Kurzer Hinweis in Sachen IT-Störung und Sicherheit. Beim Hörgerätehersteller KIND in Burgwedel (bei Hannover) kam es heute zu einer Systemstörung. Ich gehe vom Bauchgefühl von einem Cybervorfall bei diesem Unternehmen aus, da diese IT-Störung durchaus "größere Ausmaße" anzunehmen scheint. Noch ist vieles im Dunkeln, ich habe nachfolgend kurz die Informationen zusammen gefasst, die mir bisher untergekommen sind. Ergänzung: Es ist ein Cyberangriff gewesen, das ist bestätigt. Mich deuscht, es könnte der erste Ivanti-Incident für Deutschland sein.
Anzeige
KIND Hörgeräte
Die Kind-Gruppe (Eigenschreibweise KIND) mit Zentralsitz in Großburgwedel bei Hannover ist ein Mischunternehmen (Produktion und Einzelhandel) mit verschiedenen Geschäftsfeldern. Das Unternehmen betreibt ca. 600 Filialen für Hörgeräte und ist auch international vertreten. Laut Wikipedia haben die 3.000 Mitarbeiter weltweit und 270 Millionen Euro Umsatz (Stand 2017).
Ein Leserhinweis …
Eben schlug eine Mail von Kevin ein, mit der Frage: "Vielen Dank für die tolle Arbeit in Deinem Blog. Frage, hast Du schon irgendwas davon im Buschfunk gehört, dass es heute einen "Vorfall" bei Kind Hörgeräte gegeben haben könnte? Angeblich sind dort heute Vormittag (sehr viele) Mitarbeiter nach Hause geschickt worden."
Uns steckt ja noch das Thema AnyDesk in den Knochen und den Batteriehersteller Varta hat es ja Montag mit einem Cyberangriff getroffen. Aber zu einem Vorfall bei KIND-Hörgeräte hatte ich noch nichts gehört.
Es gibt eine IT-Störung
Was machst Du als Blogger, wenn eine solche Frage auftaucht? Kurz mal bei KIND auf der Webseite nachgeschaut, aber außer einem Termin zum Hörgeräte-probieren konnte ich nix finden – und auf "dem Ohr bin ich eh taub". Also mal bei der Presseabteilung angerufen – aber nur Anrufbeantworter. Aber die zentrale 0800er-Nummer geht vielleicht – und glatt schon wieder die Frage, ob ich einen Termin für eine Hörprobe will. Der Telefoncomputer ermöglicht aber diese Option abzuwählen, so dass ich bei der Telefonzentrale "im irgendwo" gelandet bin.
Anzeige
Auf meine unverfängliche Frage, ob es Probleme oder einen Cyberangriff beim Unternehmen KIND Hörgeräte in Burgwedel gebe, kam die Antwort Ja. Gut, erschöpfende Auskünfte konnte die Zentrale nicht geben, aber immerhin habe ich herausbekommen, dass es dort bei KIND Hörgeräte eine IT-Störung gäbe, und sowohl Telefonanlage als auch Kommunikation per E-Mail ausgefallen seien. Offizielle Aussagen gibt es noch keine – aber man kann sich an zwei Fingern abzählen, dass es entweder einen größeren Technikausfall oder doch einen Cybervorfall gegeben habe. Hat jemand da nähere Informationen?
Ergänzung aus der Leserschaft über Facebook: "Habe die Info von einem Fachgeschäft bekommen. Die IT scheint – nach Cyber-Incident – platt zu sein. Da alle Daten, Schnittstellen etc. zentral gehalten sind, arbeiten die Geschäfte wieder mit Zettel und Stift, und einige Bestellungen sowie Messungen sind auch nicht möglich etc."
Interessant, was Shodan weiß
Das Schwarmwissen der Leserschaft hilft gelegentlich (danke an Cedric). Die Suchmaschine Shodan wirft auf Nachfrage diese Seite zu kind.de aus. Nimmt man die dort angegebene IP-Adresse und befragt Shodan, kommt so was als Antwort.
Es ist wohl ein Ivanti Endpoint Mobile Manager (EPMM) im Einsatz. Ivanti ist aber seit Anfang Januar 2024 unter Beschuss (siehe folgende Links). Das ist zwar nur Spekulation, aber es fallen einige Puzzle-Teile ins Bild. Auf jeden Fall sind alle IP-Adressen für KIND nicht erreichbar. Die MX-Server von kind.de sind ebenfalls down.
