Europol, Eurojust und das FBI haben im Oktober 2025 ein weitreichendes Cybercrime-as-a-Service (CaaS)-Netzwerk zerschlagen. Sieben Personen wurden festgenommen, Server in Deutschland, den Niederlanden und der Tschechischen Republik beschlagnahmt. Das Netzwerk stellte anderen Kriminellen technische Infrastruktur, Schadsoftware, Hosting-Services und Zahlungssysteme zur Verfügung — ein vollständiges Ökosystem für Cyberkriminalität auf industriellem Niveau.

Cybercrime als Dienstleistung: Das Geschäftsmodell

Das zerschlagene Netzwerk operierte nach einem Modell, das in der Cybercrime-Szene zunehmend Standard ist: Arbeitsteilung und Spezialisierung. Statt alle Schritte eines Angriffs selbst durchzuführen, nutzen Cyberkriminelle spezialisierte Dienstleister:

• Initial Access Broker verkaufen gestohlene Zugangsdaten und kompromittierte Systeme
• Bulletproof Hosting Provider betreiben Server, die Takedown-Anfragen ignorieren
• Malware-Entwickler erstellen und aktualisieren Schadsoftware als SaaS-Produkt
• Money Mules und Krypto-Mixer waschen die Erlöse

Laut Europol war das zerschlagene Netzwerk ein zentraler Bestandteil mehrerer größerer Ransomware-Kampagnen und diente als technischer Backbone für Betrugs- und Erpressungsoperationen. Die Ermittlungen deckten auf, dass Angriffe auf Banken, Unternehmen und öffentliche Einrichtungen europaweit koordiniert wurden.

Die Industrialisierung der Cyberkriminalität

Der Fall reiht sich ein in eine Serie internationaler Takedowns: Emotet (2021), Hive Ransomware (2023), LockBit (2024, Operation Cronos) und Qakbot (2023). Jede Zerschlagung zeigt dasselbe Muster: Professionelle Organisationsstrukturen, arbeitsteilige Prozesse und globale Infrastruktur.

Der Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 bestätigt den Trend: CaaS-Plattformen sind der primäre Wachstumstreiber für Cyberkriminalität. Sie ermöglichen es technisch wenig versierten Akteuren, ausgefeilte Angriffe durchzuführen — die Eintrittsbarriere sinkt, das Angriffsvolumen steigt.

Für Unternehmen bedeutet das eine unbequeme Wahrheit: Die Gegenseite professionalisiert sich schneller als viele Verteidigungsarchitekturen. Wer seine eigene Sicherheit nicht ebenfalls industrialisiert — mit automatisierter Erkennung, 24/7-Monitoring und dokumentierten Prozessen — spielt gegen Gegner, die nach Wirtschaftlichkeitsprinzipien operieren.

Was Takedowns bewirken — und was nicht

Takedowns wie dieser sind wichtig: Sie unterbrechen kriminelle Infrastruktur, schaffen Ermittlungserkenntnisse und demonstrieren die Handlungsfähigkeit der Strafverfolgung. Aber sie lösen das Problem nicht grundsätzlich. Innerhalb von Wochen oder Monaten entstehen neue Plattformen, die die Lücke füllen.

Die Konsequenz für die Verteidigung: Nicht auf die Zerschlagung einzelner Netzwerke hoffen, sondern die eigene Resilienz aufbauen.

Handlungsempfehlungen

• Threat Intelligence nutzen: IOCs aus Europol-Berichten und CISA-Advisories in die eigene Erkennung einbinden
• SIEM mit aktuellen Detektionsregeln: Die Angriffsmuster der zerschlagenen CaaS-Plattformen sind bekannt — Detektionsregeln für die typischen TTPs (Phishing, Credential Theft, Lateral Movement, Ransomware Deployment) sollten aktuell sein
• Incident-Response-Bereitschaft: Wenn CaaS-Kunden nach einem Takedown unter Druck geraten, können hastig durchgeführte Angriffe zunehmen. Die Wochen nach einem großen Takedown sind oft besonders aktiv
• Lieferkettensicherheit: Prüfen, ob eigene Dienstleister oder Zulieferer von dem zerschlagenen Netzwerk betroffen waren

Am 17. März 2025 wurde die Sozial-Holding der Stadt Mönchengladbach GmbH Opfer eines Ransomware-Angriffs. Die städtische Tochtergesellschaft betreibt sieben Seniorenheime und liefert täglich Tausende Mahlzeiten aus. Server wurden verschlüsselt, E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Die Täter forderten ein Lösegeld von rund 100.000 Euro.

