Das IT-Jahr 2021 hatte zwei unterschiedliche Gesichter. Im zweiten Jahr der Coronakrise zeigte sich noch deutlicher, wie die Digitalisierung Unternehmen und Gesellschaft verbindet und am Laufen hält. Doch 2021 war auch das Jahr der Cyberangriffe. Kaum ein Monat verging, ohne dass Ransomware-Erpressungen für neue Schlagzeilen sorgten.

Der König ist tot, ...

Dabei begann das Jahr mit einem scheinbaren Erfolg. Europol und Bundeskriminalamt konnten die In­frastruktur eines der gefährlichsten Mal­ware-Netzwerke der letzten Jahre ausschalten. Emotet sei unter Kontrolle, hieß es im Januar. Zwei Jahre lang hätten Ermittler aus acht Ländern daran ge­ar­beitet, das Trojaner-System vom Netz zu nehmen, eines der gefährlichsten Instrumente für Cyberattacken. Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI) sprach gar vom "König der Schadsoftware".

Im ablaufenden Jahr gab es jede Menge spektakuläre Angriffe auf Unternehmen und Be­hörden. Im Februar verschafften sich Hacker Zugriff zu den Systemen einer Anlage für die Wasseraufbereitung in Florida und manipu­lierten die chemische Zusammensetzung des Trinkwassers. Zum Glück bemerkten Mitar­beiter den Angriff – sie konnten die Mausbe­wegungen der Hacker direkt am Bildschirm verfolgen – und machten die Veränderungen sofort wieder rückgängig.

Ransomware – die Geißel der IT

Im März kam es zu vielen Ransomware-Angriffen in kurzer Folge. Erstes Opfer war der Computerhersteller Acer, der von der Hackergruppe REvil angegriffen wurde. Im Mai erwischte es den Health Service Executive (HSE), das Gesundheitssystem von Irland, das seine Systeme und Dienste herunterfahren musste. In der Folge konnten Krankenhäuser nicht auf Daten zugreifen, was für erhebliche Probleme im Betrieb einiger Kliniken sorgte.

Die vermutlich aus Russland operierende Erpresserbande Darkside zwang im Mai Colonial Pipeline, mehrere tausend Kilometer Treibstoffleitungen in den USA trockenzulegen. Die Folge: An der Ostküste der USA wurde der Sprit an den Tankstellen knapp. Kurz nach dem Angriff auf Colonial meldete auch JBS, der weltgrößte Fleischkonzern, eine Hacker­attacke. Das brasilianische Unternehmen musste Fa­briken in Australien, Kanada und den USA herunterfahren. Angeblich waren hier ebenfalls ­Hacker aus Russland am Werk.

Auch in Deutschland kompromittierten Ransomware-Erpresser viele IT-Systeme. Betroffen waren vor allem kommunale Einrichtungen. Anfang Juli rief der Landkreis Anhalt Bitterfeld den Katastrophenfall aus, weil Hacker die Verwaltung lahmgelegt hatten. Mitte Oktober musste der IT-Dienstleister KSM/SIS nach einer Attacke mit Verschlüsselungssoftware seine Server herunterfahren. Die Folge: Die Verwaltung der Stadt Schwerin und des angrenzenden Landkreises Ludwigslust Parchim stand in weiten Teilen still. Das ging so weit, dass über Wochen keine Coronadaten geliefert werden konnten. Zuletzt musste auch Witten in Nordrhein-Westfalen, wegen eines Angriffs mit Ransomware seine IT-Systeme abschalten.

Auch etliche Unternehmen hat es erwischt. Ende Oktober wurde der Automobilzulieferer Eberspächer angegriffen. Das Unternehmen fuhr sämtliche IT-Systeme herunter und kappte die Netzverbindungen. Über Wochen blieb der Betrieb offline. Im November meldete der Elektronikhändler MediaMarktSaturn eine Cyberattacke. In etlichen Märkten waren die Kassensysteme außer Betrieb.

