Cyberangriff auf Continental
Im August 2022 kompromittierte die Ransomware-Gruppe LockBit die internen Systeme von Continental und exfiltrierte 40 Terabyte an Daten. Der Automobilzulieferer — ein DAX-Konzern mit über 190.000 Mitarbeitern — gab den Vorfall erst Wochen später öffentlich bekannt. Die Angreifer hatten sich nach aktuellem Kenntnisstand rund einen Monat lang unentdeckt im Netzwerk bewegt.
Einfallstor: Ein nicht autorisierter Browser
Laut einer internen Videobotschaft des IT-Leiters, über die das Handelsblatt im Dezember 2022 berichtete, erfolgte der initiale Zugang über einen Browser, den ein Mitarbeiter eigenständig heruntergeladen hatte. Ob der Browser bereits mit Malware infiziert war oder die Angreifer eine Schwachstelle in der Anwendung ausnutzten, blieb zum Zeitpunkt der Berichterstattung unklar.
Der Angriffsvektor zeigt ein grundlegendes Problem: Unkontrollierte Software auf Endgeräten erweitert die Angriffsfläche unkontrolliert. Ein einzelner nicht autorisierter Browser reichte aus, um einem der professionellsten Ransomware-Akteure den Zugang zum Unternehmensnetz zu ermöglichen.
LockBit: Professionelles Ransomware-as-a-Service
LockBit war zum Zeitpunkt des Angriffs eine der aktivsten Ransomware-Gruppen weltweit. Die Gruppe operierte als Ransomware-as-a-Service (RaaS): Affiliates führten die Angriffe durch, LockBit stellte die Infrastruktur (Verschlüsselungs-Tools, Leak-Site, Verhandlungs-Chat). Die Gruppe nutzte die Double-Extortion-Methode — Daten verschlüsseln und gleichzeitig mit Veröffentlichung drohen.
Im Februar 2024 gelang internationalen Strafverfolgungsbehörden unter Führung der britischen NCA und des FBI die teilweise Zerschlagung von LockBit im Rahmen der Operation Cronos. Die Gruppe versuchte ein Comeback, operiert aber seitdem mit deutlich reduzierter Kapazität.
40 Terabyte: Das Ausmaß des Datenabflusses
Die exfiltrierten 40 Terabyte sind ein enormes Volumen — selbst für ein Unternehmen der Größe von Continental. Zum Vergleich: Das entspricht etwa 20 Millionen Seiten Text oder dem Inhalt von 8.000 DVDs. Ein Datenabfluss dieser Größenordnung über Wochen hinweg unentdeckt zu lassen, deutet auf fehlende Data Loss Prevention (DLP) und unzureichendes Netzwerk-Monitoring hin.
Continental erklärte in einer FAQ auf der Unternehmenswebsite, dass der Vorfall untersucht werde und betroffene Stakeholder informiert würden. Details zu den exfiltrierten Daten — ob Kundendaten, technische Dokumentation, Geschäftsgeheimnisse oder Mitarbeiterdaten betroffen waren — blieben zunächst vage.
Lehren aus dem Continental-Vorfall
1. Application Whitelisting und Endpoint Hardening
Mitarbeiter sollten keine nicht autorisierte Software installieren können. Application Whitelisting beschränkt die Ausführung auf explizit freigegebene Anwendungen. In Kombination mit dem Entzug lokaler Administratorrechte wird die Angriffsfläche auf Endgeräten erheblich reduziert.
2. Patch-Management als kontinuierlicher Prozess
Autorisierte Software muss zeitnah gepatcht werden. Ein zentrales Patch-Management-System stellt sicher, dass alle Endgeräte auf dem aktuellen Stand sind — ohne dass Mitarbeiter selbst aktiv werden müssen.
3. Netzwerk-Monitoring und Anomalie-Erkennung
40 Terabyte Datenexfiltration über Wochen erzeugt Netzwerk-Anomalien, die ein SIEM mit Baseline-Monitoring erkennen sollte: ungewöhnliche Datenvolumen zu externen IPs, Zugriffe auf unübliche Dateiserver, laterale Bewegung zwischen Netzwerksegmenten.
4. Netzwerksegmentierung
Wenn ein kompromittiertes Endgerät Zugriff auf 40 Terabyte Unternehmensdaten hat, ist die Netzwerksegmentierung unzureichend. Least-Privilege-Prinzipien müssen auf Netzwerkebene durchgesetzt werden — nicht nur auf Benutzerebene.
Juliane Heinen
Ein Browser reichte — 40 Terabyte später war der Schaden angerichtet
Der Continental-Vorfall zeigt, wie ein einziges unkontrolliertes Endgerät einen DAX-Konzern kompromittieren kann.
Drei Faktoren machen diesen Fall lehrreich:
1. Angriffsfläche durch unkontrollierte Software: Ein nicht autorisierter Browser war das Einfallstor. Application Whitelisting und der Entzug lokaler Adminrechte hätten das verhindert. Bei NEOSEC implementieren wir diese Maßnahmen als Teil unseres Endpoint-Hardening-Programms.
2. Fehlende Exfiltrations-Erkennung: 40 TB Datenabfluss über Wochen unentdeckt — das deutet auf fehlendes Netzwerk-Baseline-Monitoring hin. Unser XIEM®-Stack überwacht Datenströme und erkennt Anomalien wie ungewöhnliche Datenvolumen zu externen IPs, Zugriffe auf untypische Dateiserver und laterale Bewegung.
3. Dwell Time von einem Monat: LockBit hatte vier Wochen Zeit für Reconnaissance, Privilege Escalation und Datenexfiltration. Ein funktionierendes SIEM mit 24/7-Monitoring hätte die frühen Anzeichen — ungewöhnliche Prozesse, laterale Bewegung, C2-Kommunikation — innerhalb von Stunden, nicht Wochen erkannt.
Für Unternehmen mit ähnlichem Risikoprofil empfehlen wir einen dreistufigen Ansatz: Endpoint Hardening (Angriffsfläche reduzieren), SIEM-basiertes Monitoring (Angriffe erkennen) und einen getesteten Incident-Response-Plan (Schaden begrenzen).
Wie lange würde ein Angreifer in Ihrem Netz unentdeckt bleiben? Lassen Sie es uns herausfinden.
Continental — Cyber-Angriff: Fragen und Antworten
Handelsblatt — Continental: Cyberangriff über nicht autorisierten Browser (Dezember 2022)
NCA — Operation Cronos: LockBit Takedown (Februar 2024)