Metro AG: Neuer IT-Sicherheitsvorfall vom 20. Dezember 2022, oder altes Problem?

Sicherheit (Pexels, allgemeine Nutzung)Es hat entweder etwas von "Und täglich grüßt das Murmeltier" mit Bill Murray, oder des "Avanti Diletanti" des Joschka Fischer von 1997. Auf der Webseite der Metro Deutschland (metro.de) findet sich derzeit ein Ticker mit dem Titel "IT-Sicherheitsvorfall bei METRO – Bei METRO kommt es derzeit zu einem teilweisen Ausfall der IT-Infrastruktur". Dann kommt ein Text mit Details, aber ohne Datumsangabe, die mir merkwürdig bekannt vorkamen, hatten wir diesen Vorfall doch bereits im Oktober 2022 mit gleichem Inhalt. Hier einige Informationen und Gedanken dazu.


Anzeige

Es war bereits "früher Morgen" (so 2:00 Uhr) als mich ein Blog-Leser auf Facebook per privater Nachricht auf die nachfolgend thematisierte Ticker-Meldung der METRO [URL www.metro.de/service/It-Sicherheitsvorfall] hinwies – aber dann in einem Nachtrag anmerkte, dass er eine stehen gebliebene alte Meldung vermutet. Heute früh meldete sich ein zweiter Leser im Blog mit dem gleichen Hinweis. Ich habe erfolglos versucht, die METRO Presseabteilung zu kontaktieren, und die Mail-Anfrage von heute früh ist bisher auch unbeantwortet geblieben (Update am Textende).

Andererseits, wenn am 21. Dezember 2022 auf der Webseite eines Handelskonzerns, wo es zum Online-Shop geht, eine solche Meldung auftaucht, deutet einiges darauf hin, dass das kein Uralt-Vorfall aus Oktober 2022 sein dürfte. Nachfolgend mal ein Screenshot der Seite, wie sie sich aktuell darstellt.

IT-SICHERHEITSVORFALL BEI METRO

IT-SICHERHEITSVORFALL BEI METRO

Bei METRO kommt es derzeit zu einem teilweisen Ausfall der IT-Infrastruktur bei mehreren technischen Diensten. Das IT-Team der METRO hat zusammen mit externen Experten sofort eine gründliche Untersuchung eingeleitet, um die Ursache für die Unterbrechung der Dienste zu ermitteln. Die jüngsten Ergebnisse der Analyse bestätigen einen Cyberangriff auf die METRO Systeme als Ursache für den Ausfall der IT-Infrastruktur. Die METRO AG hat alle relevanten Behörden über den Vorfall informiert und wird selbstverständlich mit ihnen in jeder möglichen Weise kooperieren.

Während des Betriebs der METRO Märkte und der regulären Verfügbarkeit der Dienstleistungen kann es zu Störungen und Verzögerungen, wie zum Beispiel an der Kasse, kommen. Die Teams in den Märkten haben schnell Offline-Systeme eingerichtet, um Zahlungen zu verarbeiten. Online-Bestellungen über die Web-App und den Online-Store werden bearbeitet, aber auch hier kann es zu einzelnen Verzögerungen kommen.
Dies ist auch der Grund dafür, dass die angezeigten Preise auf unseren elektronischen Preisanzeigen leider derzeit nicht immer aktuell sind. Produkte aus vorherigen Werbeaktionen können unter Umständen am Regal mit einem falschen Preis ausgezeichnet sein. Daher bitten wir unsere Kundinnen und Kunden, an der Kasse nochmals die Preise zu prüfen.

Wir arbeiten mit Hochdruck an einer schnellen Lösung des Problems und bitten bis dahin um Verständnis.

Bei Fragen zu unseren Artikelpreisen können sich alle Kundinnen und Kunde gerne jederzeit an unsere Mitarbeitenden im Markt wenden.

Wir werden die Situation weiterhin intensiv analysieren und überwachen und wenn erforderlich Updates zur Verfügung stellen.

METRO entschuldigt sich aufrichtig für alle Unannehmlichkeiten, die der Vorfall für Kunden und Geschäftspartner mit sich bringt.

Unser Online-Marktplatz METRO Markets ist nicht von den aufgeführten Einschränkungen betroffen.

Ich habe mal den Text hier herausgezogen, falls der Ticker deaktiviert wird. Beim Lesen des Textes gab es aber ein deja-vue, denn ich hatte ja im Oktober 2022 (siehe Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen und die weiteren Artikel am Beitragsende) über einen IT-Sicherheitsvorfall beim Metro-Konzern berichtet, der genau in das obige Fehlerbild passt.

