Der Continental-Konzern kämpft mit den Folgen eines Hackerangriffs. Nachdem die Attacke vom August schon überstanden schien, bieten die Angreifenden nun umfangreiche interne Daten des Zulieferers im Darknet zum Kauf an, dem anonymen Teil des Internets. Nach Darstellung des „Handelsblatts“ umfasst die Liste offenbar technische Unterlagen ebenso wie Strategiepapiere, interne Korrespondenz sowie Kundeninformationen etwa aus dem Softwarebereich von Volkswagen.

Continental hatte im August bereits über einen „abgewendeten Cyberangriff“ informiert. Der Geschäftsbetrieb sei nicht beeinträchtigt gewesen. Seitdem werde der Vorfall zusammen mit externen Fachleuten für Cybersicherheit untersucht, sagte ein Konzernsprecher. Dabei habe sich herausgestellt, „dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten“.

Continental weigerte sich zu zahlen

In solchen Fällen verlangen die Hacker Geld dafür, die Daten nicht zu veröffentlichen – aber Continental weigerte sich offenbar zu zahlen. Über einen Mittelsmann soll per Chat verhandelt worden sein. Entsprechende Screenshots haben die Hacker ebenfalls veröffentlicht.

Mehr zum Thema

 

Angriffe auf die Infrastruktur

Sabotage und Cyberkrieg: Wie anfällig Deutschlands Versorgung ist

 

Kritische Infrastruktur

Katastrophenschutz: Wie Selbsthilfe-Kurse auf den Blackout vorbereiten

 

Ob Deutsche betroffen sind, ist offen

Toyota vermutet nach Hackerangriff Datenraub von 300.000 Kunden

Der Konzern äußert sich dazu nicht. Klar ist aber, dass nun eine lange Liste von Dateien angeboten wird, deren Namen auf Conti-Interna aus verschiedenen Bereichen des Konzerns hindeuten. Interessiert könnten Konkurrenten ebenso sein wie andere Erpresserinnen oder Erpresser, die zum Beispiel auf persönliche Daten hoffen.

Ob sich hinter den Namen auch wirklich der entsprechende Inhalt verbirgt, erfährt wohl nur der Käufer: Für 50 Millionen Dollar, zahlbar in Kryptowährung, werden die Dateien im Umfang von angeblich 40 Terabyte entweder verkauft oder auf Wunsch auch vernichtet. So jedenfalls lautet das Angebot der Erpresser im Darknet, von dem das „Handelsblatt“ einen Screenshot zeigt.

Budgetpläne und Vorstandskommunikation im Angebot

Nach Angaben der Zeitung sind unter anderem Budget-, Investitions- und Strategiepläne im Angebot. Andere Dateinamen deuteten auf Unterlagen aus dem Personalbereich sowie vertrauliche Dokumente und Kommunikation der Vorstände und Aufsichtsräte hin. Das angebliche Angebot im Darknet bestätigt indirekt Verhandlungen. Wolfang Reitzle, der Aufsichtsratsvorsitzende von Continental, sei ein „sehr gieriger Mann“, steht dort – was wohl heißen soll, dass er nicht zahlen wollte. Deshalb stelle man nun sämtliche Daten zum Verkauf.

Wie lebt es sich als achtmilliardster Mensch auf der Erde?

Am 15. November leben acht Milliarden Menschen auf der Erde. So lautet die Prognose der UN. In was für eine Welt wird der achtmilliardste Mensch hineingeboren? Wie wird er aufwachsen, arbeiten, welche Herausforderungen kommen auf ihn zu? Vier Szenarien aus vier verschiedenen Ländern.

Jetzt mit RND+ lesen

Das Prinzip heißt Ransomware: Daten werden nach dem Eindringen ins fremde Computersystem kopiert oder auf dem Unternehmensrechner blockiert. Erst nach Zahlung eines Lösegelds werden die Kopien vernichtet oder die Originaldaten freigegeben. Den Eingang in die fremden Rechner finden die Hacker oft durch schlichte Phishingattacken: Beschäftigten werden fingierte Mails mit einem Link geschickt, auf den die Ahnungslosen klicken. Zum Teil liefern aber auch Insider den Zugang und werden dann am Lösegeld beteiligt. Bei Continental soll man eine Spur haben – über die aber geschwiegen wird.

Lockbit 3.0 griff auch den Rüstungskonzern Thales an

Hinter dem Continental-Angriff steckt Lockbit 3.0, eine der größten der weltweit rund zwei Dutzend bekannten Hackergruppen. Erst vor wenigen Tagen reklamierte Lockbit einen Angriff auf den französischen Rüstungskonzern Thales für sich. Nach Darstellung des Unternehmens ist eine „begrenzte Menge Informationen“ über ein bestimmtes Projekt abgeflossen. Auch hier hat Lockbit eine Dateienliste zum Kauf online gestellt. Die Gruppe unterhält für diese Zwecke ein eigenes Portal im Darknet.

Lockbit soll russische Wurzeln haben, die Gruppen arbeiten aber weltweit. Das Geschäftsmodell nennt sich „Ransomware as a service“: Verschiedene Beteiligte liefern zu, was für eine Erpressung gebraucht wird – von der Identifizierung des passenden Opfers über die Programmierung der Schadsoftware bis zur Abwicklung der Zahlung. Es ist eine mehrstufige Wertschöpfungskette.

Festnahme in Kanada

Bei Malwarebytes, einem kalifornischen Spezialisten für Sicherheitssoftware, führt Lockbit die Liste der gefährlichsten Ransomware-Programme an. Die Expertinnen und Experten ordnen Lockbit allein im Oktober weltweit 59 Cyberangriffe zu, im September sollen es fast doppelt so viele gewesen sein.

Auf Antrag der USA wurde in der vergangenen Woche in Kanada ein 33-Jähriger wegen Teilnahme an Lockbit-Aktionen verhaftet. Er hat die russische und die kanadische Staatsbürgerschaft. In diesem Zusammenhang berichtete das US-Justizministerium, dass Lockbit seit Anfang 2020 vom FBI beobachtet werde. Die Gruppe habe in den USA mindestens 100 Millionen Dollar Lösegeld für Daten verlangt und einen zweistelligen Millionenbetrag tatsächlich bekommen.