Ablauf und Auswirkungen

Die Sozial-Holding meldete den Vorfall bei Polizei und Datenschutzbehörden und arbeitete mit externen IT-Forensikern zusammen. Nach etwa zehn Tagen war das IT-Netz wieder aufgebaut. Die Versorgung der Bewohner sei laut Unternehmensangaben jederzeit sichergestellt gewesen — ein Lösegeld wurde offenbar nicht gezahlt.

Unabhängige Medienberichte (dpa, WDR, CSO Online, Heise) bestätigten, dass sensible Daten betroffen sein könnten:

• Personenstammdaten von Bewohnern und Mitarbeitenden
• Gesundheits- und Pflegedaten
• Personalakten und Zugangsdaten

Die laufenden Ermittlungen verhinderten die Veröffentlichung technischer Details zur Angriffskette. Medienberichte deuten auf eine mögliche Beteiligung ausländischer Tätergruppen hin — eine gerichtliche Attribution stand zum Zeitpunkt der Berichterstattung noch aus.

Gesundheits- und Sozialsektor als systematisches Ziel

Der Angriff auf die Sozial-Holding ist kein Einzelfall. Gesundheits- und Sozialeinrichtungen sind überproportional häufig Ziel von Ransomware-Angriffen. Die Gründe sind strukturell:

• Kritische Dienstleistungen: Pflege, medizinische Versorgung und Mahlzeitenlieferung können nicht pausieren. Der Druck, schnell wieder betriebsfähig zu sein, erhöht die Bereitschaft zur Lösegeldzahlung
• Sensible Daten: Gesundheitsdaten gehören nach DSGVO zu den besonderen Kategorien personenbezogener Daten (Art. 9). Ihr Verlust oder ihre Veröffentlichung hat schwerwiegende Konsequenzen
• Begrenzte IT-Budgets: Kommunale Träger und Sozialeinrichtungen investieren vergleichsweise wenig in IT-Sicherheit
• Heterogene IT-Landschaften: Pflegedokumentation, Verwaltungssysteme, Abrechnungssoftware und Gebäudetechnik bilden eine komplexe, oft schlecht integrierte Systemlandschaft

Der BSI-Lagebericht 2024 bestätigt: Das Gesundheitswesen gehört zu den am stärksten betroffenen Sektoren. Ähnliche Vorfälle trafen in den letzten Jahren das Klinikum Lippe, die Medizinische Hochschule Hannover und zahlreiche weitere Einrichtungen.

Wahrscheinliche Angriffsvektoren

Auch ohne öffentliche forensische Details lassen sich die wahrscheinlichsten Einfallstore benennen — basierend auf den typischen Angriffsmethoden gegen den Sektor:

• Phishing und Credential Theft: Der häufigste Initialzugang, besonders in Umgebungen ohne flächendeckende MFA
• Exponierte Remote-Access-Dienste: RDP, VPN oder RMM-Tools ohne ausreichende Härtung
• Initial Access Broker: Kriminelle Marktplätze, auf denen gestohlene Zugangsdaten gehandelt werden
• Ungepatchte Software: Bekannte Schwachstellen in Internetfacing-Systemen

Handlungsempfehlungen für Sozial- und Gesundheitsträger

• MFA für alle Zugänge: Insbesondere für Remote-Access, E-Mail und Administrations-Portale — ohne Ausnahme
• Netzwerksegmentierung: Pflegedokumentation, Verwaltung und Gebäudetechnik in getrennte Segmente. Ein kompromittierter Verwaltungsrechner darf nicht die Pflegedokumentation erreichen
• Backup-Strategie: 3-2-1-Regel mit mindestens einer Offline-Kopie. Recovery regelmäßig testen — nicht nur dokumentieren
• Incident-Response-Plan: Wer wird informiert? Wer entscheidet? Wie kommuniziert die Einrichtung ohne E-Mail und Telefon? Wie wird die Pflege ohne IT-Systeme dokumentiert?
• SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Verdächtige Login-Versuche, Ransomware-Vorboten (Massenverschlüsselung, Shadow-Copy-Löschung) und laterale Bewegung erkennen