Ende November 2022 gab es dann den Blog-Beitrag Erneut IT-Probleme beim Metro-Konzern (29. Nov. 2022), wo nicht so wirklich Licht ins Dunkel kam. Die Tochter Makro kämpfte auch im Dezember 2022 laut diesem niederländischen Artikel mit den Folgen des früheren Cyberangriffs vom Oktober 2022 auf die Metro. Und auf Twitter habe ich diese Meldung vom 5. Dezember 2022 gesehen:

Wahnsinn die Metro ist immer noch offline. Keine Kartenkontrolle am Eingang, kein Namen auf der Rechnung und keine Einlösung von Leergutbons… Die IT Störung ist schon älter als einen ganzen Monat!!!!

Im Sinne von "Zombie, die Untoten und Wiedergänger" jetzt also erneut eine Tickermeldung über IT-Störungen bei Metro, die besagt, dass es einen Cyberangriff auf die METRO Systeme als Ursache für den Ausfall der IT-Infrastruktur gegeben habe. Wieder sind die Kassensysteme betroffen und die Filialen müssen im Offline-Betrieb arbeiten. Das führt dazu, dass auch die Preise in den elektronischen Anzeigen nicht immer aktuell sind. Alles identisch mit den Ende November 2022 beschriebenen Schwierigkeiten.

Wird die METRO AG also jedes Mal neu von den Angreifern aufs Korn genommen? Oder gibt es eine Backdoor, die den Angreifern von Oktober 2022 ein erneutes Eindringen in die IT-Infrastruktur ermöglicht? Ich weiß es nicht, werde aber mal weiter recherchieren – aktuell bin ich halt beim "Murmeltier-Tag". Falls jemand von euch etwas näheres weiß, hinterlasst einen Kommentar oder schickt eine Mail. Danke an die Leser für den Hinweis.

Ergänzung: Ich hatte heute morgen versucht, die Presseabteilung der METRO zu kontaktieren – telefonisch erfolglos, da geht keiner ran. Meine Mail kam heute Mittag als Delivery is delayed zurück.


Anzeige

Delivery is delayed to these recipients or groups:

presse[at]metro-cc.de

Subject: [EXT] Meldung über Sicherheitsvorfall der Metro IT – alter Fall oder neuer Angriff?

This message hasn't been delivered yet. Delivery will continue to be attempted.

The server will keep trying to deliver this message for the next 1 days, 19 hours and 50 minutes. You'll be notified if the message can't be delivered by that time.

Es spricht also einiges dafür, dass die IT "auf dem Kreuz liegt" und Probleme hat. Update: Die Presse-Abteilung von metro.de hat um 16:15 Uhr angerufen, und mich auf die Seite der Metro AG und deren Newsroom verwiesen (die Presseabteilung von metro.de konnte zur Sache keine Aussage treffen). Im Newsroom wird am 23. November 2022 das letzte Update zum Cybervorfall vom 17. Oktober 2022  vermeldet.

Ähnliche Artikel:
Cyberangriff auf Metro oder nur IT-Problem? Österreich und Frankreich betroffen
Metro Gruppe doch Opfer eines Cyberangriffs
IT-Probleme bei Metro nach Cyberangriff: Bleiben Regale in Metro-Filialen bald leer?
Erneut IT-Probleme beim Metro-Konzern (29. Nov. 2022)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Metro AG: Neuer IT-Sicherheitsvorfall vom 20. Dezember 2022, oder altes Problem?

  1. Anonymous sagt:

    Vielleicht hat man ja den IT-Verantwortlichen beim letzten Mal gefeuert und niemanden neues gefunden der die gleiche Arbeit für weniger Geld machen will.

    • M.D. sagt:

      Als Außenstehender kann man nur Vermutungen anstellen, was da bei der Metro gerade vor sich geht. Nur eines weiß ich mal ganz sicher: in der Haut der Verantwortlichen möchte ich im Moment ganz und gar nicht stecken! Von außen wirkt das auf den ersten Blick völlig dilettantisch. Da aber die Rahmenbedingungen, unter denen da am Problem gearbeitet wird, nicht bekannt sind, ist es quasi unmöglich das verlässlich und korrekt zu beurteilen.

      Der Zeitpunkt ist jedenfalls alles andere als günstig und dürfte den Zeitdruck zur Lösung merklich erhöhen. Wahrlich giftig.

