{"id":236019,"date":"2020-09-27T12:26:15","date_gmt":"2020-09-27T10:26:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=236019"},"modified":"2024-07-31T22:07:12","modified_gmt":"2024-07-31T20:07:12","slug":"ransomware-infektionen-mit-datenlecks-stoppt-den-wahnsinn","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/27\/ransomware-infektionen-mit-datenlecks-stoppt-den-wahnsinn\/","title":{"rendered":"Ransomware-Infektionen mit Datenlecks: Stoppt den Wahnsinn"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Erfolgreiche Ransomware-Infektionen stellen inzwischen ein echtes Problem dar. Selbst Gesundheitseinrichtungen wurden w\u00e4hrend der Pandemie angegriffen. Ein besonderes Problem ist, dass inzwischen bei solchen Infektionen erbeutete, vertrauliche Dokument, von den Cyber-Kriminellen ver\u00f6ffentlicht werden. Ich habe noch einige F\u00e4lle von deutschen Unternehmen im Artikel aufgelistet. Das Sicherheitsunternehmen EmsiSoft hat die Entwicklung aufgegriffen und fordert, den Ransomware-Gangs die Gesch\u00e4ftsgrundlage zu entziehen, indem Zahlungen an die Erpresser verboten werden.<\/p>\n<p><!--more--><\/p>\n<h2>Weitere Ransomware-Infektionen mit Datenlecks<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/11c0bd5af5654aa2b701a893688ef12d\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte ja die Nacht im Artikel <a href=\"https:\/\/borncity.com\/blog\/2020\/09\/27\/sicherheit-ransomware-bei-thyssenkrupp-schwachstellen-bei-louis-vuitton-airbnb-und-mehr\/\">Sicherheit: Ransomware bei ThyssenKrupp, Schwachstellen bei Louis Vuitton, Airbnb und mehr<\/a> einen kurzen Abriss von Sicherheitsmeldungen zusammen gefasst. Mir liegen aber inzwischen (\u00fcber Quellen aus Sicherheitskreisen) Informationen \u00fcber eine Reihe von deutschen Firmen vor, die Opfer von Ransomware wurden. In allen F\u00e4llen wurden Daten bei der Infektion abgezogen und sp\u00e4ter von den Cyber-Kriminellen publiziert.<\/p>\n<ul>\n<li>Teka Group: Das ist ein multinationaler Konzern, der 1924 in Deutschland gegr\u00fcndet wurde. Der Schwerpunkt von Teka liegt in der Produktion und dem Vertrieb von Produkten f\u00fcr K\u00fcche und Bad, Glaskeramiken, Industriecontainern und Gro\u00dfk\u00fcchen. Der Konzern hat sich in Europa als Referenz f\u00fcr Sp\u00fclen, Dunstabzugshauben, Kochfl\u00e4chen und Back\u00f6fen etabliert, und er geh\u00f6rt zu den weltweit f\u00fchrenden Produzenten von Bierkegs (Zapfkopf).<\/li>\n<li>Dussmann-Gruppe: \u00dcber den Fall hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/07\/31\/ransomware-befall-bei-deutscher-dussmann-gruppe\/\">Ransomware-Befall bei deutscher Dussmann-Gruppe<\/a> berichtet. Jetzt tauchen erbeutete Dokumente von denen auf den Seiten der Erpresser auf.<\/li>\n<li>\u00a0<a href=\"https:\/\/www.prettl.com\/\" target=\"_blank\" rel=\"noopener noreferrer\">Prettl<\/a>: Die in Pfullingen beheimate Gruppe ist weltweit im Bereich Automotive, Elektronik etc. t\u00e4tig. Die Gruppe scheint Opfer einer CLOP-Ransomware-Infektion geworden zu sein. Die CLOP-Ransomware-Gang ver\u00f6ffentlichte auf CLOP-Leaks Hinweise zu diesem Angriff (siehe z.B. <a href=\"https:\/\/twitter.com\/ransomleaks\/status\/1302988131944280066\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Tweet<\/a>), wobei der Eintrag inzwischen verschwunden ist (mir liegen drei Quellenangaben vor, die das best\u00e4tigen, dass der Eintrag gel\u00f6scht wurde, deutet darauf hin, dass das L\u00f6segeld gezahlt wurde).<\/li>\n<li><a href=\"https:\/\/www.kuhnle-group.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">K\u00fcnhle-Tours GmbH<\/a>: <a href=\"https:\/\/www.kuhnle-tours.