Henry Schein, ein in den Fortune 500 gelisteter US-amerikanischer Gesundheitskonzern mit Niederlassungen in 32 Ländern, wurde im Oktober 2023 zweimal innerhalb weniger Wochen von der Ransomware-Gruppe BlackCat (ALPHV) angegriffen. Der Fall zeigt, wie Angreifer nach einem ersten Einbruch im System verbleiben oder erneut eindringen können — und warum eine halbherzige Incident Response den Schaden vervielfacht.

Erster Angriff: 15. Oktober 2023

Henry Schein nahm mehrere Systeme als Reaktion auf den Angriff vom Netz. E-Mail- und Telefoninfrastruktur waren zeitweise nicht nutzbar. Das Unternehmen arbeitete teilweise mit Behelfsmitteln — tausende Bestellungen wurden per Telefon und Messenger entgegengenommen, was den Betrieb erheblich verlangsamte.

Die dreiwöchige forensische Untersuchung ergab, dass sich die Angreifer Zugang zu sensiblen Daten verschafft hatten: Lieferanteninformationen, Zahlungskartennummern und Bankkontodaten. BlackCat bekannte sich zum Angriff und nahm Henry Schein auf ihre Leak-Site auf.

Zweiter Angriff: Die erneute Verschlüsselung

Henry Schein identifizierte die Ursache der Störung und begann mit der Wiederherstellung von Systemen und Daten. An diesem Punkt griff BlackCat erneut ein und verschlüsselte die Daten ein zweites Mal — die Wiederherstellungsbemühungen waren vergeblich.

Ob die Angreifer zwischen den beiden Angriffen im System verblieben waren oder sich erneut Zugang verschafften, blieb unklar. Beide Szenarien sind gravierend:

• Persistenz: Die Angreifer waren nie vollständig entfernt worden — eine häufige Konsequenz unvollständiger Incident Response
• Erneuter Einbruch: Die initialen Einfallstore wurden nicht ausreichend geschlossen, sodass ein zweiter Einbruch möglich war

BlackCat/ALPHV: Professionelle Ransomware-Gruppe

BlackCat (auch ALPHV genannt) war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service und war bekannt für die Double-Extortion-Methode: Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

Im Dezember 2023 führte das FBI eine Disruption-Operation gegen BlackCat durch und übernahm temporär deren Leak-Site. Die Gruppe stellte den Betrieb Anfang 2024 ein — allerdings nicht ohne einen letzten Exit-Scam gegen ihre eigenen Affiliates.

Lehren für Incident Response

1. Vollständige Bereinigung vor Wiederherstellung

Systeme wiederherstellen, bevor die Angreifer vollständig aus dem Netzwerk entfernt sind, ist der häufigste und teuerste Fehler in der Incident Response. Bevor ein System wieder online geht, muss sichergestellt sein, dass keine Backdoors, persistenten Zugänge oder kompromittierten Accounts verbleiben.

2. Compromise Assessment nach jedem Vorfall

Nach einem Ransomware-Angriff reicht es nicht, die verschlüsselten Systeme aus Backups wiederherzustellen. Ein vollständiges Compromise Assessment muss klären: Wie sind die Angreifer eingedrungen? Welche Systeme waren betroffen? Welche Persistenz-Mechanismen wurden installiert? Welche Daten wurden exfiltriert?

3. Isolierte Backup-Infrastruktur

Backups müssen offline oder in einem isolierten Netzwerksegment vorgehalten werden. Wenn Angreifer Zugriff auf die Backup-Infrastruktur haben, können sie Backups vor der Verschlüsselung löschen oder manipulieren — und eine Wiederherstellung unmöglich machen.