  2. rpr sagt:

    Wollen wir mal hoffen das da nur eine alte Webseite hoch gekommen ist.
    Wenn nein richt das nach „unsere Backups sind nicht sauber „ und andere sehr unerfreuliche Fakten.

  3. R.S. sagt:

    Nicht unbedingt.
    Ein mögliches Scenario wäre z.B., das man meinte, eine Backdoor gefunden und geschlossen zu haben, die Angreifer aber über eine andere Backdoor rein gekommen sind, die nicht geschlossen wurde, weil man die nicht gefunden hatte.
    Oder man hat die Backdoor geschlossen und ein altes Backup zurückgespielt, bei dem die Backdoor noch offen war und so die Backdoor wieder geöffnet.

    Aber das ist nur Spekulation.
    Bevor die Metro da nicht sagt, was los war, müssen wir abwarten.
    Erst dann kann man das einschätzen und beurteilen.

    • Paul sagt:

      So wird es sein(Backdoor übersehen*) . Und "kurz mal" von einer MS Monokultur auf 'was anderes, modulares' umzustellen wird Jahre dauern und MS seine Junkies schon schön eingefixt hat.
      Alle haben gesagt geht in die Cloud.

      • Jörg sagt:

        Harte Vendor-Logins sind immer bescheiden, egal ob M$ $AP oder was auch immer man Ende einsetzt, wenn man wechseln möchte, dann wird es im Regelfall teuer, vor allem, wenn die Sachen bereits Jahre wenn nicht sogar Jahrzehnte auf die Produkte setzen.

      • 1ST1 sagt:

        Warum muss hier denn Microsoft immer schuld sein? Auch andere Hersteller, sogar die ehrenwerte Linux-Community macht immer wieder mal Fehler. Citrix-Gateways waren neulich verwundbar, wenn sie noch nicht gepatcht wurden, dann immer noch. Linux-Samba musste jetzt die selben Änderungen bezüglich Kerberos-RC4 anwenden, wie Microsoft vor 1 Monat. Von alten Geschichten wie Heartbleed will ich hier jetzt garnicht anfangen. Wieviele veraltete Tomcat-Server laufen denn in Umgebungen noch mit, wo man garnicht weiß, dass da noch ein Tomcat mit bekanntem Standard-Root-Passwort läuft, z.B. in diversen Druckern, Druckertreibern (ja den Irrsinn hab ich auch schon gesehen), Management-Software von Dell und Co. Jetzt kann man gerade über Router von Synology in Netzwerke einbrechen, mal sehen ob die Admin-Kollegen das vor Weihnachten noch gepatcht bekommen, Updates sind da (heise.de).

        • rpr sagt:

          Soweit richtig aber Unix/ Linux Admins sind in der Regel so drauf das sie ihre Updatestrategien vom ersten System an direkt konsequent mit umsetzen.
          Windowsadmins sind gerne auch mal Umschüler ohne Hintergrundwissen mit ( nicht alle natürlich) während Unix/Linux Admins von Anfang an auf Konsole und per Script agieren. Ausnahmen auch hier bei Systemen wie von UCS etc..
          Das sind zwei völlig verschiedene Welten und Philosophien und eine hat sich als deutlich anfälliger erwiesen.
          Gruß

          • 1ST1 sagt:

            Du darfst nicht von Hilfsadmins ausgehen, die findest du in größeren Unternehmen wirklich nur als Hilfsadmins (Deskside-Support) und kleinere Firmen sollten ein gescheites Systemhaus zur Betreuung haben, wenn nicht, dann haben die noch nicht darüber nachgedacht, was ihre Daten eigentlich wert sind, für sich selbst, für Angreifer. Die Update-Mechanismen von Windows funktionieren ebenso gut wie die in gängigen Linux-Distributionen, man darf nur nicht daran herumschrauben, solange man nicht weiß, was man da (wirklich!) tut. In der Linux-Welt ist auch nicht alles gut, weißt du, wie schwierig es da ist, ein zentrales Patchmanagement aufzusetzen, mit Überwachung, dass wirklich alle Systeme uptodate sind? Workstations sind da deswegen vielfach "self managed" vom Benutzer, entweder der ist engagiert (das sind die meisten Linux-Benutzer allerdings!) und macht es, oder es passiert eben nichts, und wenn nichts gemacht wird, läuft die Distribution ebenso aus dem Support raus und bekommt irgendwann nichts mehr, willkommen Scheunentor. Bei den Servern wird dann bestenfalls mit Strichlisten gearbeitet, nach denen gepatcht wird. Das ist tiefste Steinzeit, wenn man das mit WSUS/MECM/Intune vergleicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.