[English]Kurze Information in Sachen nächster Cyber-Unfall. Das in Berlin ansässige deutsche Softwareunternehmen PSI Software ist am 15. Februar 2024 mutmaßlich Opfer eines Cyberangriffs geworden. Dies berichteten mir Quellen, die namentlich ungenannt bleiben wollen. Aktuell scheinen die meisten IT-Dienste dieses Softwareunternehmens ausgefallen zu sein.
Anzeige
Wer ist PSI Software?
Die PSI Software SE ist ein börsennotiertes deutsches Softwareunternehmen mit Sitz in Berlin. Der PSI-Konzern beschäftigte 2021 2.223 Mitarbeiter und erzielte einen Umsatz von 248,4 Millionen Euro. PSI entwickelt und integriert Software für Energieversorger, Industrieunternehmen und Infrastrukturbetreiber. Die PSI sieht sich als europäischer Marktführer bei Energieleitsystemen für Strom, Gas, Wärme, Öl und Wasser.
Mit anderen Worten: Die PSI Software ist mit ihren Produkten im Bereich kritischer Infrastrukturen unterwegs – also ein sehr lohnendes Ziel.
Cyberangriff auf PSI
Ein langjähriger Leser meines Blogs hat mich vor wenigen Minuten kontaktiert und fragte, ob ich Informationen über die PSI Software habe. Das Unternehmen PSI Software sei zum 15. Februar 2024 Opfer eines Cyberangriffs geworden. Selbst die Webseite, Telefone, Emails, etc. wären ausgefallen. Der Leser hat mehrere Geschäftspartner, die das auch bestätigen konnten.
Ich habe es kurz geprüft, die Webseite der PSI Software ist wirklich "down". Über finanznachrichten.de wurde eine Ad-Hoc-Meldung der PSI Software mit folgendem Inhalt verbreitet:
Berlin, 15. Februar 2024 – Die PSI Software SE hat am 15. Februar 2024 festgestellt, dass es einen Cyberangriff auf die IT-Systeme der PSI gegeben hat. Die Gesellschaft hat als Reaktion die Systeme proaktiv vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Die IT-Systeme sowie der Umfang der Auswirkungen werden aktuell überprüft. Dabei wird mit höchster Sorgfalt auf die Datenintegrität geachtet. Die PSI Software SE setzt alles daran, dass die betroffenen Systeme so schnell wie möglich wieder zur Verfügung stehen.
So richtig herzhaft viele Details sind das aber nicht. Das Web weiß, außer der Ad-Hoc-Meldung auch noch nichts. Ergänzung: Bei Channelpartner gibt es diesen Beitrag mit einer Einordnung von PSI Software, die es in Kurzform aber oben bereits gibt. Falls jemand weitere Details zu Insights hat, kann er mich ja kontaktieren und die Informationen weiter geben.
Was mir Shodan verrät
Ergänzung 2: Ich habe mir dann noch über die Suchmaschine shodan.io einige Details ansehen lassen. Die Suchmaschine Shodan wirft auf Nachfrage diese Seite zu psi.de aus. Nimmt man die dort angegebenen IP-Adressen und befragt Shodan, kommt bei einer so etwas als Antwort. Viele der aufgelisteten IP-Adressen sind aber nicht mehr abrufbar – Shodan kennt die nicht mehr. Allerdings habe ich auf der Shodan-Seite mehrfach den Begriff "Jira" in Abwandlungen gehen. Die zugehörigen IP-Adressen sind nicht mehr abrufbar – aber da klingelte sofort etwas im Hinterkopf.