4. Getestete Recovery-Prozesse

Henry Schein brauchte Wochen für die Wiederherstellung — und wurde mittendrin erneut angegriffen. Disaster-Recovery-Prozesse müssen regelmäßig getestet werden — nicht nur dokumentiert. Die Recovery-Zeit (RTO) muss bekannt und realistisch sein.

Handlungsempfehlungen

• Incident Response Plan testen: Mindestens einmal jährlich eine Tabletop Exercise durchführen, die ein Ransomware-Szenario simuliert
• Forensik vor Recovery: Niemals Systeme wiederherstellen, bevor die forensische Analyse den Angriffsvektor und alle Persistenz-Mechanismen identifiziert hat
• Backup-Isolation: 3-2-1-Regel konsequent umsetzen — mindestens eine Kopie offline und für Angreifer unzugänglich
• 24/7-Monitoring nach Vorfällen: In den Wochen nach einem Angriff ist erhöhte Wachsamkeit geboten — Angreifer kehren zurück

Am Abend des 16. Juni 2023 traf ein schwerwiegender Cyberangriff die Mediengruppe Rheinische Post. Betroffen waren die Rheinische Post, der General-Anzeiger Bonn, die Aachener Nachrichten, die Saarbrücker Zeitung und der Trierische Volksfreund — sowohl die Online- als auch die Printausgaben. Die Verlage mussten fast eine Woche lang im eingeschränkten Notbetrieb arbeiten und nur reduzierte Ausgaben veröffentlichen.

Ablauf und Auswirkungen

Nach Bekanntwerden des Angriffs schaltete die Mediengruppe betroffene Systeme ab, um eine weitere Ausbreitung von Schadsoftware zu verhindern. Die Wiederherstellung erfolgte schrittweise — Server für Server, System für System. Während des Notbetriebs erschienen die Zeitungen in stark reduziertem Umfang. Online-Portale waren teilweise nicht erreichbar.

Die Mediengruppe erklärte zunächst, Nutzer- und Kundendaten seien „sicher”. Diese Einschätzung erwies sich als verfrüht: Wie am 30. August 2023 bekannt wurde, ergab die Überprüfung von rund 1.200 betroffenen Servern, dass doch Daten abgeflossen waren. Ob Nutzerdaten betroffen waren, ließ sich nicht mit Sicherheit ausschließen.

Nachträgliche Entdeckung: Datenabfluss nicht auszuschließen

Das Unternehmen informierte die Nutzer per Brief über die Entdeckung und empfahl, auf verdächtige Transaktionen auf Bankkonten zu achten und bei eingehenden E-Mails besonders wachsam zu sein — ein Hinweis auf die Möglichkeit gezielter Phishing-Angriffe mit den erbeuteten Daten.

Der zeitliche Ablauf verdient besondere Beachtung: Zwischen dem Angriff im Juni und der Information der Nutzer über den möglichen Datenabfluss vergingen über zwei Monate. In dieser Zeit hätten Angreifer gestohlene Daten bereits für weitere Attacken nutzen können.

Medienhäuser als Ziel: Warum die Branche besonders exponiert ist

Medienhäuser sind aus mehreren Gründen attraktive Ziele für Cyberangreifer:

• Zeitdruck als Hebel: Tageszeitungen müssen täglich erscheinen. Jeder Tag Ausfall kostet nicht nur Umsatz, sondern Leser und Abonnenten. Das erhöht die Bereitschaft, Lösegeld zu zahlen
• Große Nutzerdatenbanken: Abonnenten-Daten, E-Mail-Adressen, Zahlungsinformationen — alles in zentralen Systemen
• Komplexe IT-Landschaften: Content-Management-Systeme, Redaktionssysteme, Druckvorstufe, Verlagssoftware — viele Systeme, oft historisch gewachsen und nicht immer aktuell gepatcht
• Öffentlichkeitswirkung: Ein Angriff auf eine große Tageszeitung generiert Aufmerksamkeit — für manche Angreifer ein Ziel an sich

