[English]Der in Baden-Württemberg angesiedelte Hersteller Bizerba (Waagen) ist in der Nacht zum Montag (27. Juni 2022) Opfer eines Cyberangriffs geworden. In Folge dieses Angriffs wurden weltweit alle IT-Systeme dieses Herstellers abgeschaltet. Allzu viele Details sind noch nicht bekannt, da die interne IT mit Forensikern prüft, wie die Angreifer eindringen konnten. Mitarbeiter und Kunden sollen über den Vorfall informiert sein. Ergänzung: Meinen Informationen nach sind die Opfer der Lockbit 2.0 Ransomware geworden.
Anzeige
Ich bin über nachfolgenden Tweet auf den Sachverhalt, der vom Schwarzwälder Bote hier aufgegriffen wurde, aufmerksam geworden.
Allzu viel ist nicht bekannt und die lokale Presse schreibt von einem "mutmaßlichen" Cyberangriff. Gesichert ist, dass der "Angriff" (möglicherweise eine Ransomware-Attacke) in der Nacht zum Montag, den 27. Juni 2022, erfolgte. Als Folge wurden die Notfallmaßnahmen aktiviert und alle IT-Systeme weltweit abgeschaltet und vom Netzwerk getrennt.
Aktuell versucht die interne IT mit Forensikern herauszufinden, was passiert ist und wie die Angreifer in die Systeme eindringen konnten. Am Montagvormittag (27.6.) wurden alle Mitarbeiter weltweit informiert und das Unternehmen hat entsprechende Maßnahmen eingeleitet. Die Arbeit mit den Bizerba IT-Systemen sei derzeit nicht oder nur sehr eingeschränkt möglich. Darüber hinaus wurden im Laufe des Montags alle weltweiten Kunden, Lieferanten und Partner über den Vorfall informiert, heißt es im verlinkten Artikel. Auf der Webseite des Herstellers Bizerba habe ich aber bisher noch nichts zum Cyberangriff gelesen.
Die Bizerba SE & Co. KG ist ein bedeutender deutscher Hersteller von Waagen mit Hauptsitz in Balingen in Baden-Württemberg. Außerdem stellt das Unternehmen unter anderem Schneidemaschinen, Preisauszeichnungs- und Kennzeichnungssysteme her. Bizerba ist einer der größten Arbeitgeber in Balingen (das Unternehmen hatte im Mai 2022 insgesamt 4.171 Mitarbeiter und machte 701 Millionen Euro Umsatz). Neben dem Werk in Balingen hat Bizerba Produktionsstätten in Meßkirch, Bochum, Shanghai und an weiteren ausländischen Standorten.
Angriff durch Lockbit 2.0
Ergänzung: Meinen inoffiziellen Informationen nach sind die Opfer der Lockbit 2.0 Ransomware geworden. Die Gruppe (bietet Ransomware-as-a-service) ist für viele Angriffe, auch auf kleine Unternehmen, bekannt (siehe auch diesen heise-Bericht).
Das könnte länger dauern, bis dieser Angriff überwunden wurde.
Ähnliche Artikel:
Accenture Opfer der Lockbit Ransomware
Analyse: Linux- und ESXi-Varianten der LockBit-Ransomware
Mandiant: Von LockBit gehackt, oder doch nicht?
Cyberangriffe auf CompuGroup Medical SE & Co. KGaA
Ransomware-Infektion bei Airbus-Betriebsrat (Okt. 2021)
Anzeige
2015
Zu den ganzen "Cyberangriffen" hätte ich einfach gerne mal Technische Details. ZB Welche Virenschutzlösungen waren im Einsatz oder welche Firewalls, welches Email System verwendet die Firma, wie sieht es mit den Betriebssystemen aus welcher Patchstand etc… sowas erfährt man natürlich nie.
Der Wunsch deinerseits ist verständlich, wird aber nicht erfüllbar sein. Es gibt keine Pflicht, Vorfälle zu melden. Es gibt keine Pflicht, die Ergebnisse einer forensischen Untersuchung zu publizieren.
