{"id":292215,"date":"2024-02-14T15:35:09","date_gmt":"2024-02-14T14:35:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292215"},"modified":"2024-02-15T21:56:39","modified_gmt":"2024-02-15T20:56:39","slug":"it-strung-bei-kind-hrgerte-14-feb-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/14\/it-strung-bei-kind-hrgerte-14-feb-2024\/","title":{"rendered":"IT-Störung (Cyberangriff) bei KIND Hörgeräte – was ist da los? (14. Feb. 2024); Angriff am 6. Februar"},"content":{"rendered":"

\"SicherheitKurzer Hinweis in Sachen IT-St\u00f6rung und Sicherheit. Beim H\u00f6rger\u00e4tehersteller KIND in Burgwedel (bei Hannover) kam es heute zu einer Systemst\u00f6rung. Ich gehe vom Bauchgef\u00fchl von einem Cybervorfall bei diesem Unternehmen aus, da diese IT-St\u00f6rung durchaus \"gr\u00f6\u00dfere Ausma\u00dfe\" anzunehmen scheint. Noch ist vieles im Dunkeln, ich habe nachfolgend kurz die Informationen zusammen gefasst, die mir bisher untergekommen sind. Erg\u00e4nzung<\/strong>: Es ist ein Cyberangriff gewesen, das ist best\u00e4tigt. Mich deuscht, es k\u00f6nnte der erste Ivanti-Incident f\u00fcr Deutschland sein.<\/p>\n

<\/p>\n

KIND H\u00f6rger\u00e4te<\/h2>\n

\"\"Die Kind-Gruppe (Eigenschreibweise KIND) mit Zentralsitz in Gro\u00dfburgwedel bei Hannover ist ein Mischunternehmen (Produktion und Einzelhandel) mit verschiedenen Gesch\u00e4ftsfeldern. Das Unternehmen betreibt ca. 600 Filialen f\u00fcr H\u00f6rger\u00e4te und ist auch international vertreten. Laut Wikipedia haben die 3.000 Mitarbeiter weltweit und 270 Millionen Euro Umsatz (Stand 2017).<\/p>\n

Ein Leserhinweis …<\/h2>\n

Eben schlug eine Mail von Kevin ein, mit der Frage: \"Vielen Dank f\u00fcr die tolle Arbeit in Deinem Blog. Frage, hast Du schon irgendwas davon im Buschfunk geh\u00f6rt, dass es heute einen \"Vorfall\" bei Kind H\u00f6rger\u00e4te gegeben haben k\u00f6nnte? Angeblich sind dort heute Vormittag (sehr viele) Mitarbeiter nach Hause geschickt worden.\"<\/em><\/p>\n

Uns steckt ja noch das Thema AnyDesk in den Knochen und den Batteriehersteller Varta hat es ja Montag mit einem Cyberangriff getroffen. Aber zu einem Vorfall bei KIND-H\u00f6rger\u00e4te hatte ich noch nichts geh\u00f6rt.<\/p>\n

Es gibt eine IT-St\u00f6rung<\/h2>\n

Was machst Du als Blogger, wenn eine solche Frage auftaucht? Kurz mal bei KIND auf der Webseite nachgeschaut, aber au\u00dfer einem Termin zum H\u00f6rger\u00e4te-probieren konnte ich nix finden – und auf \"dem Ohr bin ich eh taub\". Also mal bei der Presseabteilung angerufen – aber nur Anrufbeantworter. Aber die zentrale 0800er-Nummer geht vielleicht – und glatt schon wieder die Frage, ob ich einen Termin f\u00fcr eine H\u00f6rprobe will. Der Telefoncomputer erm\u00f6glicht aber diese Option abzuw\u00e4hlen, so dass ich bei der Telefonzentrale \"im irgendwo\" gelandet bin.<\/p>\n

Auf meine unverf\u00e4ngliche Frage, ob es Probleme oder einen Cyberangriff beim Unternehmen KIND H\u00f6rger\u00e4te in Burgwedel gebe, kam die Antwort Ja. Gut, ersch\u00f6pfende Ausk\u00fcnfte konnte die Zentrale nicht geben, aber immerhin habe ich herausbekommen, dass es dort bei KIND H\u00f6rger\u00e4te eine IT-St\u00f6rung g\u00e4be, und sowohl Telefonanlage als auch Kommunikation per E-Mail ausgefallen seien. Offizielle Aussagen gibt es noch keine – aber man kann sich an zwei Fingern abz\u00e4hlen, dass es entweder einen gr\u00f6\u00dferen Technikausfall oder doch einen Cybervorfall gegeben habe. Hat jemand da n\u00e4here Informationen?<\/p>\n

Erg\u00e4nzung aus der Leserschaft \u00fcber Facebook: \"Habe die Info von einem Fachgesch\u00e4ft bekommen. Die IT scheint – nach Cyber-Incident – platt zu sein. Da alle Daten, Schnittstellen etc. zentral gehalten sind, arbeiten die Gesch\u00e4fte wieder mit Zettel und Stift, und einige Bestellungen sowie Messungen sind auch nicht m\u00f6glich etc.<\/em>\"<\/p>\n

Interessant, was Shodan wei\u00df<\/h2>\n

Das Schwarmwissen der Leserschaft hilft gelegentlich (danke an Cedric). Die Suchmaschine Shodan wirft auf Nachfrage diese Seite<\/a> zu kind.de aus. Nimmt man die dort angegebene IP-Adresse und befragt Shodan, kommt so was als Antwort<\/a>.<\/p>\n