Lehren aus dem Vorfall

• Transparente Kommunikation von Anfang an: Die voreilige Entwarnung bezüglich der Nutzerdaten erwies sich als falsch. Besser: Offene Kommunikation über das, was bekannt ist — und was nicht
• Forensik braucht Zeit — Nutzer brauchen schnelle Information: Dass die vollständige forensische Analyse von 1.200 Servern Monate dauert, ist nachvollziehbar. Nutzer sollten dennoch frühzeitig über mögliche Risiken informiert werden — auch wenn der Umfang noch unklar ist
• Incident-Response-Plan muss Kommunikation umfassen: Nicht nur die technische Bewältigung, sondern auch die Kommunikation mit Nutzern, Datenschutzbehörden und Öffentlichkeit muss vorab geplant sein
• Netzwerksegmentierung: Wenn ein Angriff 1.200 Server erreicht, ist die Segmentierung unzureichend. Redaktionssysteme, Nutzerdatenbanken und Produktionssysteme müssen in getrennten Segmenten laufen

Der Fahrrad- und E-Bike-Hersteller Prophete aus Rheda-Wiedenbrück mit den weiteren Marken Kreidler, VSF Fahrradmanufaktur, Cycle Union und E-Bikemanufaktur hat Konkurs angemeldet. Dieser Enthüllung war ein Cyberangriff vorausgegangen, der die Produktion fast einen Monat lang lahmlegte. Eine so lange Unterbrechung der Produktion wirkte sich auf den Absatz aus und führte zu einem Mangel an finanziellen Mitteln.

Prophete ist ein deutscher Hersteller von Fahrrädern, Elektrofahrrädern und Mopeds. Zu dem Unternehmen gehören auch die Marken VSF Fahrradmanufaktur, Rabeneick und Kreidler. Außerdem besitzt sie ein Tochterunternehmen, die Cycle Union. Das Unternehmen hat etwa 400-450 Beschäftigte und verfügt über 4 Produktionsstätten. Im vergangenen Jahr sah sich das Unternehmen mit mehreren Herausforderungen konfrontiert, die sich erheblich auf seine Finanzlage auswirkten. Probleme in der Lieferkette, bei der Planung und ein unter den Erwartungen liegender Umsatz belasteten das Unternehmen.

Deshalb hat das Unternehmen im vergangenen Jahr eine Finanzierungsrunde mit Gläubigern und Aktionären eingeleitet. Und alles hätte gut sein können, doch dann gab es einen Cyberangriff. Dadurch wurde nicht nur der Betrieb gestört, sondern auch die Finanzierungsrunde zum Scheitern gebracht. Leider ist über den Angriff selbst nicht viel bekannt. Nach Angaben des Unternehmens gab es Probleme bei der Rechnungsstellung, die die Probleme bei der Lieferung von Ersatzteilen noch verschärften.

Dies kann auf einen Phishing-Angriff hindeuten, der höchstwahrscheinlich auf privilegierte Konten abzielt. Solche Angriffe auf Unternehmen werden per E-Mail verbreitet, weshalb sichere E-Mails für alle Unternehmen von entscheidender Bedeutung sind. Es ist unklar, warum die Strafverfolgungsbehörden erst einen Monat später benachrichtigt wurden. Im Falle eines Cyberangriffs muss das BSI innerhalb von 72 Stunden kontaktiert werden und alle betroffenen Kunden müssen über den Vorfall informiert werden.

Der Cyberangriff war zwar nicht der einzige Faktor für die Insolvenz des Unternehmens, aber der letzte Strohhalm. Wer weiß, wie sich das Schicksal nach erfolgreichen zusätzlichen Finanzierungsrunden entwickelt hätte. Höchstwahrscheinlich wird das Unternehmen seine Aktivitäten mit neuen Eigentümern fortsetzen. Das hängt auch von den Schlussfolgerungen der Prüfung und der Untersuchung der wahren Folgen des Cyberangriffs ab, vielleicht ist alles schlimmer als wir denken.

Unbestreitbare Investitionen in die Cybersicherheit des Unternehmens führen zu einem kontinuierlichen Betrieb. Sie macht das Unternehmen berechenbarer und widerstandsfähiger, verbessert den Ruf und kostet letztlich weniger. Es gibt keinen guten Zeitpunkt, um von Angreifern gehackt zu werden, aber in Zeiten finanzieller Not ist es besonders kritisch. Zögern Sie nicht, Ihr digitales Vermögen zu schützen, kontaktieren Sie https://stage.neosec.eu/!