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">K\u00fchnle-Tours<\/a> vermietet Hausboote, die K\u00fchnle-Gruppe hat auch eine Werft im Portfolio und wurde mutma\u00dflich Opfer der MAZE-Ransomware-Gruppe, wie deren Posts belegen.<\/li>\n<li><a href=\"https:\/\/www.waldhoff.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">Waldhoff GmbH Co<\/a>.:\u00a0 Ein Familienunternehmen aus H\u00f6xter, welches Dienstleistungen f\u00fcr die Gastronomie (Getr\u00e4nke-Manager) erbringt, aber auch im Bereich Handel\/Transport und Logistik bei Gastronomiebedarf\/Getr\u00e4nke aktiv ist. Die wurden mutma\u00dflich Opfer der Conti Ransomware (mir liegen zwei Quellen vor).<\/li>\n<li><a href=\"https:\/\/www.pft-stendal.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">Handelshof Stendal GmbH<\/a>: Handelt mit Technik und wurde mutma\u00dflich Opfer der MAZE-Ransomware-Gang, die jetzt erbeutete Dokumente ver\u00f6ffentlicht.<\/li>\n<li>Tracto-Technik GmbH: Der Hersteller f\u00fcr 'Maulwurf-Technologie' beim Graben wurde Opfer der der MAZE-Ransomware-Gang (siehe auch <a href=\"https:\/\/web.archive.org\/web\/20210614070456\/https:\/\/www.wp.de\/staedte\/kreis-olpe\/lennestadt-hacker-legen-it-systeme-von-tracto-technik-lahm-id230163082.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Artikel<\/a>), die bereits im August 2020 erbeutete Dokumente ver\u00f6ffentlichte.<\/li>\n<li>NETZSCH-Holding: Die NETZSCH-Gruppe ist ein inhabergef\u00fchrtes, international t\u00e4tiges Technologieunternehmen (Analysieren &amp; Pr\u00fcfen, Mahlen &amp; Dispergieren sowie Pumpen &amp; Systeme) mit Hauptsitz in Deutschland. Die CLOP-Ransomware-Gruppe reklamierte bereits im August 2020 eine Infektion und will Dokumente erbeutet haben. Der BR hatte im Juli 2020 <a href=\"https:\/\/web.archive.org\/web\/20210310142807\/https:\/\/www.br.de\/nachrichten\/bayern\/hacker-angriff-auf-netzsch-in-selb-unbekannte-fordern-loesegeld,S4tTZL4\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> zum Angriff.<\/li>\n<\/ul>\n<p>Es gibt noch weitere Meldungen (z.B. zur <a href=\"https:\/\/www.planatol.de\/\" target=\"_blank\" rel=\"noopener noreferrer\">Planatol Gruppe<\/a>, zur <a href=\"https:\/\/twitter.com\/aucyble\/status\/1272514732478660609\" target=\"_blank\" rel=\"noopener noreferrer\">H\u00f6dlmayr GmbH<\/a> oder <a href=\"https:\/\/www.prominent.de\/de\/?_ga=2.108586178.1341944083.1601199299-308023502.1601199299\" target=\"_blank\" rel=\"noopener noreferrer\">ProMinent<\/a> etc.), die weiter zur\u00fcck liegen. Nach dem Tod einer Patientin wegen der Ransomware-Infektion im Universit\u00e4tsklinikum D\u00fcsseldorf (UKD) &#8211; siehe Links am Artikelende &#8211; hatte sich die Klinik-Leitung erkl\u00e4rt (uns trifft keine Schuld). Heise hat einen <a href=\"https:\/\/www.heise.de\/news\/Uniklinik-zum-Cyber-Angriff-Alles-richtig-gemacht-4905686.html\" target=\"_blank\" rel=\"noopener noreferrer\">interessanten Kommentar<\/a> zu dieser 'Erkl\u00e4rung' ver\u00f6ffentlicht. Generell w\u00e4chst sich das Thema Ransomware als Plage aus.<\/p>\n<h2>Ransomware f\u00fchrt zur Sicherheitskrise<\/h2>\n<p>Ende 2019 stellte das Sicherheitsunternehmen EmsiSoft fest, dass die L\u00f6segelddrohung bei Ransomware-Angriffen 'ein Krisenniveau erreicht haben'. Im September 2020 reift die Erkenntnis, dass sich die Situation nur noch verschlechtert hat, da die Angriffe auf das Gesundheitswesen und andere Organisationen des \u00f6ffentlichen und privaten Sektors weitergehen und im Verlauf der Pandemie eskalieren. Sogar ein Hersteller von Beatmungsger\u00e4ten wurde angegriffen. EmsiSoft gibt an, dass in diesem Jahr bislang mindestens 219 Organisationen in der US-Regierung, im Bildungs- und Gesundheitssektor &#8211; darunter mehrere Krankenh\u00e4user &#8211; Opfer von L\u00f6segeldangriffen geworden sind. Und bei einer zunehmenden Zahl dieser Vorf\u00e4lle werden sensible Daten gestohlen und online ver\u00f6ffentlicht. Weltweit gab es im Jahr 2020 mehr als 170.000 erfolgreiche Angriffe.