\"Shodan<\/a>
\nEs ist wohl ein Ivanti Endpoint Mobile Manager (EPMM) im Einsatz. Ivanti ist aber seit Anfang Januar 2024 unter Beschuss (siehe folgende Links). Das ist zwar nur Spekulation, aber es fallen einige Puzzle-Teile ins Bild.\u00a0Auf jeden Fall sind alle IP-Adressen f\u00fcr KIND nicht erreichbar. Die MX-Server von kind.de<\/em> sind ebenfalls down.<\/p>\n

Best\u00e4tigung durch HAZ-Artikel<\/h2>\n

Es wurde inzwischen durch die Leserschaft ja \u00fcber Verlinkung zu diesem HAZ-Artikel best\u00e4tigt (dieser geht aber bald hinter eine Bezahlschranke). Dort hei\u00dft es, dass KIND bereits am 6. Februar 2024 Opfer eines Ransomware-Angriffs wurde. Lustig finde ich die Passage im HAZ-Artikel, wo Marco Lange von der Kind-Gruppe der Redaktion einige Aussagen diktierte, die diese auch brav gefressen hat. Ich zitiere mal:<\/p>\n

Man habe sehr schnell reagiert und die Systeme vom Netz genommen. Die IT-Infrastruktur werde derzeit noch von Experten gepr\u00fcft und nach und nach wieder hochgefahren.<\/p>\n

So wie es jetzt aussieht, haben wir gr\u00f6\u00dfere Sch\u00e4den abwenden k\u00f6nnen.<\/p>\n

Es gebe auch keine Hinweise darauf, dass personenbezogene Daten entwendet worden seien. Man habe umgehend Kriminalpolizei und Beh\u00f6rden informiert. \u00dcber den Verursacher sei aber noch nichts bekannt.<\/p><\/blockquote>\n

Na dann ist alles gut, Beh\u00f6rden und Kripo sind informiert und wir legen uns wieder schlafen. Wir haben den 14. Februar 2024, der Angriff ist acht Tage her, und die sind noch nicht wieder arbeitsf\u00e4hig. Kein gr\u00f6\u00dferer Schaden sieht anders aus.<\/p>\n

Beachtet den nachfolgenden Kommentar: \"Es scheint gegen Dienstag Abend auff\u00e4llig viele neue AD Profile erstellt worden sein. Sofort wurde der IT-Dienstleister und das BSI informiert. Der Dienstleister ist seit Mittwoch morgen durchgehend vor Ort.\" Die Wochentage beziehen sich auf die vorige Woche – sprich: Da arbeiten IT-Dienstleister seit acht Tagen an diesem Cybervorfall.<\/p>\n

Der Vorfall hat quasi deren gesamtes Gesch\u00e4ft lahm gelegt. Es ist ja nicht nur der KIND-Standort in Burgwedel betroffen, sondern es tangiert rund 3000 Mitarbeiter in Deutschland, \u00d6sterreich, der Schweiz und Luxemburg. Die rund 600 Fachgesch\u00e4fte (Filialen), in denen KIND-H\u00f6rger\u00e4te an Kunden angepasst werden, k\u00f6nnen \"bis auf Weiteres\" nicht beliefert werden. Die Fachgesch\u00e4fte sind zwar weiter ge\u00f6ffnet und \"handlungsf\u00e4hig\", so der KIND-Sprecher. Kunden k\u00f6nnten weiterhin betreut und beraten werden.<\/p>\n

Ich hatte aber oben erw\u00e4hnt, dass da mit Papier und Kugelschreiber gearbeitet wird. Alle IT-Leistungen von KIND, die im Kundenprozess zentral von den Filialen genutzt werden, sind nicht mehr verf\u00fcgbar.\u00a0Der Hersteller von H\u00f6rger\u00e4ten ist seit\u00a02016 auch im Markt f\u00fcr Augenoptik aktiv.<\/p>\n

W\u00fcrfele ich das zusammen,\u00a0d\u00fcrften die Spezialisten, wenn die Forensik nicht genau festlegen kann, was infiziert ist, die gesamte IT-Struktur neu aufbauen m\u00fcssen – bei dem Umfang (es sind ja 600 Filialen der Fachgesch\u00e4fte einzubinden), ist das kein Pappenstiel.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nIvanti Connect Secure: Neue Schwachstellen CVE-2024-21888 und CVE-2024-21893 gepatcht<\/a>
\nTausende Ger\u00e4te per Ivanti VPN-Schwachstellen angegriffen \u2013 mind. 19 in Deutschland<\/a>
\nMassive Angriffswelle auf Ivanti VPN-Appliances; Warnung, Konfigurations-Pushes kann H\u00e4rtungsma\u00dfnahmen gef\u00e4hrden<\/a>
\nKleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a>
\nWarnung vor Schwachstellen; Fortinet, Ivanti und mehr (Januar 2024)<\/a>
\nKleine Warnung: Finger weg von Ivanti VPN; die benutzen wohl Uralt-Tools mit<\/a>
\nCybersicherheit: Bei FortiOS SSL VPN und Ivanti Connect Secure \"brennt die H\u00fctte\"<\/a>
\nCyberangriff auf Batteriehersteller Varta in Ellwangen (Feb. 2024)<\/a>
\nCyberangriffe: Kreyenhop & Kluge, Kliniken, Schwachstellen und mehr<\/a>
\nCyberangriff: Krankenversicherungsdaten von 33 Millionen Franzosen abgeflossen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Kurzer Hinweis in Sachen IT-St\u00f6rung und Sicherheit. Beim H\u00f6rger\u00e4tehersteller KIND in Burgwedel (bei Hannover) kam es heute zu einer Systemst\u00f6rung. Ich gehe vom Bauchgef\u00fchl von einem Cybervorfall bei diesem Unternehmen aus, da diese IT-St\u00f6rung durchaus \"gr\u00f6\u00dfere Ausma\u00dfe\" anzunehmen scheint. Noch … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292215","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292215"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292215\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}