Kaseya ist ein Anbieter für IT-Management-Lösungen für Managed Service Provider (MSP) bzw. IT-Systemhäuser. Zu den Angeboten des Unternehmens zählt die Kaseya VSA Plattform, eine Remote-Monitoring und Management-Lösung, mit der IT-Systemhäuser auf den Systemen ihrer Kunden - darunter viele kleine und mittlere Unternehmen - Dienstleistungen wie Fernwartung, Monitoring, Backup oder Patch-Management durchführen können.

Die Hackergruppe "REvil" steht im Verdacht, die VSA-Plattform von Kaseya gekapert und ein schadhaftes Update aufgespielt zu haben, das Kunden des US-Tech-Management-Anbieters infiziert. Dabei wurden ganze Abrechnungssysteme durch die Verschlüsselung der Hacker blockiert. Für die Entschlüsselung forderten die Hacker bisher 70 Millionen US-Dollar. Vergangenen Monat hatte REvil den brasilianischen Fleischkonzern JBS lahmgelegt. Das Unternehmen zahlte nach eigenen Angaben ein Lösegeld von elf Millionen Dollar.

Kaseya hat bereits ein Software-Patch entwickelt, um die Sicherheitslücke auf der VSA-Plattform zu schließen, es wird gerade getestet und soll noch diese Woche veröffentlicht werden, wie es auf der Website heißt.

Mehr als zehn Länder von dem Angriff betroffen

Etwa ein Dutzend verschiedene Länder sind von dem Angriff betroffen, wie eine Untersuchung der Cybersicherheitsfirma ESET ergab. Obwohl es sich bei den meisten Betroffenen um kleine Unternehmen handelt, war die Störung in Schweden und Neuseeland am stärksten zu spüren: In Schweden mussten Hunderte von Supermärkten schließen, weil ihre Kassen nicht funktionierten; in Neuseeland waren elf Schulen und mehrere Kindergärten betroffen.

Am Montag teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit, es habe sich ein zweiter deutscher IT-Dienstleister gemeldet. Man versuche derzeit noch zu klären, wie viele Kunden betroffen sein könnten. Es gebe weitere Meldungen aus dem Cyberabwehrzentrum und dem Bundeskriminalamt. "Die Lage ist weiter dynamisch", sagte ein Sprecher. In Deutschland seien mehrere Tausend IT-Geräte verschlüsselt worden. Kritische Infrastrukturen - wie etwa Stromnetze oder Krankenhäuser - oder die Bundesverwaltung sind nach Angaben des BSI nach derzeitiger Kenntnis allerdings nicht betroffen.

Cyberattacke trifft auch bayerisches Unternehmen

Es ist auch mindestens ein bayerisches Unternehmen von dem Hackerangriff betroffen. Die Zentralstelle Cybercrime Bayern in Bamberg bestätigt zwar, dass es sich um ein Unternehmen aus Schwaben handelt – genauere Angaben könne der Sprecher jedoch nicht machen. Es sei allerdings davon auszugehen, dass die Attacke noch weitere Unternehmen aus dem Freistaat treffen werde. Einen hundertprozentigen Schutz vor so einer Attacke über Software-Dienstleister könne es aber nicht geben, so der Sprecher weiter.

Bitkom: Angriff ist nur die Spitze des Eisbergs

Der Hauptgeschäftsführer des Digitalverbands Bitkom, Bernhard Rohleder, erklärte, der jüngste Angriff stelle nur "die Spitze eines Eisbergs in einer Reihe von Attacken dar, die seit Monaten für steigende Aufmerksamkeit sorgen". Hacking habe sich zu einer maßgeblichen Bedrohung für den Schutz der Bevölkerung und deren Versorgungssicherheit entwickelt. Durch Sabotage, Datendiebstahl oder Spionage sei der deutschen Wirtschaft bereits 2019 ein Gesamtschaden von über 100 Milliarden Euro entstanden.

Hackergruppe zu Verhandlungen über Lösegeld bereit

REvil ist offenbar bereit, ihre Lösegeldforderung neu zu verhandeln. Jack Cable, einen auf Cybersicherheit spezialisierten Mitarbeiter der Krebs Stamos Group, gelang es nach Angaben der Nachrichtenagentur Reuters auf das Zahlungsportal von REvil zu gelangen und Kontakt zu den Hackern aufzunehmen.

Cable zufolge habe die Gruppe sogar von einer möglichen neuen Lösegeldsumme von 50 Millionen Dollar gesprochen. Ursprünglich verlangten die Hacker 70 Millionen Dollar. Auch Reuters loggte sich in das Zahlungsportal ein und kommunizierte mit einem Gruppenmitglied, das deutlich machte: "Wir sind immer bereit zu verhandeln."

Mit Material von Agenturen