Bestätigung durch HAZ-Artikel
Es wurde inzwischen durch die Leserschaft ja über Verlinkung zu diesem HAZ-Artikel bestätigt (dieser geht aber bald hinter eine Bezahlschranke). Dort heißt es, dass KIND bereits am 6. Februar 2024 Opfer eines Ransomware-Angriffs wurde. Lustig finde ich die Passage im HAZ-Artikel, wo Marco Lange von der Kind-Gruppe der Redaktion einige Aussagen diktierte, die diese auch brav gefressen hat. Ich zitiere mal:
Man habe sehr schnell reagiert und die Systeme vom Netz genommen. Die IT-Infrastruktur werde derzeit noch von Experten geprüft und nach und nach wieder hochgefahren.
So wie es jetzt aussieht, haben wir größere Schäden abwenden können.
Es gebe auch keine Hinweise darauf, dass personenbezogene Daten entwendet worden seien. Man habe umgehend Kriminalpolizei und Behörden informiert. Über den Verursacher sei aber noch nichts bekannt.
Na dann ist alles gut, Behörden und Kripo sind informiert und wir legen uns wieder schlafen. Wir haben den 14. Februar 2024, der Angriff ist acht Tage her, und die sind noch nicht wieder arbeitsfähig. Kein größerer Schaden sieht anders aus.
Beachtet den nachfolgenden Kommentar: "Es scheint gegen Dienstag Abend auffällig viele neue AD Profile erstellt worden sein. Sofort wurde der IT-Dienstleister und das BSI informiert. Der Dienstleister ist seit Mittwoch morgen durchgehend vor Ort." Die Wochentage beziehen sich auf die vorige Woche – sprich: Da arbeiten IT-Dienstleister seit acht Tagen an diesem Cybervorfall.
Der Vorfall hat quasi deren gesamtes Geschäft lahm gelegt. Es ist ja nicht nur der KIND-Standort in Burgwedel betroffen, sondern es tangiert rund 3000 Mitarbeiter in Deutschland, Österreich, der Schweiz und Luxemburg. Die rund 600 Fachgeschäfte (Filialen), in denen KIND-Hörgeräte an Kunden angepasst werden, können "bis auf Weiteres" nicht beliefert werden. Die Fachgeschäfte sind zwar weiter geöffnet und "handlungsfähig", so der KIND-Sprecher. Kunden könnten weiterhin betreut und beraten werden.
Ich hatte aber oben erwähnt, dass da mit Papier und Kugelschreiber gearbeitet wird. Alle IT-Leistungen von KIND, die im Kundenprozess zentral von den Filialen genutzt werden, sind nicht mehr verfügbar. Der Hersteller von Hörgeräten ist seit 2016 auch im Markt für Augenoptik aktiv.
Würfele ich das zusammen, dürften die Spezialisten, wenn die Forensik nicht genau festlegen kann, was infiziert ist, die gesamte IT-Struktur neu aufbauen müssen – bei dem Umfang (es sind ja 600 Filialen der Fachgeschäfte einzubinden), ist das kein Pappenstiel.
Ähnliche Artikel:
Ivanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht
Tausende Geräte per Ivanti VPN-Schwachstellen angegriffen – mind. 19 in Deutschland
Massive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann Härtungsmaßnahmen gefährden
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Warnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)
Kleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit
Cybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure "brennt die Hütte"
Cyberangriff auf Batteriehersteller Varta in Ellwangen (Feb. 2024)
Cyberangriffe: Kreyenhop & Kluge, Kliniken, Schwachstellen und mehr
Cyberangriff: Krankenversicherungsdaten von 33 Millionen Franzosen abgeflossen
Anzeige
hab ich noch nix von gehört
Ich glaub ich hör nich recht!
Vielleicht hat derjenige am Telefon sich verhört und meinte eine andere Frage zu beantworten.
