Cyberangriff auf die HSE-Gruppe

In der Nacht von Freitag auf Samstag kam es zu einem der größten und folgenschwersten Cyberangriffe in der Geschichte Sloweniens. Dieses Mal hatten die Täter die kritische slowenische Energieinfrastruktur ins Visier genommen, und das Ziel war die HSE-Gruppe (Holding slowenischer Kraftwerke).

Der Angriff wurde bereits am Mittwoch entdeckt, eskalierte jedoch von Freitag auf Samstag. Die Stromversorgung ist nicht gefährdet, allerdings ist der Zugriff auf einige Systeme derzeit noch gesperrt. Tomaž Štokelj, CEO der HSE Group, ist optimistisch, dass es keine größeren Konsequenzen geben wird.

„Das Betriebssystem ist in größerem Umfang funktionsfähig, unsere Kraftwerke werden aus der Ferne verwaltet, wir bauen auch eine Verbindung mit Eles auf.“

Die HSE-Gruppe gab in einer Pressemitteilung bekannt, dass es sich um einen klassischen Cyberangriff mit einem Ransomware-Virus handelte, mit dem die Angreifer einige sensible Dateien oder Daten verschlüsselten. „Die Analyse ergab, dass es sich um einen Hack in das System handelte. Expertenteams aus dem Bereich Informationstechnologie und Cybersicherheit begannen umgehend mit der Lösung des Vorfalls. Die HSE informierte unverzüglich die Regierung der Republik Slowenien, die Verwaltung von SDH, Eles, die Polizei und andere relevante staatliche Behörden sowie alle professionellen Teams, die für die reibungslose Abwicklung der Geschäfte und den Betrieb der Produktionsanlagen in der Gruppe verantwortlich sind.“

Sie haben die Lösegeldzahlungsnachricht noch nicht erhalten und wissen auch nicht, woher der Angriff kam und wer dahintersteckt. Sie schlossen aus, dass der Angriff innerhalb des Unternehmens stattfand. Entsprechend dem nationalen Protokoll wurde bei solchen Angriffen auch das Amt für Sicherheit in der Informationstechnik in die Cyberabwehr eingebunden. Generaldirektor Dr. Auch Uroš Svete beruhigt die Leidenschaften: „Im Moment ist die Situation unter Kontrolle.“

„Den ersten Daten zufolge wurde das System selbst kompromittiert, ein erfolgreicher Eindringversuch und ein Versuch, Dateien zu sperren, wurden unternommen. Nach unseren Informationen hat noch niemand ein Lösegeld gefordert, Fakt ist aber, dass es noch keinen Zugang gibt“, bestätigte Svete.

In einer gemeinsamen Aktion leiteten sie eine weitere Untersuchung ein. Sie interessieren sich zunächst dafür, wann und wie der ursprüngliche Eingriff stattgefunden hat. Es wurde am Mittwoch mithilfe von Netzwerksicherheitsgeräten entdeckt, aber Svete warnt davor, dass diese Art von Angriffen lange andauern kann. „[…] Solche Kommunikationen werden auch aus Sicht der Angreifer nicht sofort initiiert. Und dass es auch stark davon abhängt, wann und auf welche Weise das Opfer selbst solche Angriffe wahrnimmt.“

Dass der Energiesektor das Ziel war, ist nicht überraschend. Energie sei „einer der wichtigsten Sektoren, weil seine Kritikalität am höchsten ist, die meisten Sektoren hängen davon ab“, erklärt Dr. Uros Sveta. Finanzen, Gesundheitswesen und Energie sind die Bereiche, die sich für gemeinnützige Organisationen bisher am meisten ausgezahlt haben.

Wir haben in der Vergangenheit mit vielen Experten über diese Art von Angriffen gesprochen, die davor warnen, dass Ransomware-Angriffe immer relevanter werden. Es gibt keinen 100 % kugelsicheren Schutz, aber es stehen den Unternehmen mehrere vorbeugende Maßnahmen und etablierte Protokolle zur Verfügung.