Malware-Forscher von Cyble haben einen neuen Malware-as-a-Service namens DuckLogs online entdeckt. Die Webseite behauptet, dass sie bereits über zweitausend Kunden hat, die über sechstausend erfolgreiche Angriffe durchgeführt haben.

Es wird eine breite Palette von Funktionen angegeben, die es Ihnen ermöglichen, Dateien, E-Mails, Passwörter, Browserverläufe, Krypto-Wallets zu stehlen, die Fernsteuerung von Geräten zu übernehmen und vieles mehr.

Cyberkriminelle verwenden zahlreiche Techniken, um die Entdeckung zu erschweren. Die Forscher gehen davon aus, dass die Verbreitung dieser Malware über E-Mails erfolgt, aber die Verbreitungskanäle sind nicht darauf beschränkt.

Wie ähnliche Dienste bieten sie eine breite Palette von Funktionen, die verschiedene Arten von ausgeklügelten Angriffen zu relativ geringen Kosten ermöglichen, selbst für Angreifer ohne ein hohes Maß an Wissen in der Cyberkriminalität. Dadurch erhöht sich die Wahrscheinlichkeit, dass auch Ihr Gerät, Ihr Netzwerk oder Ihr Unternehmen kompromittiert wird, erheblich. Denn jetzt kann jeder ein Hacker werden, der raffinierte Angriffsmethoden anwendet.

Ein weiteres Merkmal dieses Services ist eine noch größere Funktionserweiterung. Das ist ein Problem, denn wenn ein Hacker die erste Schwelle überwunden hat, kann er fast alle sensiblen Informationen stehlen, vollen Zugriff auf das Gerät erhalten und Sie sogar daran hindern, den Computer zu benutzen.

Daher ist der Schutz vor dieser Malware äußerst wichtig. Nach den vorliegenden Informationen gibt es mehrere Stellen, an denen Sie sich schützen können.

Denn es scheint, dass die Verbreitung durch Phishing erfolgt. So kann eine E-Mail mit Malware gefiltert oder ein bösartiger Anhang blockiert werden.

Dateien, die DuckLogs enthalten oder enthalten könnten, werden untersucht und in die Datenbank aufgenommen, damit sie von Antivirenprogrammen überprüft werden können. Das Problem ist jedoch, dass Angreifer den Code ständig verbessern und verändern können, was die Wirksamkeit dieser Maßnahmen verringert. Selbst wenn ein Antivirenprogramm über eine Datenbank mit allen früheren Versionen dieser Malware verfügt, kann es sein, dass es eine neue Version nicht erkennt.

Der Virus kann auch durch das Verhalten von Dateien erkannt werden, aber in diesem Fall haben wir eine breite Funktionalität, und daher sehr variables Verhalten. Um diese Malware zu erkennen, muss man daher ein Dutzend Anwendungen konfigurieren, die verschiedene Aspekte des Programmverhaltens auf Verdachtsmomente hin überwachen. Der Vorteil dieses Ansatzes besteht darin, dass die Einrichtung solcher Maßnahmen, ähnlich wie bei der E-Mail-Filterung, weniger von Viren-Updates abhängig ist und auch einen Schutz vor anderen Cyberangriffen bietet.

Im Gegensatz zu Ransomware kann diese Malware die vollständige Kontrolle über das infizierte Gerät übernehmen. Das macht es viel schwieriger, diese Software zu entfernen, Daten wiederherzustellen und den normalen Betrieb des Geräts zu gewährleisten. Daher ist die Verhinderung der Infizierung eine wichtige Aufgabe.

Leider nimmt die Anzahl und Raffinessen von Malware nicht ab, was eine höhere Komplexität und eine Ausweitung der Cyberabwehr erfordert. Zum Glück haben Sie uns, wir überwachen die neueste Malware, wenden die wirksamsten Schutzinstrumente an und implementieren sie für Sie.

