Kurzer Hinweis in Sachen Cybersicherheit – die Morgenstern Gruppe (Anbieter von Dokumenten- und Drucklösungen) ist im August 2025 Opfer eines versuchten Cyberangriffs geworden. Die IT-Systeme der Gruppe wurden heruntergefahren und derzeit ist der Hersteller im Notbetrieb unterwegs. Hier einige Hinweise, was mir bisher bekannt ist.
Anzeige
Wer ist die Morgenstern Gruppe?
Die Morgenstern AG mit Hauptsitz in Reutlingen ist ein Anbieter von Druck- und Dokumentenlösungen. Das 1971 gegründete 1-Mann-Unternehmen kümmert sich heut mit über 300 Mitarbeitern an 11 Standorten darum, Druck- und Dokumentenlösungen für Kunden zu optimieren.
Leserhinweise auf einen Cyberangriff
Die erste Information erreichte mich bereits am Freitag, den 8. August 2025, über eine private Nachricht auf Facebook – ich konnte mit dem Anbieter und dem nachfolgenden Hinweis aber wenig anfangen.
Es war lediglich von einer "aktuellen Störung" die Rede, auf Grund der die Erreichbarkeit des Unternehmens eingeschränkt sei. Der Leser meinte zwar noch "Morgenstern wurde wohl heute gehackt. Genaueres weiß ich aber auch nicht." Hab den Vorfall dann mangels weiterer Informationen erst einmal auf Eis gelegt. Zum heutigen 12. August 2025 wies mich ein ungenannt bleiben wollender Leser auf die neueste Entwicklung hin. Beim Aufruf der Seite morgenstern.de wird das nachfolgende Popup eingeblendet.
Anzeige
Dort erfährt man, dass die MORGENSTERN-Gruppe einen versuchten Cyberangriff am Donnerstag, den 7. August 2025 erfolgreich stoppen konnte. Aus Sicherheitsgründen wurde wohl die IT heruntergefahren und das Unternehmen teilt mit, dass man "in den kommenden Tagen" im Notbetrieb arbeiten werde.
Zur Zeit seien externe IT-Dienstleister und Forensiker, die Kriminalpolizei Esslingen sowie das interne IT-Team damit befasst, alle Systeme zu prüfen, um die gewohnten Dienstleistungen schnellstmöglich wieder vollständig zur Verfügung zu stellen.
War der TeamViewer die Einfallstelle?
Mit obigen Informationen ist der Sachverhalt weitgehend klar – es gab einen Cyberangriff. Inwieweit dieser erfolgreich abgewiesen werden konnte, lässt sich on mir nicht beurteilen. Der anonyme Leser informierte mich ebenfalls, dass die erste Meldung (erster Screenshot in obigem Text) am Freitag, den 8. August 2025, auf der Firmen-Website erschien.
Mir liegt aber die Information vor, dass die Morgenstern Gruppe Kunden aufforderte, TeamViewer-Zugänge zu schließen und Passwörter zu ändern. Auffällig sei gewesen, so meine anonyme Quelle, dass als Kontaktadresse bei Morgenstern zeitweise ein Gmail-Konto angegeben wurde. Die Quelle vermutet, dass die interne E-Mail-Infrastruktur des Unternehmens möglicherweise betroffen war.
Am Dienstag, den 12. August 2025, folgte dann eine weitere öffentliche Mitteilung (zweiter Screenshot im obigen Text) auf der Website sowie eine E-Mail an Kunden. Darin wird von einem versuchten Cyberangriff am 7. August berichtet, der nach eigenen Angaben gestoppt wurde. Die Quelle erwähnte noch, dass zu bekannten Kunden von Morgenstern unter anderem der deutschlandweit bekannte Textilhersteller Trigema gehört.
Anzeige
Das kommt heraus, wenn 'Tonerbuden' in die Domäne rechtssicherer digitaler Dokumentenmanagementsysteme wechseln bzw. expandieren. Selber den Laden nicht schützen können, sich den Kunden aber als Digital Babos anbieten (1). Gut, wenigstens geben sie zu, dass sie aktuell externe IT-Dienstleister und Forensiker herbeiholen mussten. Das würde eine Baumarktkette zwar auch müssen, nur mit dem Unterschied, dass diese nicht als Expertin für E-Post und digitale Unterschriften auftritt.
(1) *ttps://www.morgenstern.de/warum-morgenstern/unsere-staerken.html
Hast Du Grundlagen für die Behauptung "Tonerbude". Ich war viele Jahre Kunde bei Morgenstern und kann das so nicht nachvollziehen. "Externe Forensiker und Dienstleister" liest man ständig bei betroffenen Unternehmen und das dürfte der übliche Marketing-Sprech sein. Zudem bedarf es zusätzlicher Kräfte, um den Betrieb z. B. mit Neubetankung der Arbeitsplätze wieder anzufahren. Ich habe selten einen so unqualifizierten Beitrag ohne wirklichen bezug zum Thema gelesen.
Und ja: Sie haben ihre Systeme nicht sicher, so wie letztendlich alle Microsoft und Windows Anwender.
"Ich habe selten einen so unqualifizierten Beitrag ohne wirklichen bezug zum Thema gelesen." –> Volle Zustimmung, faktenfreies Geblubber da oben.
Im Gegensatz zu vielen anderen Unternehmen, auch aus der IT-Sicherheitsbranche bspw., hat Morgenstern den Angriff wohl erfolgreich abgewehrt und die Einschränkungen resultieren lediglich aus einer Prüfung aller Systeme.
Nicht schlecht für eine "Tonerbude", wie ich finde.
man merkt in deinem Beitrag ein Mangel an Verständnis und Erfahrung. Es ist vollkommen normal und dringend angeraten externe Dienstleister und Forensiker bei einem Cyberangriff hinzuzuholen, egal welches Kompetenzniveau die interne IT eines Unternehmens hat.
Das kommt heraus, wenn 'Alleswisser' in die Domäne fachlich versierter Informationstechniker wechseln bzw. expandieren.
* :-)
Der Sub-Thread mit den Kommentaren hier sollte nun bitte auslaufen. Möglicherweise wird ein Post-Incident-Report bekannt, so dass man die Details mitbekommt. Aktuell bringt die Diskussion imho niemanden weiter. Könnte ja vieles, von Phishing über unsichere Teamviewer-Session als Ursache sein. Danke an alle für das Verständnis.
> Mir liegt aber die Information vor, dass die Morgenstern Gruppe Kunden aufforderte, TeamViewer-Zugänge zu schließen und Passwörter zu ändern.
Der Klassiker, fest installierte Teamviewer Zugänge auf kritischen Servern, mit in Exceltabellen abgelegten Klartext-Zugangsdaten für jedermann auf SMB-Shares, die jetzt weg sind. Weil es so einfach ist…
Üblich ist auch, dass Angreifer längst Ihre Reverse-Shells und Backdoors auch bei anderen aufgebaut haben, bevor sie jetzt bei der Quelle losgelegt haben.
Lernen durch Schmerzen…
wurde heute auch (als dienstleister für gemeinsame kunden) kontaktiert und gebeten potentiell betroffene zugangsdaten zu ändern – es wurde wohl (auch / u. a.) ein keypass-konto kompromittiert – soviel zum thema: "teamviewer einfallstor" und " excelliste mit zugängen"
gruß an die vorschnellen interpretatoren und fernanalysten ohne hintergrundkenntnisse !