{"id":292469,"date":"2024-02-19T18:03:20","date_gmt":"2024-02-19T17:03:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292469"},"modified":"2024-02-20T17:03:34","modified_gmt":"2024-02-20T16:03:34","slug":"psi-software-wurde-zum-15-feb-2024-opfer-von-ransomware-kunden-wohl-nicht-gefhrdet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/19\/psi-software-wurde-zum-15-feb-2024-opfer-von-ransomware-kunden-wohl-nicht-gefhrdet\/","title":{"rendered":"PSI Software wurde zum 15. Feb. 2024 Opfer von Ransomware – Kunden wohl nicht gefährdet"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachtrag zum Cybervorfall beim in Berlin ans\u00e4ssigen, deutschen Softwareunternehmen PSI Software. Bekannt war, dass die am 15. Februar 2024 Opfer eines Cyberangriffs geworden sind – ich hatte \u00fcber den Verdacht berichtet und sp\u00e4ter kam die Best\u00e4tigung. Nun hat das Unternehmen einige Informationen nachgelegt. Intern hat wohl Ransomware auf den Systemen ihr Werk verrichtet. Der Verdacht, dass Kundensysteme (vor allem im KRITIS-Bereich) betroffen waren, hat sich bisher nicht best\u00e4tigt. Erg\u00e4nzung<\/strong>: Die Ransomware-Gruppe Hunters International\u00a0reklamiert den Angriff. <\/p>\n

R\u00fcckblick auf den Cybervorfall<\/h2>\n

\"\"Ich hatte am 16. Februar 2024 im Blog-Beitrag PSI Software Opfer eines Cyberangriffs (15. Feb. 2024)<\/a> \u00fcber den Verdacht eines Cyberangriffs auf die in Berlin ans\u00e4ssige PSI Software berichtet. Die Webseite war bereits zum 15. Februar 2024 komplett offline, und es gab Meldungen, dass die meisten IT-Dienste dieses Softwareunternehmens ausgefallen seien. Zudem merkte eine anonyme Quelle gegen\u00fcber mit an, dass mehrere Gesch\u00e4ftspartner eine Cybervorfall beim Unternehmen best\u00e4tigt h\u00e4tten.<\/p>\n

Bei meinen Recherchen stie\u00df ich dann auf eine Ad-Hoc-Mitteilung der PSI Software, die einen Cyberangriff auf die IT-Systeme der PSI zum 15. Februar 2024 best\u00e4tigte. Als sofortige Reaktion seien die System proaktiv vom Internet getrennt worden, um Datenschutzverletzungen und Datenbesch\u00e4digungen zu verhindern. Gleichzeitig startete eine Analyse der IT-Systeme im Hinblick auf den Umfang der Auswirkungen.<\/p>\n

Warum der Angriff brisant ist?<\/h2>\n

Die PSI Software SE<\/a> ist ein b\u00f6rsennotiertes deutsches Softwareunternehmen mit Sitz in Berlin, der 2021 2.223 Mitarbeiter besch\u00e4ftigte und einen Umsatz von 248,4 Millionen Euro erzielte. Ist nicht so ungew\u00f6hnlich, aber die PSI Software entwickelt und integriert Software f\u00fcr Energieversorger, Industrieunternehmen und Infrastrukturbetreiber. Die PSI sieht sich als europ\u00e4ischer Marktf\u00fchrer bei Energieleitsystemen f\u00fcr Strom, Gas, W\u00e4rme, \u00d6l und Wasser.<\/p>\n

Im Klartext: Die PSI Software ist f\u00fcr viele Unternehmen im Bereich kritischer Infrastrukturen aktiv. Von einer Quelle h\u00f6rte ich, dass von den Systemen der PSI Software viele Remote-Verbindungen zu den Systemen der KRITIS-Kunden bestehen, so dass PSI-Mitarbeiter dort die Systeme warten k\u00f6nnen. Zudem soll die PSI Software auch die Firewalls vieler Kunden warten. Sofern es den Angreifern gelungen w\u00e4re, an diese Zugangsdaten zu gelangen, w\u00e4re dies der GAU, da dann auch ein Zugriff auf Kundensysteme m\u00f6glich w\u00e4re.<\/p>\n