Im November 2022 wurde die Universität Duisburg-Essen (UDE) Opfer eines schwerwiegenden Ransomware-Angriffs. Die Angreifer verschlüsselten große Teile der IT-Infrastruktur, woraufhin die Universität sämtliche Systeme vom Netz nahm. Betroffen waren Büroanwendungen, interne Verwaltungssysteme, E-Mail-Verkehr und Telefonkommunikation — der gesamte digitale Betrieb stand still.

Hochschulen als systematisches Ziel

Die UDE war kein Einzelfall. Im gleichen Zeitraum wurden mehrere deutsche Hochschulen angegriffen. Die HAW Hamburg meldete im Dezember 2022 einen Ransomware-Vorfall, die Hochschule Karlsruhe im September 2022 und die Universität Gießen hatte bereits 2019 einen monatelangen IT-Ausfall nach einem Cyberangriff erlitten.

Das BSI stufte die Bedrohungslage für den Bildungssektor in seinem Lagebericht 2022 als erhöht ein. Der Grund: Hochschulen vereinen mehrere Risikofaktoren:

• Große, heterogene IT-Landschaften: Tausende Endgeräte, dezentrale Verwaltung, Forschungsnetze mit speziellen Anforderungen
• Offene Netzwerk-Kultur: Akademische Freiheit bedeutet oft liberale Zugriffsrichtlinien — ein Gegensatz zu Enterprise-Security
• Begrenzte Security-Budgets: IT-Sicherheit konkurriert mit Forschungs- und Lehrbudgets und ist chronisch unterfinanziert
• Wertvolle Daten: Forschungsdaten, Personaldaten von tausenden Mitarbeitern und Studierenden, Prüfungsdaten, Finanzdaten

Der Angriff auf die UDE im Detail

Die Universität informierte am 27. November 2022 über den Vorfall. Die gesamte IT-Infrastruktur wurde als Sofortmaßnahme abgeschaltet — ein Schritt, der den laufenden Lehrbetrieb massiv beeinträchtigte. E-Mail-Kommunikation war über Wochen nicht möglich, Prüfungen mussten verschoben werden, Verwaltungsprozesse liefen nur noch analog.

Die Wiederherstellung dauerte Monate. Die UDE setzte Notfall-Kommunikationskanäle ein und arbeitete mit externen IT-Forensikern und dem BSI zusammen. Der Vorfall verdeutlichte, wie abhängig moderne Hochschulen von ihrer digitalen Infrastruktur sind — und wie wenig Resilienz in vielen Fällen vorhanden ist.

Einordnung: Öffentliche Einrichtungen im Fadenkreuz

Hochschulen stehen exemplarisch für ein breiteres Problem: Öffentliche Einrichtungen mit begrenzten IT-Budgets sind systematisch unterbewacht. Kommunen, Krankenhäuser, Schulen und Universitäten bilden einen wachsenden Anteil der Ransomware-Opfer in Deutschland.

Der Angriff auf den IT-Dienstleister Südwestfalen-IT im Oktober 2023 zeigte die Dimension: Über 100 Kommunen waren gleichzeitig betroffen, Bürgerservices fielen monatelang aus. Die Parallele zu Hochschulen: In beiden Fällen führt ein einzelner erfolgreicher Angriff zum Ausfall von Diensten, die Tausende oder Zehntausende Menschen betreffen.

Handlungsempfehlungen für den Bildungssektor

• Netzwerksegmentierung: Verwaltungsnetz, Forschungsnetz und Studierendennetz trennen. Ein kompromittiertes Studierenden-Gerät darf nicht das Verwaltungssystem erreichen
• Backup-Strategie nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine offline. Regelmäßig getestete Wiederherstellung — nicht nur dokumentierte
• SIEM-Monitoring: Auch mit begrenztem Budget ist zentrales Log-Management möglich. Open-Source-Lösungen wie Wazuh bieten Enterprise-Funktionalität ohne Lizenzkosten
• Incident-Response-Plan: Wer wird informiert? Wer entscheidet über Abschaltung? Wie kommuniziert die Hochschule ohne E-Mail? Diese Fragen müssen vor dem Ernstfall geklärt sein

Im August 2022 kompromittierte die Ransomware-Gruppe LockBit die internen Systeme von Continental und exfiltrierte 40 Terabyte an Daten. Der Automobilzulieferer — ein DAX-Konzern mit über 190.000 Mitarbeitern — gab den Vorfall erst Wochen später öffentlich bekannt. Die Angreifer hatten sich nach aktuellem Kenntnisstand rund einen Monat lang unentdeckt im Netzwerk bewegt.

