" erfolgte.
Ich hatte Herrn Berger vorgeschlagen, auch beim Datenschutzbeauftragten von Nordrhein-Westfalen nachzufragen, ob dort eine Meldung über den Vorfall von netgo vorliege. Gegenüber der Borkener Zeitung bestätigte die Pressestelle des NRW-Landesbeauftragten für Datenschutz und Informationsfreiheit, den Vorfall in der Netgo-Gruppe. Damit rundet sich das bisherige Bild ab.
Anzeige
Unter anderem betreuen sie Sophos UTMs.
Das kann ein richtig großer Spaß werden. Hoffen wir das Beste und erwarten das Schlimmste falls sich da jemand weiter gehangelt hat.
Danke für die Info – mir sagt der IT-Dienstleister nichts – wenn jemand mehr Informationen hat, immer her damit.
Netgo ist auch Dienstleister für Hornetsecurity.
Naja zeigt mir auch einmal wieder, dass selbst die die anderen Helfen, nicht geschützt sind vor solchen Angriffen.
Es werden nur noch sporadisch Sophos Produkte Supportet. Lateral Movement hat nicht stattgefunden.
Nach S-IT (Südwestfalen IT; Dienstleister für diverse Kommunen/Städte/Kreise) jetzt die netGo. Es ist ja nur eine Frage der Zeit, wann Kritische Infrastukturen (z. B. Energieversorgungsnetze) betroffen sind. Auch wenn ich jetzt als "Schwarzseher" fungieren, sehe ich uns auf ein Blackout (wie von Marc Elsberg als Buch) in Deutschland und Europa zu laufen. Es hilft da echt auch nichts irgend welche ISO 270xx-Normen zu erlassen oder ein neues NIS2. Die Volldigitalisierung der EVU-Netze mit SMGW, IoT, SmartGrid usw. führt immer mehr dazu das die Netze angreifbarer werden. Es ist nur eine Frage der Zeit wann es da auch zu gezielten Angriffen kommt.
Gruß
Klaus
Zumindest waren es bei netgo scheinbar nur interne Systeme so wie die Informationen hier im Blog scheinen. Da war bei der S-IT ja weitaus mehr los.
Mal abwarten was die externen Sicherheitsexperten da finden.
Sehe ich ganz genauso #Zeit. Und auch wenn Marc Elsberg das ganz theoretisch skizziert, ist da viel Wahrheit drin. Ohne Verbraucher -> kein Netz = Blackout. Für Regierungen einer der schlimmsten worstcase, weil damit die Kontrolle vollständig verloren geht. Wie sagt man: 3 Tage bis Anarchie
Es hat auch schon ganz andere erwischt. Spannend ist immer "wie geht ein Unternehmen damit um". Denn fest steht, dass kaum ein Netz 100% sicher betreibar ist. Zeit und social engineering führen fast immer zum Erfolg. Und wer im verborgenen an einem solchen Plan arbeitet hat vor allem Zeit. IT Dienstleister sind spannend, weil sie viele Informationen und Zugänge zu kritischen Infrastrukturen anderer Mittelständler und/oder Industrien und Behörden etc. haben. Heute die netgo, morgen ein anderer. Wer laut lacht, baut Karma auf ;)
Offizielles (ebenso halbgares) Statement hier, deckt sich mit der Mail, die an uns Kunden verschickt worden ist: Aktuelle Sicherheitsmitteilung und Kundeninformation
Ich starte mal mit einem Zitat aus Ihrem Blog:
„ Der IT-Dienstleister ist also auch im Bereich IT-Sicherheit unterwegs und hat neben Sommerlad auch Klostermann (Opfer eines Angriffs) im Kundenbestand."
Ich weis nicht genau was Sie persönlich gegen die Firma Netgo haben, dennoch würde ich mir bei so einem Fach Blog wie Sie es sind ein wenig mehr Professionalität und Sachlichkeit wünschen.
Nehmen wir ein Beispiel aus einer anderen Branche, ein Kunde geht zum Autohaus, das Autohaus empfiehlt neue Winterreifen zu holen da die alten All Wetterreifen nicht sonderlich sicher sind für den bevorstehenden Winter. Der Kunde risikiert das Risiko und baut einen schweren Unfall. Wer ist dran schuld? Das beratende Unternehmen oder der Kunde.
Ähnlich könnte es auch in Ihrer wilden These gewesen sein.
Zum Zitat – und der Aussage "ich weiß nicht, was Sie persönlich gegen die Firma Netgo haben …"
Bis zum Blog-Beitrag kannte ich die Firma nicht. Die zitierten Auszüge sind Verlinkungen auf die Webseite der Firma, die das Bild abrunden, dass ist ein Anbieter, der Erfahrungen mit Sicherheitsvorfällen reklamiert.
Was mir aber sehr aufstößt: Die Firma hebt auf ihrer Webseite die Opfer von Cybervorfällen hervor, die sie wohl als Kunden betreut. Nun kommt es bei der Firma selbst zu einem Cybervorfall – kann passieren, niemand ist davor gefeit. Mir ist klar, dass da, wenn noch vieles unbekannt ist, keine Details mitgeteilt werden können. Aber: Als in dem Metier unterwegs hätte ich erwartet, dass in einer Stellungnahme a) konkret mitgeteilt wird "haben wir zum … den Vorfall festgestellt" und b) auch eine Aussage "betroffen sind die Bereiche xxx" zu finden ist. Beides fehlt und lässt Fragen offen.
Die Stellungnahme kam auch nicht sehr fix (meine Anfrage, ob ich ein Statement bekomme, blieb bis heute unbeantwortet – gut, gibt keine Verpflichtung dazu). Finde ich jetzt eine sehr schwierige Konstellation – da hätten die besser reagieren sollen.
Die werden jede Menge Anfragen bekommen. Da kann man nicht jeden Blogger berücksichtigen
*ttps://www.borkenerzeitung.de/lokales/borken/Cyberangriff-auf-Tochterunternehmen-der-Borkener-Firma-Netgo-503793.html
BORKEN. Zugleich habe man „ein Expertenteam mit IT-Sicherheitsspezialisten" mobilisiert, um die Situation zu untersuchen und zu beheben.Gegenüber der BZ betonte eine in die Abwehr des Angriffs involvierte Person bei Netgo: „Es ist unsere unbedingte Verpflichtung, das Thema extremst professionell un…
Link habe ich deaktiviert – da der Artikel hinter einer Paywall steckt. Mit Peter Berger (dem Artikelautor) hatte ich vor der Veröffentlichung telefoniert.
lol Verdächtig das in der CEMA Infrastruktur das Citrixgateway vom Internet genommen wurde!!
https://img.sur.ly/thumbnails/620×343/c/citrix.cema.de.png
212.144.246.245
inetnum: 212.144.246.224 – 212.144.246.255
netname: cemaic-NET
descr: CEMA AG
lool riecht übel nach Citrixbleet!!