Schwerwiegender Cyberangriff auf Deutsche Leasing

Der Asset-Leasing-Spezialist im Sparkassenverbund, die Deutsche Leasing, ist seit mehr als 48 Stunden praktisch offline. Aus Sicherheitsgründen wurden große Teile der IT-Systeme heruntergefahren. Auch E-Mails sind betroffen. Wie es weitergeht, ist bislang offen.

Am Samstag morgen schrillten bei den IT-Admins der Deutschen Leasing, seit 25 Jahren Tochter der Sparkassen-Gruppe, die Alarmglocken. Die internen Sicherheitssysteme hatten Anomalien im Netzwerkverkehr entdeckt und auf mögliche Sicherheitsverstöße hingewiesen. Darüber hat heise online zuerst berichtet.

Schnell war klar, dass die IT-Systeme angegriffen werden. Daraufhin setzten die Verantwortlichen den Notfallplan in Kraft und schalteten betroffene und verbundene Systeme sicherheitshalber ab. Damit sollten mögliche weitere Schäden, beispielsweise durch Datenabflüsse, Datenmanipulation bzw. -zerstörung, wie bei Ransomware-Infektionen, oder die Übernahme weiterer Systeme „von innen“ verhindert werden.

Der IT-Notfallplan stellt allerdings nur einen Mosaikstein neben anderen dar im Sicherheitskonzept eines Unternehmens. Die Finanzbranche unterliegt als Teil der kritischen Infrastruktur besonderen Anforderungen, wie sie im zweiten IT-Sicherheitsgesetz (IT-SiG 2.0) dargelegt werden. Seit vorigem Monat sind aufgrund der kontinuierlich steigenden Risiken schärfere Vorschriften in Kraft.

Lage derzeit undurchsichtig

Wie die Deutsche Leasing auf ihrer Website ausführt, sind sowohl die meisten IT-Systeme als auch die gespeicherten Daten derzeit nicht zugänglich. Offen bleibt, ob dies ausschließlich Folgen der Abschaltungen sind oder ob der Angriff dazu beigetragen hat. Auch das E-Mail-System ist derzeit nicht zugänglich. Ebenso lassen sich Unterseiten der Homepage zum Teil nicht laden.

Die internen IT-Kräfte werden durch externe IT-Sicherheitsberater unterstützt, teilt die Bank weiter mit. Sie arbeiteten gemeinsam daran, die Details des Angriffs zu analysieren, Spuren der Angreifer zu sichern und den Zugriff auf Systeme und Daten wiederherzustellen. Die zuständigen Ermittlungsbehörden seien eingeschaltet. Auch am späten Montagnachmittag gab es darüber hinaus noch keine neuen Auskünfte auf der Website, obwohl der Finanzierer angekündigt hatte, an dieser Stelle über neue Sachstände zu informieren.

Analog statt digital

Auf Nachfrage von heise online gab ein Unternehmenssprecher bekannt, dass der Geschäftsbetrieb zwar weitergeht, aber offensichtlich nur eingeschränkt. So könnten beispielsweise zwar neue Leasingverträge auf dem Papier abgeschlossen werden. Sie ließen sich jedoch nicht in die IT-Systeme übertragen und dementsprechend derzeit nicht aktivieren.

Derzeit ist offensichtlich nicht klar, wann die Systeme wieder hochgefahren werden können und die Einschränkungen behoben sind. Auch zu der Frage, ob es eine Lösegeldforderung gibt – was auf einen Angriff mittels Ransomware deuten würde –, gibt es keine Auskunft. hj