Also erstmal finde ich die Bericht Erstattung ziemlich traurig hier halbwahrheiten zu verbreiten, trotz der Informationen die das Unternehmen der Presse geteilt hat. "Hörgeräte Hersteller Kind"? Zuallererst "KIND" produziert keine Hörgeräte, das macht Audifon ein Unternehmen das zu KIND gehört. Dazu KIND heißt schon seit einiger Zeit nicht mehr KIND Hörgeräte sondern KIND GmbH & Co. KG. ;), da sie wie du oben tatsächlich mal richtig geschrieben hast auch Brillen seit 2016 vertreiben… Das Service center ist auch nicht "im Irgendwo" sondern direkt in der Zentrale, sie waren nur nicht von dem Ausfall betroffen.
Nur mal ein paar Punkte zu dem meines Erachtens ziemlich schlecht recherchierten Blog. I mean Wikipedia Eintrag von 2017 zu verwenden. :{
Es steht den Damen und Herren in der Zentrale (Die mit den KINDlichen Vorstellungen von IT-Sicherheit) frei, ein besseres Blog aufzusetzen und betreiben – dann müssen sie auch nicht mehr anonym rummosern.
Hörgerät von KIND? ;)
Ich finde diese KINDischen Wortspiele unerhört! ; )
Das sehe ich auch so!
Das Unternehmen macht sehr viel, dass Menschen richtig wieder hören können.
Es sind wohl verstärkt Angriffe auf die IT vom russischen Geheimdienst gesteuert. Wer das dann macht ist ein anderes Thema.
Man sollte sich aber überlegen und die Frage stellen: Wie kann es dazu kommen?
Es kann nicht sein, das die IT-Sicherheit vom Bund so vernachlässigt wird. Das ist Krieg, egal in welcher Form er betrieben wird, und ein Angriff. Das haben aber noch nicht so viele begriffen. Das ist das gleiche wie mit körperlichen, physischen, Mitteln. Auch da hinken wir hinterher.
Man kann nicht alles auf die Unernehmen auslagern. Das sollte abgewartet werden.
Aber wenn staatliche und halbstaatliche Institutionen und Behörden angegriffen werden ist der Staat zuständig. Es ist ein Dauerthema = "Wer macht da was nicht richtig?".
die Angriffe erfolgen nicht immateriell, nicht leblos, nicht von dier blöden Ausrede "KI". Sie erfolgen durch Menschen. Das haben aber Einige nicht begriffen.
Insbesondere haben es der Großteil der Deutschen nicht begriffen und scheinbar wollen sie es auch nicht. Wenn es zu spät ist, dann haben sie es zu spät begriffen = und so ist es; im sogenannte "Wohlstand" ersticken!
Warum sollte sich ein Geheimdienst für einen Hörgerätehersteller interessieren?
Danke für den Link – Verweis auf HAZ-Artikel – auch an die Nachposter. Ich habe den Link entfernt, da inzwischen hinter einer Paywall – die Info ist oben aber nachgetragen.
Verweis auf HAZ-Artikel – habe den Link entfernt, da inzwischen hinter einer Paywall
HAZ-Beitrag vom 14.02.2024, ab 19:47 Uhr hinter Paywall: https://www.haz.de/lokales/hannover/cyberangriff-auf-kind-hacker-legen-hoergeraetehersteller-lahm-2H6DOAJD7NFSJJRRPAJJGRGZ7A.html
NDR: Hackerangriff auf Hörgeräte-Kette Kind
…der oft lohnende erste Blick ist auf archive . is, ob die Seite nicht unverpaywallt archiviert wurde.
Wurde sie: archive . is/vsoHM
Ich habe einen Bekannten bei KIND in der IT.
Es scheint gegen Dienstag Abend auffällig viele neue AD Profile erstellt worden sein. Sofort wurde der IT-Dienstleister und das BSI informiert. Der Dienstleister ist seit Mittwoch morgen durchgehend vor Ort.
Zur Aussage von der Geschäftsführung es wäre kein großer Schaden:
Die MA werden dazu gedrängt Minusstunden „im Sinne des Unternehmens zu machen" und das seit Mittwoch!
Wenn jemand da neue AD-Profile erstellen kann, dann ist das Kind schon in den Brunnen gefallen.
Das wird eine längere Geschichte werden.
frag den Kollegen doch bitte mal, ob die Anydesk im Einsatz hatten. Ein "Nein" würde einige Kollegen bestimmt heute besser schlafen lassen.
Nein, das läuft da nicht.
so einen Arbeitgeber wünscht man sich doch.
Die Arbeitsmittel die er hinzustellen hat sind defekt, und das Risiko dafür haben die Mitarbeiter zu tragen in dem der Arbeitgeber ihnen Minusstunden zuweist?
