Metro Gruppe doch Opfer eines Cyberangriffs

[English]Seit Montag, den 17. Oktober 2022, kämpfen viele Metro-Filialen weltweit mit argen IT-Problemen. Ich hatte bereits in einem Beitrag einen Cyberangriff auf die Metro-Gruppe vermutet, und mir lagen Berichte aus Österreich, aus Frankreich sowie Kommentare von deutschen Metro-Kunden sowie -Mitarbeitern vor. Allerdings blieb ein Cyberangriff bisher unbestätigt. Nun hat die Metro AG gegenüber heise – und auf ihrer Webseite – einen solchen Angriff aber bestätigt.

Metro-Gruppe mit IT-Problemen

Ich hatte ja im Blog-Beitrag Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen vom 20. Oktober 2022 über die IT-Probleme beim Metro-Konzern berichtet. Seit Montag, den 17. Oktober 2022, kämpfen die Metro-Filialen mit massiven IT-Problemen. Es konnten keine Rechnungen oder Tagespässe ausgestellt werden und Online-Bestellungen waren auch verschwunden, so berichteten es Metro-Kunden. Ein Blog-Leser hatte mir folgendes Foto eines Metro-Aushangs zur Verfügung gestellt.

IT-Störung bei Metro

Die Vermutung eines  Cyberangriffs wurde von Unternehmenssprechern nicht bestätigt – O-Ton einer Sprecherin, die ich im oben erwähnten Artikel zitiert habe:

Wir können einen Hackerangriff weder bestätigen noch verneinen. Fakt ist, wir kämpfen mit IT-Problemen. Die Bankomatkassen fallen immer wieder aus und der Rechnungsdruck dauert länger.

Hier im Blog meldeten sich verschieden Nutzer, die bei Metro einkauften oder dort beschäftigt sind, mit Kommentaren. Ein Nutzer schrieb:

Ich war gestern bei Metro und auf den Kassen kam ständig ein Popup dass die Kommunikation mit dem Backend fehlgeschlagen ist. Die Mitarbeiter füllten dauernd irgendwelche Formulare aus. Entsprechend lang waren die Schlangen.

Und eine weitere Leserin ergänzte:

Nicht nur Österreich und Frankreich sind betroffen, sondern die Metro AG weltweit. Auch in Deutschland besteht seit letzten Montag das gleiche Problem. Es können keinerlei Bestände oder Preise im Laden mehr aktualisiert oder kontrolliert werden. Das Kassensystem funktioniert zwar noch aber auch schleppend, so dass lange Schlangen entstehen.
Will man digital etwas reservieren, funktioniert das ebenfalls nicht.

Ich bin selbst Mitarbeiterin einer Filiale. Daher bekomme ich das tagtäglich mit, wenn ich dort bin. Da gehen viele Umsätze flöten.

Ein Leser merkte an, dass die IT-Probleme nach seinen Beobachtungen bereits seit Freitag-Nachmittag (14. Oktober 2022) bestehen. Ein Leser informierte mich auf Facebook, dass deren E-Mail-Systeme bei der Kommunikation mit dem Metro-Mail-System letzten Montag einen 442 connection Failed-Error geliefert hätten. Am Nachmittag des 19. Oktober 2022 habe die Kommunikation mit dem E-Mail-System der Metro-Gruppe wieder funktioniert – es tut sich also was.

Beim Verfassen dieses Blog-Beitrags habe ich bisher aber noch keine offizielle Verlautbarung der Metro-Gruppe vernommen, die den Cyberangriff bestätigt. Im Pressebereich findet man nur Umsatzinformationen für Investoren mit Datum vom 21. Oktober 2022.

Metro bestätigt Cyberangriff

Es ist ein – in meinen Augen – etwas merkwürdiger Vorgang. Die Redaktion von heise hat wohl bei der Metro AG bezüglich des oben beschriebenen Sachverhalts kontaktiert. Während bis zum 20. Oktober 2022 alle Metro-Sprecher keinen Cyberangriff bestätigen wollten, schreibt heise im Artikel Großhandel: Metro ist Opfer einer Cyber-Attacke, dass ein Sprecher des Unternehmen eine Cyberattacke gegenüber der Redaktion bestätigt habe.

Dieser Sachverhalt habe sich bei der Untersuchung der IT-Systeme durch unternehmenseigenen IT in Zusammenarbeit mit externen Experten bestätigt. Es heißt, Metro habe die zuständigen Behörden über den Vorfall informiert und will mit diesen kooperieren. Momentan arbeitet die Metro AG, laut heise, mit erfahrenen Datenforensikern sowie IT-Sicherheitsexperten zusammen, um die Folgen des Vorfalls zu beheben.

Die Informationen selbst, die Metro liefert, sind wohl etwas dünn – möglicherweise aber der Situation geschuldet. Die Großhandelsmärkte sollen geöffnet bleiben – Kunden müssen aber weiterhin mit Störungen rechnen. Die IT hat inzwischen "Offline-Systeme mit Notlösungen" bereitgestellt, um die Zahlungsverarbeitung in einzelnen Filialen zu ermöglichen. Auch den Online-Store versucht man so weit zu "reparieren" dass dort wieder Bestellungen möglich werden.

Wäre nun ja höchst interessant, was da genau passiert ist, ob es Ransomware war, oder ob die Angreifer beim Zugriff auf die Systeme Daten manipuliert haben. Zudem wäre der Einfallvektor von Interesse (Stichwort: Microsoft Monokultur, ggf. mit ungepatchten Sicherheitslücken – oder die in Beiträgen wie Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (8. Oktober 2022) beschriebene 0-day-Schwachstelle ausgenutzt wurde. Angesichts der bisherigen Informationspolitik bin ich aber skeptisch, dass man da was erfährt. Falls da ein Insider näheres weiß, immer her damit.

Ergänzung: Auf Facebook meldete sich ein Leser, dass es eine offizielle PDF-Verlautbarung der Metro gäbe – Inhalt aber wohl dünne, gibt nicht mehr her, als hier im Blog-Beitrag steht. Bei einer erneuten Suche bin ich dann auf der News-Seite von Metro (man muss ganz nach unten blättern) auf nachfolgende Meldung gestoßen.

Die Metro AG ist ein börsennotierter Konzern von Großhandelsunternehmen (für Einkäufe im Gastro-Bereich). Der Konzern mit Hauptsitz in Düsseldorf beschäftigt in 681 Märkten weltweit mehr als 95.000 Mitarbeiter, die meisten davon in Deutschland. In Deutschland betreibt das Unternehmen vor allem die Metro-Großhandelsmärkte. Der Umsatz liegt bei 24,8 Milliarden Euro (2020).

Ähnliche Artikel:
Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen
Ransomware-Angriff auf Media Markt/Saturn
Media Markt/Saturn: Ransomware-Angriff durch Hive-Gang, 240 Mio. US $ Lösegeldforderung
Exchange Server: Microsofts bessert Lösungen für 0-day-Schutz nach (8. Oktober 2022)
Exchange Server: Neue 0-day (nicht NotProxyShell, CVE-2022-41040, CVE-2022-41082)