Sonntag, 19. September 2021

Coop Schweden: Die eigentliche Gefahr lauerte On-Premise – aktualisiert

Solna / Miami / Bremerhaven. (eb) Am Freitagabend, den 02. Juli kam es bei Schwedens Coop Gruppe zu größeren IT-Störungen, die das Kassensystem für die mehr als 800 Filialen stark beeinträchtigten. Dies ist Teil eines größeren globalen Vorfalls, der primär auf das US-Softwareunternehmen Kaseya abzielt. Mehrere andere schwedische und internationale Unternehmen sind vom selben Ereignis betroffen. Coop Schweden arbeitet intensiv daran, die Probleme so schnell wie möglich zu beheben.

Zusätzlich zu den Filialen in Värmland, Norrbotten, Oskarshamn, Tabergsdalen, Gotland und Varberg haben/hatten am Sonntag eine größere Anzahl von Filialen im ganzen Land geöffnet und nutzen die Scan + Pay-App, damit Kunden und Mitglieder in den Filialen einkaufen können. Aus organisatorischen Gründen ist diese Lösung noch nicht für alle Filialen möglich, so dass einige Standorte leider geschlossen bleiben. Kunden können die Webseiten der Filialen in den sozialen Medien im Auge behalten, um den neuesten Stand zu erfahren. Kunden können auch wie gewohnt auf coop.se einkaufen und sich die Artikel gemäß den Lieferoptionen an ihren Wohnort liefern lassen – heißt es auf coop.se.

Die eigentliche Sicherheitslücke war und ist der eigene Server

Das IT-Management-Unternehmen Kaseya hat auf den Vorfall schnell reagiert und die (eigenen) SaaS-Server aus reiner Vorsicht umgehend proaktiv heruntergefahren. Nach Einschätzung Kaseyas war der Angriff durch das «Unified Remote Monitoring + Management» (VSA) auf eine kleine Zahl von On-Premise- Kunden beschränkt – um die 40 firmeneigene VSA-Server weltweit. Kaseya hat alle On-Premise-Kunden umgehend kontaktiert, damit diese die Server sofort herunterfahren. Darüber hinaus arbeitet Kaseya eng mit einigen Sicherheitsfirmen zusammen, um den Vorfall genauestens zu untersuchen.

Mit anderen Worten: Es ist nur zum Teil richtig, wenn in der öffentlichen Berichterstattung der Eindruck entstanden ist, eine Sicherheitslücke sei das Einfallstor gewesen. Die reale Sicherheitslücke war und ist in diesem Fall der firmeneigene VSA-Server. Wegen der unterschiedlich langen Reaktionszeiten rund um den Globus war es den Angreifern möglich, diverse firmeneigene VSA-Server zu kapern. Die Kaseya-eigenen SaaS-Server hingegen blieben verschont (SaaS – Software as a Service – «Cloud»). Die Attacke auf den VSA-Server der Coop Gruppe war also deshalb erfolgreich, weil die Reaktionszeit in Schweden zu lang war. Die weltweit gut 36’000 VSA-Kunden mit SaaS-Server-Zugriff waren zu keiner Zeit gefährdet. Weitere Details gibt es auf dem Kaseya-Server unter der Überschrift «Updates Regarding VSA Security Incident».


Update vom Bundesamt für Sicherheit in der Informationstechnik

Nach einem Cyber-Angriff auf einen Software-Hersteller ist es weltweit zu IT-Störungen gekommen. Zahlreiche IT-Dienstleister, deren Kunden und weitere Firmen sind Opfer von Verschlüsselungstrojanern, sogenannter Ransomware, geworden. Auch in Deutschland sind IT-Dienstleister und weitere Unternehmen betroffen. Nach aktuellem Kenntnisstand wurden mehrere Tausend IT-Geräte verschlüsselt. Das teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) am Montag mit.

Anmerkung der Redaktion: Das BSI berichtet von mehreren Tausend IT-Geräten, nicht von mehreren Tausend Kunden des amerikanischen Software-Herstellers. Anmerkung Ende.

BSI-Präsident Arne Schönbohm: «Der Vorfall zeigt, wie intensiv die globale Vernetzung in der Digitalisierung voranschreitet und welche Abhängigkeiten dabei entstehen. Bei dem aktuellen Angriff wurde Ransomware über jedes Glied einer Software-Lieferkette ausgerollt. Das zeigt: Lieferketten müssen auch unter dem Aspekt der IT-Sicherheit in den Fokus rücken. Ransomware ist derzeit als eine der größten Bedrohungen für die IT von Firmen und Organisationen einzuschätzen. Bei erfolgreichen Angriffen werden Service und Produktion häufig zum Stillstand gebracht. Die Schäden für Betroffene sind oft enorm.»

Das Lagebild des BSI zu diesem Vorfall entwickelt sich weiter dynamisch. Als Cyber-Sicherheitsbehörde des Bundes steht das BSI 24/7 mit seinen Partnerbehörden und betroffenen Unternehmen in Kontakt, auch das Nationale Cyber-Abwehrzentrum ist mit dem Vorfall befasst. Betroffene Unternehmen werden weiterhin gebeten, sich an das BSI zu wenden. Nach derzeitigem Stand sind in Deutschland mehrere IT-Dienstleister und Firmen betroffen. Das BSI gibt keine Auskunft über die Betroffenen selbst. Kritische Infrastrukturen oder die Bundesverwaltung sind nach BSI-Kenntnis nicht betroffen (Foto: Coop Schweden).