Die Sparkassen-Tochter Deutsche Leasing wurde bereits am letzten Wochenende von einer Cyberattacke getroffen. Laut diverser Medien war der Vorfall so heftig, dass das Unternehmen die 2.500 Mitarbeiter zu Beginn der Woche nach Hause schicken musste. Es ist unklar, ob auch Daten gestohlen wurden.
Laut dem Unternehmen wurde die Cyberattacke bereits am Samstag, den 03.06.23 in der IT-Abteilung registriert. Allerdings war laut diverser Medien der Schaden schon angerichtet und die IT-Abteilung hat sofort die Systeme vom Netz genommen. Da erst einmal geprüft werden musste, welche Systeme kompromittiert wurden, schicke das Unternehmen Deutsche Leasing alle seine 2.500 Mitarbeiter am Montag und Dienstag nach Hause. Zuerst ging einmal nichts mehr. Auf viele angeschlossene Mittelständler hatten und haben keinen Zugriff auf besondere Deinste.
Keine Angaben zum Abfluss von Daten
Das Unternehmen informiert zwar auf seiner Webseite über die Cyberattacke, gibt aber keine weiteren Angaben, ob eventuell auch Daten gestohlen wurden. Das machen aktuell viele Angreifer mit einer Ransomware oder einem Data Stealer. Bei letzten extrahieren die Angreifer nur die Daten und starten dann die Erpressung, dass sie die Daten veröffentlichen oder verkaufen. Bei einer Ransomware-Attacke erfolgt zusätzlich noch eine Verschlüsselung der gekaperten Systeme und Daten. Die Deutsche Leasing gibt aktuell keine weiteren Informationen zum Angriff. Auf der Webseite gibt es nur folgende Information:
„Bei einem Cyberangriff auf einen Teil der IT-Systeme betroffen ist. Das Unternehmen hat gemäß Notfallplan umgehend reagiert und den Zugriff auf die Systeme abgeschaltet. Seit dem Wochenende arbeitet das Unternehmen zusammen mit externen IT-Sicherheitsberatern und den Ermittlungsbehörden unter Hochdruck daran, den Angriff zu analysieren und Spuren zu sichern. Im Rahmen des Wiederanlaufplans wurde u. a. die sichere E-Mail-Kommunikation wieder in Betrieb genommen. Schritt für Schritt wird dieser Plan nun abgearbeitet.“
Red./sel
Ein Kommentar von Illumio
Dieser Angriff ist ein weiteres Beispiel dafür, dass Cybersicherheit nicht mehr nur ein Sicherheitsproblem ist, sondern auch ein operatives Problem. Zum jetzigen Zeitpunkt ist nicht klar, ob es sich bei dem Angriff um Ransomware handelt. Sollte dies jedoch der Fall sein, könnte die schiere Menge an sensiblen Daten, über die die Deutsche Leasing verfügt, den Angreifern ein größeres Druckmittel bieten.
Das Unternehmen wird nun seinen Incident Response Prozess durchlaufen und hat seine Systeme für die Dauer der Ermittlungen abgeschaltet. Es sollte jedoch ein Punkt erreicht werden, an dem jede Organisation in der Lage ist, Angriffe einzudämmen und zu überleben, ohne dass es dadurch zu einer nennenswerten Unterbrechung des Betriebs kommt – insbesondere bei Finanzdienstleistern, von deren Dienstleistungen tausende Menschen abhängig sind.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfrageAlle Unternehmen müssen sich darauf konzentrieren, eine angriffstolerante IT-Infrastruktur zu schaffen und die Cyberresilienz zu erhöhen, damit sie auch während Angriffen weiterarbeiten können. Angriffe sind unvermeidlich, daher braucht jedes Unternehmen eine Strategie zur Eindämmung von Angriffen, um Risiken zu verringern, sensible Vermögenswerte und Daten zu schützen und Bedrohungen schnell einzudämmen. So der Kommentar von Alexander Goller, Senior Systems Engineer bei Illumio.
Drei Tipps zur Risikominderung bei Cyberangriffen
- Annehmen einer „Assume Breach“ Mentalität. Man geht davon aus, dass es zu Angriffen kommen wird, und passt seine Sicherheitsstrategien so an, dass das Risiko minimiert wird.
- Entwerfen eines Sicherheitsplans, der zum Überleben von Angriffen und nicht nur der Verhinderung dient.
- Implementieren einer Zero-Trust-Strategie. Basierend auf dem Mantra „never trust, always verify“ müssen Richtlinien festgelegt werden, die sicherstellen, dass das Netzwerk kontinuierlich alle Benutzer, die Zugriff anfordern, verifiziert, authentifiziert und autorisiert, unabhängig davon, ob sie sich innerhalb oder außerhalb des Netzwerks befinden.