Weltweit sind Firmen von einem großen Ransomeware-Angriff betroffen. (Bild: HTGanzo - stock.adobe.com)
Angefangen hat alles mit einer Warnung aus Italien: Die dortige Sicherheitsbehörde ACN warnte am Wochenende vor Cyber-Angriffen mit Ransomware. Inzwischen ist klar: Die Cyberattacke hat auch in Deutschland Schäden verursacht. "Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben", erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu Beginn der Woche. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden seien derzeit noch nicht möglich. Dem BSI zufolge sind vor allem Frankreich, die USA, Deutschland und Kanada von der Attacke betroffen.
Der Ransomeware-Angriff richtet sich dabei gegen Anwender einer speziellen Virtualisierungs-Lösung des Herstellers VMWare - so genannte ESXi-Server. Unternehmen nutzen die Software, um auf ihren Servern virtuelle Maschinen einzurichten.
Die Sicherheitslücke bei der VMWare-Software wurde nach Angaben des BSI bereits im Februar 2021 durch eine Aktualisierung des Programms geschlossen. Die Behörde habe zu dieser Zeit auch vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt.
Was ist ein Ransomeware-Angriff?
Bei sogenannten Ransomware-Angriffen dringen Angreifer in Systeme ein, übernehmen die Kontrolle und sperren die Opfer aus. In der Regel werden die Daten verschlüsselt und erst nach Zahlung eines Lösegeldes wieder zugänglich gemacht.
Wie macht sich Ransomeware bemerkbar?
Dass man Opfer einer Ransomeware-Attacke wurde, zeigt sich normalerweise dadurch, dass der Bildschirm blockiert ist und die Dateien und Ordner auf dem Computer verschlüsselt sind. Oft wird auch ein Erpresserbrief angezeigt, der sich nicht mehr schließen lässt.
Angriff richtet sich gegen Linux-Betriebssystem
Rüdiger Trost, Head of Cyber Security Solutions der IT-Sicherheitsfirma WithSecure, sagte der DPA, weltweit seien etwa 84.000 Server mit der betroffenen Software installiert, in Deutschland etwa 7.000. Welche davon noch verwundbar seien, lasse sich aber nicht sagen. Der Experte verwies darauf, dass die Sicherheitslücke bereits vor geraumer Zeit entdeckt und geschlossen worden sei. "Wer jetzt noch Opfer wird, sollte seine Schutzmaßnahmen überprüfen."
Eine Besonderheit sei, dass sich der Angriff im aktuellen Fall nicht gegen eine Windows-Software richte, sondern gegen eine Lösung, die auf dem Betriebssystem Linux läuft. "Viele denken fälschlicherweise, eine Linux-Ransomware gibt es nicht und verzichten auf entsprechende Schutzmaßnahmen", so Trost weiter.
Alles über Cybersecurity
Mehr zum Thema Cybersecurity erfahren Sie in den folgenden Artikeln:
- Cybersecurity im Maschinenbau - Das müssen Sie wissen
- Cybercrime: So wollen Maschinenbau und BKA zusammenarbeiten
- Cybersecurity: Der Mensch steht im Ziel der Attacke
- Mit diesen Tipps schützen Sie Ihr Unternehmen gegen Cyber-Angriffe
- Cybersecurity: Über die Risiken Mensch und Maschine
- Ukraine-Krieg: Drohen dem Maschinenbau Cyberattacken?
Ransomeware-Attacke: Was IT-Verantwortliche jetzt tun müssen
Zum aktuellen IT-Sicherheitsvorfall hat das BSI eine Cyber-Sicherheitswarnung mit einem Fragenkatalog für IT-Verantwortliche veröffentlicht.
Demnach sollen die Expertinnen und Experten unter anderem prüfen, in welcher Version die VMware ESXi zum Einsatz kommt, ob die bereitstehenden Patches installiert werden können und ob Backups für die Daten zur Verfügung stehen, die auf den potenziell betroffenen Systemen gespeichert sind. Hier klicken, um direkt zum Fragenkatalog zu kommen.
Auch der Hersteller VMWare hat Hinweise zur Sicherheitslücke veröffentlicht. Das Unternehmen rät, die aktuellen Updates zu installieren, um die Systeme zu schützen.
