Der Angriff erfolgte am Nachmittag des 25. Juni. Die Hacker-Gruppe hatte sich ein prominentes Ziel ausgesucht: den Essensgroßlieferanten Apetito mit Sitz im westfälischen Rheine. Wie der „Kölner Stadt-Anzeiger“ aus Justizkreisen erfuhr, sollen die Cyber-Kriminellen den Server nebst dem Back-Up-Server mittels einer so genannten Ransomware-Attacke blockiert haben. Dabei vermutet die landesweit zuständige Zentral- und Ansprechstelle Cybercrime (ZAC) bei der Staatsanwaltschaft Köln, dass die Erpressergruppe „Hive“ dahinter steckt.

Sie soll bei der Attacke auch Firmendaten abgeschöpft haben. Zugleich forderten die Angreifer den Catering-Konzern auf, sich im Darknet zu melden und über ein Lösegeld zu verhandeln. Andernfalls, so die Drohung, würde die gestohlenen Daten veröffentlicht und die Blockade der IT-Systeme weiterlaufen.

Ermittler raten von Zahlungen ab

Die Strafverfolgungsbehörden rieten davon ab, auf den Erpressungsversuch einzugehen. „Wir empfehlen den betroffenen Firmen stets, kein Lösegeld zu bezahlen, um nicht weitere Anreize für neue Attacken zu schaffen“, sagte ZAC-Sprecher Christoph Hebbecker. Zu Details im konkreten Fall wollte er sich nicht äußern, ebenso wenig wie Apetito.

Der Angriff traf den Lieferanten von Fertigmenüs ins Mark. Der Tiefkühlkost- und Catering-Konzern (eine Milliarde Euro Umsatz) zählt indirekt zum Bereich kritische Infrastruktur, da das Unternehmen mit knapp 12.000 Beschäftigten zahlreiche Krankenhäuser, Kindergärten, Schulen und Seniorenheime mit Fertigmenüs versorgt. Nach der Cyberattacke drohte nach Informationen dieser Zeitung die Lieferkette zu 100 Kliniken und 1000 Kitas zusammenzubrechen. Nur durch ein schnell eingerichtetes Notfallsystem konnte die Versorgung aufrechterhalten werden.

Hive greift seit 2021 deutsche Unternehmen an

Seit Mitte 2021 greift die Hive-Gruppe mittels Phishing-Mails auch deutsche Unternehmen an. Die Mails bergen einen Link zu einer Webseite, über die sich eine Schadsoftware auf den Computer spielt. Die Ransomware crasht Unternehmensserver und saugt sensible Firmeninfos ab. Im Herbst 2021 warnte die US-Bundespolizei FBI vor den Hive-Hackern. Die Erpresser waren im Gesundheitsbereich in sensible Felder eingedrungen und hatten Patientendaten gestohlen. „Die Akteure hinterlassen eine Lösegeldforderung, die Anweisungen zum Kauf der Entschlüsselungssoftware enthält”, hieß es. Lösegeldforderungen enthalten einen Link zur „Verkaufsabteilung“, über den die Opfer die Datendiebe via Live-Chat kontaktieren können. Ob im Apetito-Fall das gleiche Prozedere gewählt wurde, bleibt unklar.

Fakt ist, dass die Gruppe auch andere Unternehmen attackiert hat. So verschlüsselten die Hive-Hacker 3100 Server der Handels-Multis Media Markt und Saturn im November 2021. Die Cyberkriminellen verlangten angeblich 50 Millionen US-Dollar, um die Blockade wieder aufzuheben. „Die Ransomware-Angriffe auf Unternehmen nehmen massiv zu“, weiß Staatsanwalt Hebbecker von der Kölner ZAC.

So stellte der IT-Sicherheitsdienstleister SonicWall für das erste Halbjahr 2022 eine Zunahme digitaler Angriffe um 20 Prozent hierzulande fest. Mit knapp 9,4 Millionen Ransomware-Attacken liegt Deutschland im globalen Ranking auf Platz 4. Ferner berichten etwa Sicherheits-Experten des Palo Alto Networks, dass Hacker-Gruppen ihre Erpressersoftware vermieten. Neue Gruppen etwa wie „Hive Ransomware" setzen demnach nicht nur darauf wichtige Daten zu verschlüsseln, sondern entwickelten Erpressungstools, die gestohlene Daten in sozialen Medien teilen.

In NRW auch Attacken auf Forschungseinrichtungen und Kliniken

Das Geschäft lohnt sich, zumal das Entdeckungsrisiko eher gering ist. Bis heute wissen die Ermittler weltweit nicht, wer sich hinter der Hive-Gruppe verbirgt. Lösegelder werden in Krypto-Währung aufgerufen, deren Weg nur schwer nachzuverfolgen ist.

Folglich zeigen sich die Sicherheitsbehörden zunehmend besorgt über die rasant steigende Fallrate. Holger Münch, Chef des Bundeskriminalamts, berichtete im Juni, dass sich die Zahl der Cyberstraftaten seit 2015 verdoppelt habe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet in seinem neusten Report „die IT-Sicherheit als angespannt bis kritisch“. Zwischen Juni 2020 und Mai 2021 hatten demnach kriminelle Hacker 144 Millionen neue Schadprogramm-Varianten entwickelt.

Das könnte Sie auch interessieren:

Tumulte in NRW

In neun von zehn Fällen sind Männer an Gewaltexzessen beteiligt

Von

Detlef Schmalenberg

Merken

Pflege- und Gesundheitswesen

Mehr als 20.000 Beschäftigte in NRW sind nicht geimpft

Von

Detlef Schmalenberg

Merken

Kommentar zu Corona-Paket in NRW

Neuer Krisenstab, aber Schulen bleiben hilflos

Von

Frank Olbert

Merken

Inzwischen nehmen in NRW auch Attacken auf Forschungseinrichtungen, Kliniken und Lehranstalten zu. Ende Juni infiltrierten Kriminelle nach Informationen dieser Zeitung gleich zwei Mal die IT-Systeme der Fachhochschule (FH) Münster. Zunächst soll sich eine Hacker-Bande über einen Studenten in zwei Fakultäten eingeschleust haben, um Daten abzuschöpfen.

Vor zwei Tagen wurde ein Großteil der IT-Systeme der Bergischen Universität in Wuppertal lahmgelegt. Gerade in der anstehenden Klausurphase können die Studenten nicht auf die Lernvideos zugreifen, auch sind die Mailzugänge zu den Dozenten blockiert. Laut dem Landeskriminalamt NRW muss die Uni ihre gesamte Netzwerk-Domäne neu aufbauen.