Jira ist eine Webanwendung zur Fehlerverwaltung, Problembehandlung und zum operativen Projektmanagement, die von Atlassian entwickelt wird. Jira wurde historisch besonders in der Softwareentwicklung eingesetzt, hat sich inzwischen aber zusätzlich in nichttechnischen Bereichen vieler Unternehmen etabliert. Atlassian tauchte hier im Herbst 2023 im Zusammenhang mit dem Confluence Server und Schwachstellen auf (siehe Links am Artikelende). Und zum 16. Januar 2024 gab es dieses Atlassian-Security Bulletin, wo Jira gleich mit mehreren Schwachstellen genannt wird. Aber es ist natürlich wilde Spekulation, dass der Angriff etwas mit den Schwachstellen im Security Bulletin zu tun hat.
Anzeige
Zugang zum Jackpot?
Und noch so viel: Die PSI Software hat als Dienstleister zu vielen Unternehmen im Bereich kritischer Infrastrukturbetreiber direkte Remote-Zugänge. Eine Stimme flüsterte mir auch, dass der Anbieter dort die Firewalls in den Betrieben mit verwaltet. Sollten die Angreifer es tiefer in das Netzwerk von PSI Software geschafft haben wird sehr unschön.
Ergänzung: Aus nicht Quellen, die nicht zitiert werden möchten, habe ich den Hinweis, dass es wohl bei keinem Kunden eine Kompromittierung gegeben habe (die Trennung der betreffenden Zugänge erfolgte wohl rechtzeitig). Wie der Vorfall im Einzelnen aussieht bzw. die Hintergründe seien weiterhin unklar.
Ergänzung 2: Das Handelsblatt hat diesen Artikel zum Thema veröffentlicht, der zwar keine neuen Erkenntnisse über die oben zitierte Ad-Hoc-Mitteilung bezüglich des Sachverhalts enthält. Aber das Handelsblatt arbeitet im Artikel die Beziehungen zu Betreibern kritischer Infrastrukturen heraus, was auch ganz interessant ist.
Ergänzung 3: Zum 19. Februar 2024 gab es eine Meldung des Unternehmens über einen Ransomware-Befall. Kundensysteme seien nicht betroffen, so der aktuelle Kenntnisstand. Weitere Informationen unter PSI Software wurde zum 15. Feb. 2024 Opfer von Ransomware – Kunden wohl nicht gefährdet.
Ähnliche Artikel:
Schwachstelle (CVE-2023-22515) in Atlassian Confluence geschlossen
Kritische Schwachstelle (CVE-2023-22518) in Atlassian Confluence-Servern
Atlassian verstärkt Warnung vor Ausnutzung der Confluence-Schwachstelle CVE-2023-22518
2015
"Die Gesellschaft hat als Reaktion die Systeme proaktiv vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern." Ich bin verwirrt, haben die nun reaktiv "proaktiv" vom Internet getrennt, oder haben die als Reaktion das Internet getrennt, um "proaktiv" Datenschutzverletzungen zu verhindern? Beides in in meinen Augen rein reaktiv, da ist nichts proaktives zu finden.
Proaktiv getrennt *lol* nach dem Cyberangriff! Ich würde sagen dann war es schon zu spät. Proaktiv wäre, wenn ich eine Glaskugel hätte und schon im Vorfeld alle Leitungen trenne – was natürlich Unsinn ist.
Zuerst VARTA nun PSI
Keine Batterien kein Stromnetz
Richtige Reihenfolge
Jetzt wirds Dunkel ;-)
Hm, das sieht in der weiteren Folge nach einem ersten bundesweiten Showdown aus.
Lass die erbeuteten Daten ausgewertet sein, dann geht es los bzw. kann es in einigen Landstrichen dunkel werden.
Für Interessierte:
Folgen eines Blackouts – Studie des […] Deutschen Bundestags
Besonders interessant: "Verhaltensbezogene Folgen…" ab S. 195
publikationen . bibliothek . kit . edu/140085927/120049880
Praktisches Beispiel (Berlin 2015): 1h Stromausfall, Plünderung und Randale
archive . ph/iPkSn
Es ist wieder bezeichnend, dass man eher in einem Blog davon liest (vielen Danke dafür!) anstatt als Kunde direkt von Anbieter oder als KRITIS von offizieller Stelle informiert zu werden.