In meinem Blog-Beitrag PSI Software Opfer eines Cyberangriffs (15. Feb. 2024)<\/a> hatte ich einige Hinweise auf m\u00f6glicherweise f\u00fcr den Hack verwendete Systeme gegeben – was aber unbest\u00e4tigt ist. Eine Quelle hatte mir bereits zum Wochenende mitgeteilt, dass wohl bei keinem Kunden eine Kompromittierung gegeben habe. Die Trennung der betreffenden Zug\u00e4nge sei wohl rechtzeitig erfolgt.<\/p>\n

Ransomware-Befall best\u00e4tigt<\/h2>\n

Zum heutigen 19. Februar 2024 hat die PSI Software eine erste Verlautbarung zum Vorfall auf der Unternehmenswebseite ver\u00f6ffentlicht<\/a>.\u00a0 Dort wird best\u00e4tigt, dass die die interne IT-Infrastruktur des Unternehmens von einer Ransomware-Attacke betroffen ist. Das Unternehmen gibt an, dass in der Nacht zum 15. Februar 2024 ungew\u00f6hnliche Aktivit\u00e4ten im internen Netzwerk festgestellt wurden. Daraufhin seien noch in dieser Nacht sukzessive alle Au\u00dfenverbindungen und Systeme heruntergefahren worden. Gleichzeitig sei auch Mailsystem der PSI zu diesem Zeitpunkt heruntergefahren, so dass seitdem keine Mails von PSI-Systemen verschickt werden.<\/p>\n

Aktuell ist das Unternehmen dabei, den genauen Einfallsvektor der Attacke zu analysieren. In der Meldung schreibt der Anbieter aber bereits, dass es aktuell keine Anhaltspunkte daf\u00fcr gebe, dass PSI-Systeme bei Kunden kompromittiert wurden. Insbesondere auf Remote-Zug\u00e4nge f\u00fcr die Wartung der Kundensysteme bestand nach jetzigem Kenntnisstand kein Zugriff. Diese Aussage best\u00e4tigt den Hinweis meiner Quelle vom Wochenende – wobei ich diesen Sachverhalt im Raum stehen lasse. Denn bisher ist unbekannt, wann erste Zugriffe durch die Angreifer erfolgten und wie die Remote-Zug\u00e4nge f\u00fcr die Wartung der Kundensysteme abgesichert waren. M\u00f6glicherweise wurden diese \u00fcber Systeme abgewickelt, die nicht betroffen waren – mangels Details ist da keine finale Aussage m\u00f6glich.<\/p>\n

Das Unternehmen gibt an, seit dem 16. Februar 2024 im Kontakt mit den zust\u00e4ndigen Beh\u00f6rden sowie ausgew\u00e4hlten, vom Bundesamt f\u00fcr Sicherheit in der Informationstechnik empfohlenen Fachexperten zu stehen. Eigene Experten arbeiteten mit Hochdruck daran, den Umfang und die Auswirkungen des Vorfalls so gering wie m\u00f6glich zu halten, hei\u00dft es. Die PSI Software SE setzt alles daran, die betroffenen Systeme so schnell wie m\u00f6glich wieder zur Verf\u00fcgung zu stellen. Hier bleibt nur abzuwarten, ob in den kommenden Tagen weitere Erkenntnisse bekannt werden. (via<\/a>)<\/p>\n

Erg\u00e4nzung:<\/strong> Die Ransomware-Gruppe Hunters International reklamiert den Angriff und hat Teile der erbeuteten Dateien von PSI Software auf ihrer Leak-Seite online gestellt. Laut Bleeping Computer<\/a> k\u00f6nnte Hunters International eine Gruppierung aus Hive-Mitgliedern sein.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachtrag zum Cybervorfall beim in Berlin ans\u00e4ssigen, deutschen Softwareunternehmen PSI Software. Bekannt war, dass die am 15. Februar 2024 Opfer eines Cyberangriffs geworden sind – ich hatte \u00fcber den Verdacht berichtet und sp\u00e4ter kam die Best\u00e4tigung. Nun hat das Unternehmen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-292469","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292469","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=292469"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/292469\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=292469"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=292469"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=292469"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}