Cybersicherheit: SSI-Schäfer, Post- und DHL-Portal offline, Greenbone mit Problemen, etc.

Der Shop von SSI-Schäfer ist momentan offline, möglicherweise auf Grund eines "Sicherheitsproblems" . Das Post und DHL-Geschäftskundenportal ist aktuell nicht verfügbar (was dahinter steckt, ist unklar). Auch beim Cloud-Anbieter Greenbone ruckelt es. Gibt noch einige andere Sicherheitsthemen. Zum Wochenstart daher noch ein kurzer Rundblick in Sachen Cybersicherheit und "ruckelnde Infrastruktur".

Shop von SSI Schäfer ist down?

Die SSI SCHÄFER Gruppe ist eine global operierende Unternehmensgruppe und weltweit führender Lösungsanbieter von modularen Lager- und Logistiksystemen mit internationalem Hauptsitz in Neunkirchen (Deutschland).

Vorige Woche (19. April 2023) erreichte mich dann der Tipp eines Leser, dass Schäfer SSI (Online-Shop) "seit 2 Tagen" größere Probleme auf Grund eines "Cyber-Vorfalls" habe. Sowohl E-Mail als auch alle VPN-Sites seien down und es würden keine Tickets mehr abgearbeitet. Der Leser meinte, dass ich "schon mal berichtet hätte", und stellte auf meinen Blog-Beitrag Schäfer Shop Opfer eines Cyberangriffs (Dez. 2022) vom 7. Januar 2023 ab.

Aktuell ist deren Shop-Seite nicht mehr erreichbar – und zum Freitag den 21. April 2023 hat das Unternehmen auf seiner englischsprachigen Webseite auch eine entsprechende Nachricht veröffentlicht. Ich ziehe die Information mal heraus:

IT infrastructure of SSI Schaefer shut down as a precautionary measure

For security reasons, SSI Schaefer Group's global IT network has been shut down as a precaution during the night of April 13 to 14, 2023. The shutdown is a proactive measure. It was taken down immediately after the company's Security Operations Center detected irregularities in its own IT network.

With the support of external specialists, extensive analyses and security scans are currently underway to determine what the exact cause was. In addition, corresponding task forces have been set up and are working at full speed to restore the complete working capability.

"The colleagues from our IT are working tirelessly to record the effects and to remedy the impairments. At SSI Schaefer, the security of products, services and data is of the utmost highest priority. That is why we suspended all systems immediately after the irregularities were discovered," explains Steffen Bersch, CEO of SSI Schaefer.

Based on current knowledge, customer data is not affected.

Dort wird darüber informiert, dass das globale IT-Netzwerk (bzw. die IT-Infrastruktur) der SSI Schäfer Gruppe in der Nacht vom 13. auf den 14. April 2023 aus Sicherheitsgründen vorsorglich abgeschaltet worden sei. Die Abschaltung sei eine proaktive Maßnahme und erfolgte unmittelbar nachdem das Security Operations Center des Unternehmens Unregelmäßigkeiten im eigenen IT-Netzwerk festgestellt hatte.

Aktuell werden derzeit mit Unterstützung von externen Spezialisten umfangreiche Analysen und Sicherheitsscans durchgeführt, um die genaue Ursache zu ermitteln, heißt es. Zudem wurden entsprechende Task Forces eingerichtet, die mit Hochdruck an der Wiederherstellung der kompletten Arbeitsfähigkeit arbeiten. Derzeit gibt das Unternehmen an, dass mit aktuellem Kenntnisstand keine Kundendaten von dem vermuteten Vorfall betroffen seien.

Ergänzung: Hatte auf Grund des Leserhinweises die Vermutung, dass es mit dem "Schäfer Shop" zu tun habe, wo zum Jahreswechsel ein Cybervorfall auftrat. Inzwischen hat mich Torben H. per Mail kontaktiert und auf eine kleine Feinheit hingewiesen. Er schrieb: "ich habe gerade deinen Blogartikel gelesen und möchte darauf hinweisen, dass der Schäfer Shop (Betzdorf) eine andere Firma ist als Fritz Schäfer (Neunkirchen). Daher ist unsere Webseite (www.schaefer-shop.de) auch nicht betroffen. Es ist aber auch nicht ganz so einfach, da beide Firmen in der selben Schäfer-Familie ihren Ursprung haben." Danke für die Korrektur.