Jetzt kommen wir zum Kernpunkt: Die Forensiker, die es wissen, sind in der Regel nicht autorisiert, die Details öffentlich zu machen (Vertraulichkeitsvereinbarung und Kundenschutz). Cyberversicherungen, die das auch wissen könnten, weil die Schadensregulierer beschäftigen, werden das auch noch wissen, halten aber dicht.
Kommen wir zum kleinen Blogger, der ggf. von einem (unvorsichtigen) Insider ein paar Infos (ggf. annonym) bekommen hat. Sobald ich das publizierte, klingelt hier sofort das Telefon – ist stehe ja mit Impressum öffentlich im Internet – und es gibt die Aufforderung, das zu entfernen (ist keine Theorie). Wenn ich es nicht beweisen kann, habe ich schon schlechte Karten. Wenn ich einen Nachweis habe, müsste ich die Quellen offen legen – was ich nicht tue. Also müsste ich auch wieder entfernen …
Sobald mir etwas aus Drittquelle unter die Augen kommt, steht das i.d.R. zeitnah hier im Blog – sofern relevant und im Sinne eines responsible disclose öffentlich verbreitbar. Das ist die schnöde Sicht von der anderen Seite des Schreibtisches – und das ist nicht Born-spezifisch, sondern trifft alle Redaktionen (auch heise oder Golem wird nur dann Infos rausbringen, wenn deren Anwälte und die Chef-Redakteure das als "unbedenklich" abgenickt haben).
Vor allem zum letzten Absatz, aber natürlich nicht nur:
Schlimm eigentlich, dass dies so ist! Finde ich bedenklich, dass man als "Schreiber" (egal welcher Richtung) eigentlich immer irgendwie darauf gefasst sein muss, die Pistole plötzlich im Rücken zu spüren … Wer traut sich da noch "Aufklärung" zu betreiben? In diesen Fällen "hier" (und natürlich nicht nur hier, sondern auch in vielen anderen Bereichen) wäre es doch wirklich im Sinne aller Beteiligten äußerst sinnvoll und vor allem auch hilfreich, dass die Hintergrundinfos (wie im Ursprungspost von "kingcopy" gefordert) zu veröffentlichen.
Ist nicht so einfach… Klar, andere Betrieber von Unternehmensnetzwerken könnten daraus lernen, wie es nicht geht. Aber schon die Hersteller der Geräte und Software , die sich in dem geknackten Unternehmens befanden, insbesondere wenn es Sicherheitslösungen sind. wären über so eine rufschädigende Veröffentlichung nicht erbaut. Genauso sieht es auch beim Unternehmen selbst aus, wenn sie zum Gespött der Szene werden, weil sie Produkt XYZ nicht einsetzen oder nicht korrekt abgesichert haben, um den Angriff zu verhindern, hier geht es um das Renomee der Firma, schon alleine die Meldung dass so eine Firma geknackt wurde ist problematisch für deren Kunden und Lieferanten. Und letztlich können auch potentielle andere Angreifer aus so einem Fall lernen…
Somit hätten wir also mal wieder die berühmte Gratwanderung … (>> "Pest oder Cholera" …) Man (wer?) müsste halt von Fall zu Fall bewerten (können) welche Interessen als "höherwertiger" anzusehen sind …
Wenn das Sicherheitskonzept auf Geheimhaltung der Funktionsweise beruht, ist es keines. Und "Rufschädigend" ist auch so eine Sache… findest du das pauschal ein angemessenes Argument?
Meiner Meinung nach hat das zurückzutreten, spätestens wenn Fahrlässigkeit vorliegt (z.B. Patche nicht zeitnah eingespielt). Im Gegenteil, dann ist es im Interesse der Geschäftspartner/Gesellschaft, darüber zu erfahren.
Hat das Unternehmen theoretisch alles vernünftig gemacht (Restrisiko durch z.B. 0-Day Exploits), ist solch eine Transparenz eher positiv statt schädigend. In der Praxis ist das nur leider sehr selten der Fall und es kommen Verletzungen grundlegender Sicherheitsmaßnahmen heraus. Dann hat das Unternehmen natürlich ein Interesse, das zu vertuschen.