Hacker haben eine neue Angriffsmethode ausgenutzt, um Server von Unternehmen und Behörden zu attackieren. Neben den USA und Deutschland hatten die Cyberkriminellen einen kleinen Inselstaat im Visier.
Deutsche Firmen, Behörden und Bildungseinrichtungen sind in Europa am stärksten von der schwerwiegenden Schwachstelle in der Sharepoint-Software von Microsoft betroffen. Nach einer Analyse des europäischen Cybersecurity-Unternehmens Eye Security wurden bislang weltweit 396 infizierte Server in 145 Organisationen identifiziert – 42 davon betreffen demnach Unternehmen, die in Deutschland tätig sind. Zehn dieser Organisationen haben ihren Hauptsitz in der Bundesrepublik.
Deutschland weltweit auf Platz 3
An der Spitze liegen die USA mit 18 Prozent der bestätigten Vorfälle, erklärten die niederländischen Sicherheitsexperten, die vor zwei Wochen die Schwachstelle entdeckt hatten. Auf Platz 2 folgt Mauritius mit 8 Prozent der bestätigten Vorfälle gefolgt von Deutschland (7 Prozent), Frankreich (5 Prozent), Spanien, den Niederlanden, Italien mit jeweils 4 Prozent und Großbritannien (3 Prozent). Mauritius, ein Inselstaat im Indischen Ozean, ist aufgrund seiner fortschreitenden Digitalisierung, seiner Rolle als regionales Finanzzentrum und seiner gut entwickelten digitalen Infrastruktur zunehmend Ziel von Cyberkriminalität.
Bei den Attacken sei es den Angreifern nicht um Zufallstreffer gegangen, sondern um strategisch wichtige Ziele, sagte Lodi Hensen, VP Security Operations bei Eye Security. „Diese Kampagne war weder zufällig noch opportunistisch. Die Angreifer wussten genau, wonach sie suchten.“
Nach Einschätzung der Sicherheitsexperten ist die Gefahr weiterhin nicht gebannt. Zwar sei die Schwachstelle von Microsoft inzwischen behoben und ein Sicherheitsupdate veröffentlicht. Man verzeichne weiter steigende Infektionszahlen. Viele Unternehmen hätten das Update noch nicht eingespielt – oder die Angreifer hätten sich bereits vor dem Update im System festsetzen können.
Erste Angriffswelle aus China
Microsoft selbst ordnet die ersten Angriffe chinesischen Gruppen wie Linen Typhoon, Violet Typhoon und Storm-2603 zu. Die Experten von Eye Security weisen darauf hin, dass inzwischen auch kriminelle Gruppen aktiv sind, die kompromittierte SharePoint-Zugänge beispielsweise zur Vorbereitung von Ransomware-Angriffen nutzen. Bei diesen Attacken verschlüsseln die Angreifer die Daten ihrer Opfer und versuchen damit, Lösegeld (englisch: ransom) zu erpressen.
Eye Security betonte, das Risiko betreffe längst nicht mehr nur Staaten oder Konzerne. Besonders der europäische Mittelstand, der häufig auf Lösungen in eigenen Rechenzentren (On-Premises) setze und keine durchgehende Sicherheitsüberwachung hat, gerät zunehmend ins Visier.
