Coop: Geschlossen wegen Hackerangriff

Die schwedische Supermarktkette Coop wurde am Wochenende auf drastische Weise mit den Folgen eines Angriffs auf ihren IT-Dienstleister konfrontiert. Durch die Attacke funktionierten die Kassensysteme in den Filialen nicht mehr, weshalb diese teils selbst am Mittwoch nicht wieder öffnen konnten. Doch was genau war passiert – und was sind die Konsequenzen?

Ab dem 2. Juli nutzten Hacker mindestens eine bereits identifizierte, aber noch nicht geschlossene Sicherheitslücke der Plattform Kaseya VSA aus. Diese wird von diversen IT-Dienstleistern verwendet, um Software und Updates auf den Geräten ihrer Klienten zu installieren. Den Angreifern gelang es durch einige Tricks, einen angeblichen Hotfix einzuschleusen, der die betroffenen Systeme verschlüsselt und somit unbrauchbar macht. Den notwendigen Schlüssel wollten die Angreifer nur gegen Zahlung eines hohen Lösegelds herausrücken.

Anzeige

Indirekte Attacke

Laut Kaseya wurde der Angriff schnell bemerkt, weshalb weniger als 60 der über 35.000 Kaseya-Kunden direkt betroffen waren. Allerdings handelt es sich bei diesen oft um Managed Service Provider, die die Technologie von Kaseya nutzen, um die IT-Infrastruktur für lokale und kleine Unternehmen zu verwalten. Dadurch kompromittierte die Attacke zahlreiche weitere Firmen, wobei die Gesamtzahl laut Kaseya unter 1.500 liegen soll. Für die breite Öffentlichkeit spürbar wurde der Angriff – der für die meisten ins Visier genommenen Unternehmen eine Katastrophe bedeutet – allerdings primär bei Coop (sowie in etwas geringerem Umfang bei der schwedischen Bahn, einer Shell-Tochter und einer Apothekenkette).

In einer Kette von Ereignissen (bei der ein weiterer Dienstleister involviert war) legte der Verschlüsselungstrojaner das Kassensystem des Supermarktbetreibers lahm, weshalb der reguläre Betrieb der meisten Filialen eingestellt werden musste. Dies erwies sich für manche Kunden durchaus als Vorteil, da sie an einigen Standorten verderbliche Ware gratis oder gegen eine freiwillige Spende mitnehmen durften. Bei der Schadensbehebung fuhr Coop zweigleisig. In manchen Filialen konnten Kunden mittels Scan & Pay-App shoppen, da diese Lösung weiterhin funktionierte. Zudem wurde intensiv daran gearbeitet, die betroffenen POS-Systeme neu aufzusetzen – wobei der IT-Dienstleister allerdings direkt vor Ort vorbeischauen musste. Zusätzlich bestand die Option, die gewünschten Produkte über den Onlineshop zu bestellen und nach Hause liefern zu lassen.

Bargeld-Diskussion und “Zero Trust”-Ansatz

Dass die Situation so eskalierte, hat gleich mehrere Diskussionen in Gang gebracht. Zum einen wird gerne darauf verwiesen, dass Schweden inzwischen fast ausschließlich auf bargeldloses Zahlen setzt, was den Handel bei digitalen Angriffen verwundbarer macht. Diverse Kritiker denken, dass sich die Situation mit Bargeld als Notfalloption einfacher hätte klären lassen. Dass Scan & Pay funktionierte, zeigt zumindest deutlich, wie wichtig eine Diversität bei den eingesetzten Payment-Systemen ist.

Zum anderen könnte es zu einem schnelleren Umdenken beim Fernzugriff auf wichtige Systeme kommen. Die Kanäle bestimmter externer Dienstleister gelten in vielen Unternehmen immer noch als absolut vertrauenswürdig, obwohl gerade sie verstärkt zum Einfallstor für Hacker werden. Dies dürfte den ohnehin populärer werdenden “Zero Trust”-Ansatz in der IT (hier genauer von der Computerwoche erklärt) weiter fördern. Bei diesem werden vereinfacht gesagt alle wichtigen Daten immer abgeschottet, wobei jeder Zugriff darauf als potentieller Angriff gesehen wird. Deshalb wird kontinuierlich überprüft, ob Nutzer, Geräte oder Anwendungen noch das Vertrauen genießen dürfen. Eine Umstellung bestehender Systeme auf “Zero Trust” ist allerdings recht aufwändig und erfordert oft den Austausch nicht damit kompatibler Komponenten.

STARTSEITE