Lange gab es kein Statement von Continental zum Cyberangriff, dem Diebstahl von 40 TByte Daten und der Lösegeldforderung von erst 50 und dann 40 Millionen Dollar. Nun klärt Continental selbst auf, was passiert ist und wie man reagiert.
Die eigentliche Attacke auf Continental fand wohl bereits ist August 2022 statt. Damals verkündigte Continental, dass alles in bester Ordnung sei. Man verkündete, die Attacke wurde bemerkt und abgewehrt. Doch weit gefehlt: die Hacker waren zu diesem Zeitpunkt wohl noch im Netz von Continental unterwegs oder hatten weiterhin Zugang. Im täglichen Betrieb wurden dann über einen unbekannten Zeitraum über 40 TByte an Daten abgeschöpft – ohne, dass man es bei Continental bemerkte.
Nun informiert Continental öffentlich
Continental lässt nun verlauten: „Continental wurde zum Ziel von Cyberkriminellen. Das Unternehmen hat den Angriff bereits Anfang August abgewendet und die Integrität seiner IT-Systeme wiederhergestellt. Die Geschäftsaktivitäten von Continental wurden zu keinem Zeitpunkt beeinträchtigt. Die Untersuchung des Vorfalls hat in der Zwischenzeit ergeben, dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten. Die mit Unterstützung externer Experten für Cybersicherheit durchgeführte Untersuchung sowie die Datenanalyse dauert derzeit noch an und erfolgt mit höchster Priorität.“
Kurzer Ablauf des Datendiebstahls
Das Unternehmen beschreibt selbst, wie einige Schritt des Cyberangriff erfolgt sind. Hier eine gekürzte Fassung:
- 4. August 2022: Mit der Untersuchung des Vorgangs beginnt Continental umgehend. Das Unternehmen arbeitet hierbei auch mit externen Experten zusammen.
- Der Angreifer nimmt Mitte September Kontakt zu Continental auf. Continental bricht den Kontakt mit den Angreifern im weiteren Verlauf ab.
- Der Angreifer bietet am 9. November 2022 im Darknet die Löschung oder den Verkauf der Daten für 50 Mio. US-Dollar an. Diese wurde am 29. November 2022 auf 40 Mio. US-Dollar reduziert.
- Darüber hinaus veröffentlicht der Angreifer am 10. November 2022 eine Liste der Daten, die nach seiner Aussage in seinem Besitz sind. Es werden keine detaillierten Datei-Inhalte veröffentlicht.
- Continental geht aktuell von einem Datenabfluss in einem Umfang von mehr als 40 TB aus. Zum aktuellen Zeitpunkt wurden noch keine Datei-Inhalte veröffentlicht.
- Continental hat aktuell keine Hinweise darauf, dass Daten manipuliert oder Produkte kompromittiert wurden.
- Zur technologieunterstützten Datenanalyse arbeitet Continental mit einer renommierten Wirtschaftsprüfungsgesellschaft zusammen.
Keine Lösegeldzahlung – Beratung durch das BSI
Weiterhin heißt es von der Firmenleitung „Continental lässt sich nicht auf Lösegeldzahlungen ein. Durch die Zahlung von Lösegeld würde man nur dazu beitragen, dass auch weiterhin Angriffe auf die Sicherheit von kritischer Infrastruktur wie Energieversorgung und Krankenhäuser, Bildungseinrichtungen und die Wirtschaft finanziert werden. Mit dieser Haltung folgt das Unternehmen zudem bestehenden Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI), des Bundeskriminalamts (BKA) und der Bundesregierung.“
Warum hat niemand etwas bemerkt?
