[English]Nachtrag zum Cybervorfall beim in Berlin ansässigen, deutschen Softwareunternehmen PSI Software. Bekannt war, dass die am 15. Februar 2024 Opfer eines Cyberangriffs geworden sind – ich hatte über den Verdacht berichtet und später kam die Bestätigung. Nun hat das Unternehmen einige Informationen nachgelegt. Intern hat wohl Ransomware auf den Systemen ihr Werk verrichtet. Der Verdacht, dass Kundensysteme (vor allem im KRITIS-Bereich) betroffen waren, hat sich bisher nicht bestätigt. Ergänzung: Die Ransomware-Gruppe Hunters International reklamiert den Angriff.
Anzeige
Rückblick auf den Cybervorfall
Ich hatte am 16. Februar 2024 im Blog-Beitrag PSI Software Opfer eines Cyberangriffs (15. Feb. 2024) über den Verdacht eines Cyberangriffs auf die in Berlin ansässige PSI Software berichtet. Die Webseite war bereits zum 15. Februar 2024 komplett offline, und es gab Meldungen, dass die meisten IT-Dienste dieses Softwareunternehmens ausgefallen seien. Zudem merkte eine anonyme Quelle gegenüber mit an, dass mehrere Geschäftspartner eine Cybervorfall beim Unternehmen bestätigt hätten.
Bei meinen Recherchen stieß ich dann auf eine Ad-Hoc-Mitteilung der PSI Software, die einen Cyberangriff auf die IT-Systeme der PSI zum 15. Februar 2024 bestätigte. Als sofortige Reaktion seien die System proaktiv vom Internet getrennt worden, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Gleichzeitig startete eine Analyse der IT-Systeme im Hinblick auf den Umfang der Auswirkungen.
Warum der Angriff brisant ist?
Die PSI Software SE ist ein börsennotiertes deutsches Softwareunternehmen mit Sitz in Berlin, der 2021 2.223 Mitarbeiter beschäftigte und einen Umsatz von 248,4 Millionen Euro erzielte. Ist nicht so ungewöhnlich, aber die PSI Software entwickelt und integriert Software für Energieversorger, Industrieunternehmen und Infrastrukturbetreiber. Die PSI sieht sich als europäischer Marktführer bei Energieleitsystemen für Strom, Gas, Wärme, Öl und Wasser.
Im Klartext: Die PSI Software ist für viele Unternehmen im Bereich kritischer Infrastrukturen aktiv. Von einer Quelle hörte ich, dass von den Systemen der PSI Software viele Remote-Verbindungen zu den Systemen der KRITIS-Kunden bestehen, so dass PSI-Mitarbeiter dort die Systeme warten können. Zudem soll die PSI Software auch die Firewalls vieler Kunden warten. Sofern es den Angreifern gelungen wäre, an diese Zugangsdaten zu gelangen, wäre dies der GAU, da dann auch ein Zugriff auf Kundensysteme möglich wäre.
In meinem Blog-Beitrag PSI Software Opfer eines Cyberangriffs (15. Feb. 2024) hatte ich einige Hinweise auf möglicherweise für den Hack verwendete Systeme gegeben – was aber unbestätigt ist. Eine Quelle hatte mir bereits zum Wochenende mitgeteilt, dass wohl bei keinem Kunden eine Kompromittierung gegeben habe. Die Trennung der betreffenden Zugänge sei wohl rechtzeitig erfolgt.
Anzeige
Ransomware-Befall bestätigt
Zum heutigen 19. Februar 2024 hat die PSI Software eine erste Verlautbarung zum Vorfall auf der Unternehmenswebseite veröffentlicht. Dort wird bestätigt, dass die die interne IT-Infrastruktur des Unternehmens von einer Ransomware-Attacke betroffen ist. Das Unternehmen gibt an, dass in der Nacht zum 15. Februar 2024 ungewöhnliche Aktivitäten im internen Netzwerk festgestellt wurden. Daraufhin seien noch in dieser Nacht sukzessive alle Außenverbindungen und Systeme heruntergefahren worden. Gleichzeitig sei auch Mailsystem der PSI zu diesem Zeitpunkt heruntergefahren, so dass seitdem keine Mails von PSI-Systemen verschickt werden.
Aktuell ist das Unternehmen dabei, den genauen Einfallsvektor der Attacke zu analysieren. In der Meldung schreibt der Anbieter aber bereits, dass es aktuell keine Anhaltspunkte dafür gebe, dass PSI-Systeme bei Kunden kompromittiert wurden. Insbesondere auf Remote-Zugänge für die Wartung der Kundensysteme bestand nach jetzigem Kenntnisstand kein Zugriff. Diese Aussage bestätigt den Hinweis meiner Quelle vom Wochenende – wobei ich diesen Sachverhalt im Raum stehen lasse. Denn bisher ist unbekannt, wann erste Zugriffe durch die Angreifer erfolgten und wie die Remote-Zugänge für die Wartung der Kundensysteme abgesichert waren. Möglicherweise wurden diese über Systeme abgewickelt, die nicht betroffen waren – mangels Details ist da keine finale Aussage möglich.
Das Unternehmen gibt an, seit dem 16. Februar 2024 im Kontakt mit den zuständigen Behörden sowie ausgewählten, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Fachexperten zu stehen. Eigene Experten arbeiteten mit Hochdruck daran, den Umfang und die Auswirkungen des Vorfalls so gering wie möglich zu halten, heißt es. Die PSI Software SE setzt alles daran, die betroffenen Systeme so schnell wie möglich wieder zur Verfügung zu stellen. Hier bleibt nur abzuwarten, ob in den kommenden Tagen weitere Erkenntnisse bekannt werden. (via)
Ergänzung: Die Ransomware-Gruppe Hunters International reklamiert den Angriff und hat Teile der erbeuteten Dateien von PSI Software auf ihrer Leak-Seite online gestellt. Laut Bleeping Computer könnte Hunters International eine Gruppierung aus Hive-Mitgliedern sein.
Anzeige
Gehört jetzt nicht direkt zum Thema, aber ein weiterer Cyberangriff ist zu vermelden:
Ransomware: Hackerangriff auf zentrale IT-Systeme der Landeskirche Hannovers. IT wurde in Teilen heruntergefahren, Schadensumfang ist noch nicht bekannt:
https://www.landeskirche-hannovers.de/presse/pressemeldungen-landeskirche/2024/02/19-hackerangriff-auf-zentrale-it-systeme-der-landeskirche-hannovers
Salut Günter
Ich verfolge jeden Tag deinen Blog und möchte zwei Hinweise geben
1. Die Schweizer Zeitung NZZ hat ihren überlebten Cyberangriff öffentlich publik gemacht. -> https://www.nzz.ch/technologie/kriminelle-hacker-greifen-die-nzz-an-und-erpressen-sie-cyberangriff-ransomware-ld.1778725
2. In deinem Impressum dürftest du mal die Jahreszahl auf 2024 hochschrauben ;-)
Ganz liebe Grüsse und Danke für deine tolle Arbeit!
Bleeeing Computer hat inzwischen korrigiert:
"Update [12:14 EST]: Article updated because it incorrectly attributed the cyberattack on PSI Software SE to Hunters International ransomware gang."