Der Cyberangriff auf die Firmengruppe Marquard & Bahls beschäftigt die Hamburger Staatsanwaltschaft. Ihre Behörde ermittelt wegen Erpressung, sagte die Sprecherin der Staatsanwaltschaft, Liddy Oechtering, am Mittwoch. Ausgangspunkt sei eine Strafanzeige des geschädigten Unternehmens, das Opfer einer Attacke mit Erpressungs-Software geworden ist. Betroffen von dem Cyberangriff waren IT-Systeme des Mineralölhändlers Mabanaft und des Tanklogistikers Oiltanking, der Tankstellen mittelständischer Unternehmen, aber auch Konzerne wie Shell mit Rohstoffen beliefert. Beide Unternehmen gehören zu der Hamburger Gruppe Marquard & Bahls.
In einer Mitteilung an Geschäftspartner hatte Oiltanking am Wochenende geschrieben, dass alle Be- und Entladesysteme der Firma betroffen seien, die so keine Tankwagen beladen könnten, um Kunden zu versorgen. Nach Branchenangaben besteht jedoch kein Risiko eines Ausfalls der Tankversorgung in Deutschland. Das liege auch daran, dass auf dem Markt insgesamt 26 Unternehmen aktiv seien. Nach Einschätzung von IT-Experten dauert es meist mehrere Tage, unter Umständen auch Wochen, bis alles wieder wie vorher läuft.
Ähnlich erging es in den vergangenen Jahren diversen Hamburger Unternehmen, betroffen war etwa auch das „Hamburger Abendblatt“ als Teil der angegriffenen Funke Gruppe. In WELT berichtete zuvor schon der Chef des Kurierdienstes Funkpiloten von einem Erpressungsversuch. Damals beschrieb Andreas Dondera, Leiter der Zentralen Anlaufstelle für Cybercrime (ZAC), das typische Vorgehen: „Hacker brechen heutzutage häufig in das Netzwerk eines Unternehmens ein und recherchieren dort, wo und wie Backups angelegt sind. Dann blockieren sie diese genauso wie die Originaldaten, damit der Angegriffene keine Chance hat, seine Datenlandschaft wieder herzustellen.“ Die Digitalverbrecher dingfest zu machen ist für die Polizei häufig schwierig, weil die Webkriminellen für ihre Zugriffe verschiedene Anonymisierungstechniken und -dienste nutzen, erklärt Dondera. „Die können in Neuseeland sitzen, in Russland – oder direkt nebenan.“
Schadcode soll seit November bekannt gewesen sein
Eine Einschätzung zum aktuellen Fall gab Thomas Uhlemann, Experte des IT-Sicherheitsunternehmens Eset, ab. Er sagte, erneut sei ein Unternehmen der Lieferkette erfolgreich angegriffen worden. „Dass dabei Schadcode zum Einsatz kam, der bereits seit November bekannt ist, verdeutlicht, wie viel in Sachen IT-Security noch aufzuholen ist.“ Er gehe davon aus, dass der Angriff nicht erst in diesem Jahr erfolgte, sondern der Zugriff der Cyberkriminellen auf die Systeme schon länger möglich gewesen sei. „Vor einer Verschlüsselung und Lösegeldforderung werden in der Regel die Netzwerke eingehend von innen und außen studiert.“
Die verwendete Erpressersoftware „Black Cat“ und die dahinterstehende Hackergruppe ALPHV seien bis Ende 2021 unbekannt gewesen. „Unserer Einschätzung nach baut die Gruppe derzeit ein Franchise-Modell auf“, sagte Uhlemann. Hierbei würden gezielt Mitgliedern anderer Gruppen wie REvil, Blackmatter oder Darkside abgeworben.
„Ritt auf der Rasierklinge“
Der Experte warnte die Opfer von Ransomware, auf die Forderungen der Erpresser einzugehen. Die Zahlung von Lösegeldern könne zukünftig ein nicht mehr versicherbares Risiko darstellen. Das habe einerseits mit der Höhe der Forderungen, aber auch mit den aktuellen US-Sanktionsregelungen zu tun. „Ransomware-Lösegeldzahlungen in Ländern, die auf den offiziellen US-Sanktionslisten stehen, werden demnach unter Strafe gestellt. Unternehmen, die der Erpressung nachgeben, riskieren einen Ritt auf der Rasierklinge.“