Albtraum Supply Chain Attack

Hinzu kam, dass Unternehmen Opfer von Malware werden konnten, auch wenn sie selbst nichts falsch gemacht hatten. Diese Erfahrung mussten Kunden des IT-Dienstleisters Kaseya machen. Die Hackerbande REvil nutzte eine Schwachstelle in Kaseyas VSA-Software aus. Für das Remote Monitoring and Management (RMM) besitzt diese Software Administratorenrechte. Das sorgte für einen regelrechten Domino-Effekt. Experten sprechen von einer sogenannten "Supply Chain Attack".

Im November erwischte es mit Medatixx einen weiteren Softwarehersteller. Der Anbieter von Praxissoftware berichtete, Opfer eines Ransomware-Angriffs geworden zu sein, und empfahl allen angeschlossenen Arztpraxen, zur Sicherheit ihre Passwörter zu ändern. Befürchtungen, über die Attacke könnten großflächig medizinische Einrichtungen in ganz Deutschland lehmgelegt werden, bewahrheiteten sich glücklicherweise nicht. Ende November gaben die Medatixx-Verantwortlichen Entwarnung. Analysen im Rahmen der forensischen Untersuchungen hätten ergeben, dass die in Praxen, MVZs und Ambulanzen eingesetzten Praxissoftwarelösungen von Medatixx durch den Cyberangriff mit hoher Wahrscheinlichkeit nicht betroffen sind.

Kriegsgefahr durch Cyberattacken

Sicherheitsexperten warnten derweil vor einer zunehmenden Professionalisierung der Cy­berkriminellen. Zudem sei es heutzutage ein Leichtes, sich Malware als Service im Darkweb einzukaufen. Das beunruhigte auch die höchsten politischen Kreise. US-Präsident Joe Biden warf China und Russland vor, Hackerbanden gewähren zu lassen.

Beide Länder wiesen die Vorwürfe zurück und beschuldigten im Gegenzug die USA, selbst Cy­berangriffe in großem Stil zu initiieren. Biden warnte indes vor der wachsenden Bedrohung eines echten Krieges. Das könne durchaus die Folge eines Cyberangriffs von großer Tragweite sein, so der Präsident. "Die Wahrscheinlichkeit dafür nimmt exponentiell zu."

... lang lebe der König

Zu allem Überdruss tauchte Ende des Jahres auch ein alter Bekannter wieder auf: Sicherheitsfirmen entdeckten eine neue Variante von Emotet. Alle Zeichen deuteten darauf hin, dass Hacker die Infrastruktur des Schädlings mit ein paar Variationen neu auferstehen ließen. Angesichts dieser Situation warnten das BSI und das Bundeskriminalamt (BKA) für die bevorstehenden Weihnachtsfeiertage vor einem erhöhten Risiko für Cyber-Angriffe.

BSI ruft Alarmstufe rot aus

Der Krisenmodus für die bundesdeutschen Sicherheitsbehörden verschärfte sich zum Jahresende sogar noch weiter. Mitte Dezember rief das BSI Alarmstufe rot aus. Der Grund: Die kritische Schwachstelle "Log4Shell" in der weit verbreiteten Java-Bibliothek "Log4j" führe nach Einschätzung der Security-Experten zu einer extrem kritischen Bedrohungslage. Die betroffene Java-Bibliothek sei weit verbreitet und die Schwachstelle könne sich daher auf unzählige weitere Produkte auswirken.

Darüber hinaus sei die Sicherheitslücke für Hacker einfach auszunutzen, warnte das BSI. Entsprechende Proof-of-Concepts und Skripte seien bereits im Netz öffentlich verfügbar. Hacker würden bereits auf breiter Front im Netz nach anfälligen Systemen suchen. Gelinge es Cyberkriminellen Log4Shell auszunutzen, können sie auf den betroffenen Systemen beliebigen Code ausführen sowie diese vollständig übernehmen und kontrollieren. Diese Lücke dürfte die Security-Verantwortlichen auf der ganzen Welt über Weihnachten und Neujahr bis weit ins neue Jahr 2022 hinein beschäftigen.