Laut Continental ist das nicht ungewöhnlich, da nach Erfahrungswerten Ransomware-Angriffe im Schnitt über mehrere Monate unerkannt bleiben. „Dies liegt unter anderem daran, dass es gerade in großen Unternehmen erheblichen Datenaustausch gibt, und ein Datentransfer von rund 40 TB wie im vorliegenden Fall nicht sofort ins Gewicht fällt.“ In anderen Berichten war zu lesen, dass das Unternehmen etwa 200 TByte pro Tag bewegt. Zugleich wird die weitere forensische Auswertung noch dauern, da „Aufgrund der potenziellen Datenmenge (mehr als 55 Mio. Dateieinträge) wird die Datenanalyse vermutlich noch mehrere Wochen dauern.“
Wie konnten die Hacker bei Continental eindringen?
Dazu sagt das Unternehmen: „Die Untersuchung des Cyberangriffs dauert noch an, somit auch die Untersuchung darüber, wo die Angreifer ansetzen konnten. Erste Erkenntnisse legen nahe, dass sich die Angreifer Zugang zu den Continental-Systemen mittels einer getarnten Schadsoftware verschafft haben, die durch einen Beschäftigten ausgeführt wurde.“ Laut diversen Medien soll ein Mitarbeiter einen nicht genehmigten Browser installiert haben. Dieser hatte entweder bereits einen Schadcode an Bord oder führte zu einer entsprechenden Quelle. Warum überhaupt ein Mitarbeiter die Rechte zur Installation einer Software hat, wurde nicht beantwortet.
Wie sind die wirtschaftlichen Folgen?
Continental stellt sich auch der Frage, welche wirtschaftlichen Folgen durch den Cyberangriff auf Continental zukommen könnten. Die Antwort dazu lautet aber nur lapidar „Zu möglichen Folgen sind derzeit keine näheren Angaben möglich.“ Allerdings dürften das andere Unternehmen nicht ganz so einfach sehen. Denn unter den gestohlenen Daten sollten sich auch Unterlagen von Mercedes, BMW und VW befunden haben. Wenn auf diesem Weg nun Produktentwicklungen oder weiteres gefährdet sind oder Daten zu Konkurrenten gelangen, könnte das ein weiteres Nachspiel für Continental haben.
Ein Kommentar von Michael Pietsch von Rubrik
Der Automobilzulieferer Continental wurde Opfer eines Ransomware-Angriffs. Der Fall zeigt, wie wichtig es ist, Security-Lösungen einzusetzen, die kontinuierlich das Netzwerk überwachen und bei Unregelmäßigkeiten Alarm schlagen.
„Dahingehend können Organisationen aus dem Fall von Continental etwas lernen. Der Konzern merkte erst Monate nachdem der Hackerangriff entdeckt wurde, dass eine große Datenmenge aus dem Netzwerk gestohlen wurde. Um das zu adressieren, gibt es Security-Lösungen, die kontinuierlich das Netzwerk überwachen und bei Unregelmäßigkeiten Alarm schlagen. Das ermöglicht schnelles Handeln und verhindert weitreichende Auswirkungen.
Deswegen empfehlen Cybersecurity-Experten, die Datensicherheit auf drei Eckpfeilern aufzubauen: Datenresilienz, Datensichtbarkeit und Datenwiederherstellung. Die Resilienz erreichen Nutzer durch unveränderbare Sicherheitskopien ihrer Daten. Unveränderbare Daten sind unantastbar und können von Hackern nicht verschlüsselt werden. Die Sichtbarkeit wird durch das konstante Monitoring aller Datenströme gewährleistet.
Dazu gehört auch, jederzeit zu wissen, wer Zugriff auf welche Daten hat und wann sie verwendet wurden. Anhand dieser Informationen lassen sich verdächtige Aktivitäten identifizieren und stoppen. Zur Wiederherstellung von wichtigen Daten dienen Backups. Sind die an einem sicheren Ort abgelegt und schnell verfügbar, können die Opfer eines Ransomware-Angriffs ihre Systeme womöglich zeitnah wieder online nehmen. Wer sich an diese Grundsätze hält, kann das Risiko und das Schadenspotenzial eines Cyberangriffs minimieren.“ so Michael Pietsch von Rubrik.
Mehr bei Continental.com