Einfallstor: Ein nicht autorisierter Browser

Laut einer internen Videobotschaft des IT-Leiters, über die das Handelsblatt im Dezember 2022 berichtete, erfolgte der initiale Zugang über einen Browser, den ein Mitarbeiter eigenständig heruntergeladen hatte. Ob der Browser bereits mit Malware infiziert war oder die Angreifer eine Schwachstelle in der Anwendung ausnutzten, blieb zum Zeitpunkt der Berichterstattung unklar.

Der Angriffsvektor zeigt ein grundlegendes Problem: Unkontrollierte Software auf Endgeräten erweitert die Angriffsfläche unkontrolliert. Ein einzelner nicht autorisierter Browser reichte aus, um einem der professionellsten Ransomware-Akteure den Zugang zum Unternehmensnetz zu ermöglichen.

LockBit: Professionelles Ransomware-as-a-Service

LockBit war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service (RaaS): Affiliates führten die Angriffe durch, LockBit stellte die Infrastruktur (Verschlüsselungs-Tools, Leak-Site, Verhandlungs-Chat). Die Gruppe nutzte die Double-Extortion-Methode — Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.

Im Februar 2024 gelang internationalen Strafverfolgungsbehörden unter Führung der britischen NCA und des FBI die teilweise Zerschlagung von LockBit im Rahmen der Operation Cronos. Die Gruppe versuchte ein Comeback, operiert aber seitdem mit deutlich reduzierter Kapazität.

40 Terabyte: Das Ausmaß des Datenabflusses

Die exfiltrierten 40 Terabyte sind ein enormes Volumen — selbst für ein Unternehmen der Größe von Continental. Zum Vergleich: Das entspricht etwa 20 Millionen Seiten Text oder dem Inhalt von 8.000 DVDs. Ein Datenabfluss dieser Größenordnung über Wochen hinweg unentdeckt zu lassen, deutet auf fehlende Data Loss Prevention (DLP) und unzureichendes Netzwerk-Monitoring hin.

Continental erklärte in einer FAQ auf der Unternehmenswebsite, dass der Vorfall untersucht werde und betroffene Stakeholder informiert würden. Details zu den exfiltrierten Daten — ob Kundendaten, technische Dokumentation, Geschäftsgeheimnisse oder Mitarbeiterdaten betroffen waren — blieben zunächst vage.

Lehren aus dem Continental-Vorfall

1. Application Whitelisting und Endpoint Hardening

Mitarbeiter sollten keine nicht autorisierte Software installieren können. Application Whitelisting beschränkt die Ausführung auf explizit freigegebene Anwendungen. In Kombination mit dem Entzug lokaler Administratorrechte wird die Angriffsfläche auf Endgeräten erheblich reduziert.

2. Patch-Management als kontinuierlicher Prozess

Autorisierte Software muss zeitnah gepatcht werden. Ein zentrales Patch-Management-System stellt sicher, dass alle Endgeräte auf dem aktuellen Stand sind — ohne dass Mitarbeiter selbst aktiv werden müssen.

3. Netzwerk-Monitoring und Anomalie-Erkennung

40 Terabyte Datenexfiltration über Wochen erzeugt Netzwerk-Anomalien, die ein SIEM mit Baseline-Monitoring erkennen sollte: ungewöhnliche Datenvolumen zu externen IPs, Zugriffe auf unübliche Dateiserver, laterale Bewegung zwischen Netzwerksegmenten.

4. Netzwerksegmentierung

Wenn ein kompromittiertes Endgerät Zugriff auf 40 Terabyte Unternehmensdaten hat, ist die Netzwerksegmentierung unzureichend. Least-Privilege-Prinzipien müssen auf Netzwerkebene durchgesetzt werden — nicht nur auf Benutzerebene.

Ein 16-jähriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den Händen des Hackers. Das meiste davon ist bereits online.