(Minus-Stunden sind nachzuarbeiten)
Wo gibt es denn so etwas, das die Mitarbeiter das unternehmerische Risiko tragen müssen?(und natürlich keine Gewinnbeteiligung haben, in Sinne des Unternehmens).
lass mich raten, einen Betriebsrat gibt's nicht?
Witzig, dass sich jeder popelige Mittelständler sofort an das BSI wendet, obwohl die nicht ansatzweise zuständig sind.
Zitat "Die MA werden dazu gedrängt Minusstunden „im Sinne des Unternehmens zu machen" und das seit Mittwoch!"
Das stimmt nicht! Die MA die ZA nehmen können/haben oder wollen wurden gebeten bzw. gefragt wenn Sie möchten, dass sie die Firma in der Hinsicht unterstützen und ZA nehmen. Kein Muss, ein Kann. Und alles in Absprache und Unterstützung des Betriebsrates, daher – entspannen, keine Unwahrheiten verbreiten und weiter atmen ;-)
Liebe Grüße
Ja, nach aussen hin mag das alles freiwillig sein, in einem überwachten System nimmt das aber nicht den Druck vom MA, sich 'wohlzuverhalten' (der Unterschied zwischen geheimer Wahl und namentlicher Abstimmung).
Man muss als MA vielmehr davon ausgehen, dass Seitens der Kollegen und Vorgesetzten sehr wohl wahrgenommen werden wird, wem "das Schicksal der Firma und die Arbeitsplätze der Kollegen wohl egal!!!" sind.
Natürlich stimmt das….. alle Mitarbeiter sind angehalten Minusstunden zu nehmen oder ihren Urlaub abzubauen….
Im Sinne der Unternehmens….. Kurzarbeit konnte nicht angemeldet werden , da es Zuviel Aufwand bedeutet hätte Unser GF ist sich auch über den Paragraphen 615 bewußt, aber er hat ja nicht angeordnet Stunden bzw. Urlaub zu nehmen.. Dies sei ja freiwillig …als Mitarbeiter steht man im Regen und hat dann mal eben eine Menge Minusstunden, die man dann ja zum Wohle der Firma wieder Samstags reinarbeiten kann… Schön wenn man dann damit unter Druck gesetzt wird… und mal ganz ehrlich, wenn man rechtlich dagegen angeht, weiß ja jeder was passiert….
"… und das seit Mittwoch!"
Du meinst also letzte Woche? Nicht Heute?
Hab da im Artikel im Nachtrag was geschrieben – ja, der Mittwoch, der 7. Februar 2024, also vor einer Woche, ist gemeint.
Der Vorfall ging bei uns Dienstag, 06.02., ca. 22-23Uhr ein.
Es war tatsächlich kein AnyDesk im Einsatz!
Mittlerweile weiß ich nach eigener Recherche (arbeite bei dem IT-Dienstleister), dass KIND ihre Systeme bis Anfang nächster Woche erst nach und nach aufbauen kann. Über den Flurfunk bei meinem AG hört man von katastrophalen Vorkehrungsmaßnahmen die bei KIND getroffen wurden.
Noch schlimmer: die KIND MA der Zentrale sollen nun per privaten Laptop und Handy arbeiten, alles „im Sinne des Unternehmens"
Ach, ich habe schon von Opfern gehört, die den ansässigen Media-Saturn-Markt PC mäßig leer gekauft haben, damit die Fertigung weiter laufen konnte… Ich kann mir nicht vorstellen wie so etwas passieren kann.
Aber das ist schon lange hat.
seinen wir froh informiert zu werden.
Denn ich vermute das es immer noch solche Systeme gibt, "Das ist doch LAN, das ist sicher", und mal aufwachen.
Also wieder einmal das Übliche:
Der Fehler saß vor dem Bildschirm.
Das wird wohl eine Kombination von Fehlkonfiguration, Nichthärtung der Systeme, fehlende Patches, etc. sein.
Geilo wirds, wenn Medizinprodukte den Cloud-Anschluss bekommen :)
Da bekommst du dann Werbung im Hörgerät eingespielt.
Ich habe keine Ahnung, aber gibt es bereits Medizin-Produkte, welche in der Cloud hängen?
Ein Schelm wer böses denkt….