Ich kann dir aus verlässlicher Quelle sagen, dass Kunden direkt informiert wurden.
Aber nicht jeder(?) Kunde vom ERP PSIpenta. Der Geschäftsbereich aber vielleicht auch nicht betroffen?
Bin froh das wir nie ein unbeaufsichtigten Zugang eingeräumt haben. Wenn Zugriff nötig ist dann nur nach Start des Fernsteuerclients auf einem PC und von dort aus per RDP zum ERP-Server.
Ja aber offenbar nicht alle. Das Nachbarstadtwerk ja, von denen haben wir übrigens die Info gestern bekommen, wir bis jetzt nicht!
Hallo Matthias,
als Betroffener ist es momentan wirklich schwierig an Informationen zu bekommen. Ich habe ein paar Infos von Seiten BSI angefordert.
Du kannst Dich gerne bei mir melden.
Gruß Joe
Danke. Mein Vorgesetzter ist zusammen mit unserem ISMS-Beauftragten dran.
Hallo boesebose,
die Info das hatten wir, wir hatten gestern Anruf der PSI, allerdings ist seit dem Funkstille. Inoffiziell gab es auch eine Meldung vom BSI.
Wir haben seit gestern entsprechende Maßnahmen getroffen. Die Zugänge sind bei uns Standardmäßig nicht gesteckt.
Die Frage ist wie weit sind Sie betroffen ist es nur die Office IT, sind die Remotezugänge zu den Leitstellen betroffen ?
Gruß Joe
Wann erkennen die Menschen den grösseren Zusammenhang hinter all den "Vorfällen"? So viele Experten, so wenig Schlüsse ziehen…
Das wird vermutlich ne Ransomware gewesen sein. Der "große Zusammenhang" ist demnach Geld. Erpresstes Geld.
Der "große Zusammenhang" ist Disruption der Netzwerk-Welt.
Ich glaube man sollte den Firmen zumindest die Zeit geben den Vorfall so zu analysieren, dass man stichhaltige Informationen herausgeben kann.
Ich finde schon, dass es legitim ist im Verdachtsfall aktiv zu informieren ohne selbst im Detail zu wissen was, wie und in welchen Segmenten genau ein Impact stattgefunden hat. Dies bedingt einer weitergehenden und zeitintensiven Prüfung.
Wir reden hier schließlich von einem Ausmaß "von … bis".
Ich sehe hier zumindest definitiv in der Kommunikation keinerlei Parallelen zu Anydesk ;)
Gestern wurde anscheinend ein offizielles Communiqué veröffentlicht (https://www.eqs-news.com/news/adhoc/cyberangriff-auf-psi/1997201), wir als Schweizer PSI-Kunde haben allerdings erst heute Morgen von inoffizieller Seite davon erfahren, sehr schwach.
Natürlich ist das keine schöne Sache und natürlich wünscht man sich als Betroffener eine möglichst rechtzeitige und "persönliche" Info. Aber schonmal darüber nachgedacht, dass bei einem möglichen Ransomware Angriff alle Systeme zumindest eine Zeit lang nicht zu gebrauchen sind und man teilweise gar nicht auf die Informationen zugreifen kann wer eigentlich seine Kunden sind bzw. wie man diese kontaktieren soll?
Das Unternehmen hat zumindest direkt eine öffentliche Meldung rausgegeben, das BSI informiert und untersucht den Fall aktuell wohl noch. Manchmal kann man auch wirklich etwas genügsamer sein…
Sehe ich auch so. Alles gleichzeitig geht halt nicht und mein Eindruck ist, dass man hier recht sorgfältig priorisiert und insgesamt auch bemüht, möglichst zügig zu klären und zu informieren. Schaden minimieren und ggf. reparieren, Ursachen klären und abstellen hat Priorität.
Es gibt auf psi.de eine reine Infoseite über den Vorfall