Post und DHL-Geschäftskundenportal offline

Dennis hat mich bereits am vorigen Freitag (21.4.2023) darauf hingewiesen, dass das Post und DHL-Geschäftskundenportal offline sei und schrieb unter dem Link auf die DHL-Statusseite "ein Schelm, der Böses denkt – gestern o365, heute 'bad Gateway 402' mit Azure drunter".

Auch zum 24. April 2023 findet sich auf der DHL-Statusseite noch die obige Anzeige, dass das Geschäftskundenportal nicht verfügbar sei. Weiß jemand aus der Leserschaft eventuell was näheres?

Greenbone Cloud-Service eingeschränkt

Bernd D. hatte mich bereits Donnerstag, den 20. April 2023, in einer persönlichen Nachricht auf Facebook informiert, dass Greenbone Probleme mit seiner Cloud habe. Er schrieb mir, dass sie gerade einen Test dieses Anbieters machen und es wohl seit dem 18. April Probleme geben. Die Greenbone Cloud funktioniere nicht richtig.

Ich habe mal unter dem von Bernd angegebenen Link auf deren Statusseite nachgeschaut, es ist immer noch von einem teilweise eingeschränkten Dienstangebot die Rede. Scheinbar gibt es dort größere Probleme. Frage: Nutzt das jemand aus der Leserschaft oder weiß zufällig jemand mehr?

Kurzübersicht zu weiteren Cybervorfällen

Hier noch ein kurzer Abriss zu Wasserstandsmeldungen im Hinblick auf Sicherheitsvorfälle – ist unvollständig, aktuell knallt es an jeder Ecke.

• Die Badische Stahlwerke GmbH in Kehl am Rhein ist von einem von Cyberangriff betroffen.  Das Unternehmen hat daher Donnerstag, den 20.4.2023 die internen Netzwerke abgeschaltet, wie Baden Online hier berichtet, siehe auch auf Twitter.

• Die Stürtz Maschinenbau GmbH (Neustadt/Wied) ist laut obigem Tweet von einem Cyber-Vorfall betroffen. Aktuell ist deren Webseite (bei 1&1 gehostet) nicht mehr erreichbar – auf Twitter las ich, dass LockBit einen Ransomware-Angriff reklamierte.
• Auf pingsafe.com gibt es eine Offenlegung einer zwischenzeitlich geschlossenen LinkedIn-Schwachstelle. Diese hätte es Dritten ermöglicht, jeden Post auf der Plattform zu löschen.
• Der Bike-Leasing-Anbieter Jobrad ist über den Vertragspartner MLF Mercator-Leasing GmbH & Co. Finanz KG von einem Datenleck betroffen, bei dem Kundendaten abgeflossen sind. Mehr Details sind auf heise in diesem Artikel abrufbar.
• Beim Cyberangriff auf die NZZ (siehe Cyberangriffe auf NZZ/CH Media Gruppe und Therme Sinsheim) haben die Angreifer wohl vertrauliche Daten abgegriffen, wie man diesem SRF-Beitrag entnehmen kann.
• Der Kassensystemhersteller NCR wurde Opfer eines Ransomware-Angriffs – laut Bleeping Computer steckt BlackBasta dahinter. Nachfolgendem Tweet gibt an, dass es seit diesem Angriff im EU-Raum Performance-Probleme. CSO hat in diesem Artikel einige Details dazu offen gelegt.

• Und wenn dein Auto morgen nicht mehr auf dem Abstellplatz steht, könnte ein Angriff auf Schwachstellen des CAN-Busses den Diebstahl ermöglicht haben. Geht per BlueTooth, ggf. über Anschlüsse ausgebauter Scheinwerfer, oder mit einem alten Nokia-Handy. Bei heise kann man z. B. in diesem Beitrag näheres nachlesen.

Und es wird nicht besser – die Kollegen von Golem berichten hier, dass der Bundesrechnungshof die IT-Sicherheit der Verwaltung durch den Aufbau zentraler Strukturen in der Bundesverwaltung akut gefährdet sieht. Man digitalisiert und zentralisiert, hat aber nicht mal ein Sicherheitskonzept. Und bei T-Online findet sich eine Warnung vor schweren Sicherheitslücken in mobilen WLAN-Hotspots diverser Hersteller. Wer eine Druckmanagement-Lösung Papercut betreibt, sollte sich diesen heise-Beitrag durchlesen und patchen.