<\/p>\n<p>Dar\u00fcber hinaus ist die durchschnittliche L\u00f6segeldforderung der Ransomware-Gangs erheblich gestiegen und liegt heute zwischen 150.000 und 250.000 US Dollar (USD), wobei Forderungen in H\u00f6he von mehreren Millionen Dollar immer h\u00e4ufiger gestellt werden. Die h\u00f6chste \u00f6ffentlich gemeldete Betrag bel\u00e4uft sich auf 42 Millionen USD; die h\u00f6chste nicht \u00f6ffentlich gemeldete Forderung soll mehr als 1 Milliarde USD betragen. Was den Kontext betrifft, so lag die durchschnittliche Forderung im Jahr 2018 bei etwas mehr als 5.000 USD.<\/p>\n<p>Infolge dieses Anstiegs verf\u00fcgen Cyberkriminelle \u00fcber bessere Ressourcen und sind motivierter denn je, Ransomware-Angriffe zu fahren. Die Sicherheitsanalysten von EmsiSoft sch\u00e4tzen, dass im Laufe des Jahres 2020 mehr als 25 Milliarden Dollar an L\u00f6segeldforderungen gezahlt werden, mit einem wirtschaftlichen Schaden f\u00fcr die Weltwirtschaft von fast 170 Milliarden Dollar &#8211; und das sind \u00e4u\u00dferst konservative Sch\u00e4tzungen.<\/p>\n<p>Erschwerend kommt hinzu, dass immer mehr Gruppen begonnen haben, Daten zu stehlen und die Drohung, sie freizugeben, als zus\u00e4tzliches Druckmittel einzusetzen, um Zahlungen zu erpressen. Daten werden heute bei etwa 1 von 4 Angriffen gestohlen, was dazu f\u00fchrt, dass sehr sensible Informationen in die H\u00e4nde von Cyberkriminellen gelangen und anschlie\u00dfend online gestellt werden.<\/p>\n<h2>Genug ist genug: Verbietet die Zahlungen<\/h2>\n<p>Der Tod der Patientin f\u00fchrte beim Sicherheitsanbieter EmsiSoft zum Artikel <a href=\"https:\/\/blog.emsisoft.com\/en\/36948\/enough-is-enough-womans-death-highlights-the-need-for-a-ban-on-ransom-payments\/\" target=\"_blank\" rel=\"noopener noreferrer\">Enough is enough: Woman's death highlights the need for a ban on ransom payments<\/a>. Deren Analysten, mit denen ich in Kontakt stehe, haben mir den Link zukommen lassen. Aus dem Artikel stammen auch die Zahlen im vorherigen Abschnitt.<\/p>\n<p>Die Leute ziehen den einzig richtigen Schluss, wie man das Problem eingrenzen kann: Der Sumpf muss ausgetrocknet werden. W\u00e4hrend Berater und Softwarefirmen noch mit ihren 'allumfassenden Sicherheitsl\u00f6sungen' werben und die Botschaft 'wir m\u00fcssen nur alles richtig gut absichern, kostet halt Geld' verbreiten, zielt EmsiSoft auf die Geldquellen, aus denen die Ransomware-Gangs sch\u00f6pfen. Die Forderung: Die Regierungen m\u00fcssen die Zahlungen von L\u00f6segeld f\u00fcr Cyber-Angriffe und Ransomware-F\u00e4lle schlicht verbietet bzw. unterbinden.<\/p>\n<h4>Strafverfolgungsbeh\u00f6rden in aller Welt empfehlen, und das aus sehr gutem Grund, seit langem, Forderungen der Ransomware-Gruppen nicht zu bezahlen. L\u00f6segeld-Angriffe geschehen aus einem einzigen Grund: Sie sind profitabel. Diejenigen Organisationen, die sich daf\u00fcr entscheiden, Forderungen zu zahlen, tragen dazu bei, die Angriffe profitabel zu halten und damit den Kreislauf der Cyberkriminalit\u00e4t aufrechtzuerhalten und andere Organisationen ins Fadenkreuz zu nehmen.<\/h4>\n<p>Wie der Klimawandel ist L\u00f6segeld ein Problem des kollektiven Handelns, und seine L\u00f6sung erfordert, dass alle das Richtige tun. Im Falle von L\u00f6segeld ist es das Richtige, Cyberkriminelle nicht zu bezahlen, und es ist an der Zeit, dass die Regierungen die Organisationen zwingen, dies nicht zu tun. L\u00f6segeld-Angriffe unprofitabel zu machen, ist der einzige Weg, sie zu stoppen. Wenn es illegal w\u00e4re, L\u00f6segeldforderungen zu bezahlen, w\u00fcrde es kein L\u00f6segeld mehr geben, und unsere Organisationen des \u00f6ffentlichen und privaten Sektors w\u00e4ren nicht l\u00e4nger st\u00e4ndigen Angriffen ausgesetzt. Krankenh\u00e4user w\u00e4ren sicher, und Leben w\u00e4ren nicht mehr in Gefahr.