Falls noch keiner auf die Idee gekommen sein sollte (was ich nicht glaube), dann bestimt jetzt ;)
ja. Z.B. Blutdruck Messgeräte von Rohm wurden -nachtraglich- cloudisiert.
Wenn man irgendwas einstellen will oder die Messwerte abholen will muß man seit virketzem Jahr zwangsweise einen Account auf deren chinesischer Cloud einrichten. Spätestens nach einem Batterie Wechsel ist man Dran. Ich kann nicht verstehen warum das Gerät immer noch als gut bewertet wird.
Wer etwas cloudfreies mit mehreren Leuten nutzen will sei auf Viatom Produkte hingewiesen.
Die nerven zwar auch zunächst für die Backups einen Cloud-Account einzurichten, aber man muss nicht. Das Oberarm-Messgerät ist kompakter als so manches Unterarm Gerät. (und hat ein einfaches EKG eingebaut).
dieses key board… verletzt..
Die Reklame ist bei viatom tatsächlich in der App ViHealth eingebaut. Manchmal wird auf ein neues Produkt nach dem Starten hingewiesen und man landet aus der Hilfe auch auf Werbung für deren Produkte. Deren SpO2 Messgeräte sind auch sehr kompakt und funktionieren gut.
leider sehr teuer.
/werbung
Warum hat solche Software denn überhaupt Internetzugriff?
Wißt Ihr, was ich spannend finde?
Das war letzte Woche … und erst kurz, nachdem ein gewisser "Kevin" ;) Günter antriggert und der anfängt, nachzuforschen, kommt auf einmal der HAZ-Artikel.
Der lag doch bestimmt schon seit Tagen in der Schublade … und anstatt transparent zu handeln, wurde eine Woche lang versucht, die Geschichte unter den Teppich zu kehren …
Ich gehe davon aus, dass die Firmen so etwas wie Google Alert aufgesetzt haben – so "KIND Cybervorfall". Dann ploppt das binnen Sekunden auf, wenn bei mir ein Artikel erscheint – Google ist da inzwischen sehr schnell mit der Aufnahme in den Suchindex. Inzwischen steckt im Artikel ja schon mehr Infos als beim HAZ-Beitrag, wo dem Redakteur diktiert wurde, was er schreiben soll. Mir wurde gesteckt, dass das bei KIND seit voriger Woche intern bekannt war – scheint einen Ukas gegeben zu haben, dass nichts nach draußen geht.
Es sei nochmals darauf hingewiesen, dass es keinerlei Hinweise gibt, das der gestohlenen Code signing Schlüssel verwendet wurde oder das es angreifende Versionen gibt.
Offen ist allerdings was den zweistündigen weltweiten Totalausfall verursacht hat, zu dem Anydesk nichts gesagt hat.
Immerhon ist auch der Hinweis verschwunden, das man Zertifikate getauscht hat, nicht nur die für Code sign.
AnyDesk hat sich mit seinem konspirativen Verhalten selbst in Knie und Fuß geschossen .
Das BSI hat aktiv mitgeholfen.
Nur mal so am Rande:
KIND hat auch eine Praxis-Software im Programm ( Kind für Windows …bzw KiWi) die in ca 500 HNO-Praxen verwendet wird. Diese wurde für dieses Jahr abgekündigt.
Der Support wird über Teamviewer geleistet und … es werden zwischendurch immer wieder kleinere Updates/Patches voll-automatisiert verteilt und installiert. ( Zum Quartalsende kommt jeweils ein größeres Update, das händisch eingespielt wird).
Zudem fällt es auf das immer wieder Komponenten nicht auf den aktuellsten Stand sind z.B. veraltete Java Versionen ( KV-connect ) und auch der Firebird-Server ist eher Version 2.5.7 als 2.5.9 … beide wohl nicht mehr gepflegt.
Wenn man das als Indiz nimmt, welcher Aufwand bei KIND für Softwarepflege betrieben wird …
Dann drückt mir mal die Daumen das ich die Tage keinen Anruf von meinen Arbeitgeber (MiniJob ) kommt, das alles in der Praxis verschlüsselt ist. :D
Seit 1 Woche keine News zu finden … bin mal gespannt, ob das Einfallstor doch noch ans Licht kommt.
Hmm, Schade … immer noch nix Neues. Da werden wir wohl nie erfahren, was wirklich Phase war …