<\/p>\n<p>Wie der Klimawandel ist Ransomware ein Problem des kollektiven Handelns. Die L\u00f6sung des Problems erfordert, dass alle das Richtige tun. Im Falle von Ransomware ist es das Richtige, Cyberkriminelle nicht zu bezahlen und nicht auf die L\u00f6segeldforderungen einzugehen. EmsiSoft meint, es sei an der Zeit, dass die Regierungen die Firmen und Organisationen zwingen, keine L\u00f6segeldzahlungen zu leisten, wenn sie Opfer eines Cyber-Angriffs mit Ransomware oder eines Hacks wurden.<\/p>\n<p>L\u00f6segeld-Angriffe unprofitabel zu machen, ist der einzige Weg, die Cyber-Kriminellen zu stoppen. Wenn es illegal w\u00e4re, L\u00f6segeldforderungen zu bezahlen, w\u00fcrde es kein L\u00f6segeld mehr geben, und Organisationen des \u00f6ffentlichen und privaten Sektors w\u00e4ren nicht l\u00e4nger st\u00e4ndigen Angriffen ausgesetzt. Krankenh\u00e4user und Gesundheitseinrichtungen w\u00e4ren sicher, und Leben von Menschen w\u00e4ren nicht mehr in Gefahr. Klingt zu sch\u00f6n, um wahr zu sein &#8211; denn noch wiegen sich viele Verantwortungstr\u00e4ger in Sicherheit (uns passiert das nicht). Staatliche Bedrohungsakteure wird man mit dieser Ma\u00dfnahme eher nicht stoppen k\u00f6nnen, es sei denn, es stehen finanzielle Interessen (wie bei Nord-Korea vermutet wird) dahinter.<\/p>\n<p>Die Politik schl\u00e4ft momentan ihren Dornr\u00f6schen-Schlaf, tr\u00e4umt von Cloud- und \u00dcberwachungsl\u00f6sungen, oder von der Digitalisierung der Schulen. Aber eine strategische Zusammenarbeit, um wenigstens die Cyber-Kriminalit\u00e4t im Bereich Ransomware einzud\u00e4mmen, findet nicht statt. Ich denke, die IT w\u00fcrgt sich momentan mit ihrem Vernetzung-, Cloud und 'immer schnelleren Update-Zyklen' selbst das Gesch\u00e4ftsmodell ab. Sp\u00e4testens, wenn die Folgekosten durch Sicherheitsvorf\u00e4lle die Produktivit\u00e4tsgewinne durch Vernetzung \u00fcbersteigen, d\u00fcrften auch die Controller in den Firmen Alarm schlagen. Oder wie seht ihr das so? Ist das alles zu schwarz gemalt und man hat alles ist im Griff?<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/09\/10\/dsseldorfer-uniklinik-it-ausfall-durch-cyberangriff\/\">D\u00fcsseldorfer Uniklinik: IT-Ausfall durch Cyberangriff?<\/a><strong><br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/09\/17\/uniklinikum-dsseldort-es-war-ransomware-staatsanwaltschaft-ermittelt-wegen-todesfolge\/\">Uniklinikum D\u00fcsseldorf: Es war Ransomware, Staatsanwaltschaft ermittelt wegen Todesfolge<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Erfolgreiche Ransomware-Infektionen stellen inzwischen ein echtes Problem dar. Selbst Gesundheitseinrichtungen wurden w\u00e4hrend der Pandemie angegriffen. Ein besonderes Problem ist, dass inzwischen bei solchen Infektionen erbeutete, vertrauliche Dokument, von den Cyber-Kriminellen ver\u00f6ffentlicht werden. Ich habe noch einige F\u00e4lle von deutschen Unternehmen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/09\/27\/ransomware-infektionen-mit-datenlecks-stoppt-den-wahnsinn\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-236019","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236019","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=236019"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/236019\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=236019"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=236019"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=236019"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}