Cyberkriminelle verschafften sich Zugang zu persönlichen Daten und weiteren Informationen. Möglich war dies durch eine Schwachstelle in einem IT-System. Die Cybercrime-Spezialisten des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW) raten betroffenen Firmen und Institutionen unmittelbar ihre eigenen Systeme zu überprüfen.

Vor zwei Wochen wurde die Schwachstelle in den Produkten des israelischen Herstellers Check Point aufgedeckt. Der Hersteller reagierte schnell und veröffentlichte kurze Zeit später ein Update sowie eine Anleitung zum Erkennen von bereits erfolgten Angriffen über diese Schwachstelle.

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) anfänglich 1800 Systeme in Deutschland festgestellt hat, geht das LKA NRW aufgrund aktueller Erkenntnisse davon aus, dass in Nordrhein-Westfalen weiterhin vulnerable Systeme aus dem Internet erreichbar und angreifbar sind.

Die Kriminellen nutzten die Sicherheitslücke nachweislich erstmals am 07.04.2024 aus - das heißt aber nicht, dass sie nicht bereits vorher in den Systemen waren und Daten ausspioniert haben. Während anfänglich weltweit nur vereinzelt ein Ausnutzen der Schwachstelle in diesen Systemen verzeichnet wurde, erfolgte nach der Veröffentlichung ein sprunghafter Anstieg der Angriffe. Durch das Einspielen der Updates gingen diese zurück, bewegen sich aber immer noch auf einem hohen Niveau.

Das Landeskriminalamt NRW beobachtet regelmäßig, dass Schwachstellen nach Bekanntwerden ausgenutzt werden, um zusätzliche Hintertüren in die Systeme einzubringen. Diese werden teilweise erst mit deutlicher zeitlicher Verzögerung von Wochen oder gar Monaten für kriminelle Handlungen genutzt. Beispiele hierfür sind Ransomwareangriffe oder das Ausschleusen von Daten, um die Firmen anschließend mit der Veröffentlichung dieser zu erpressen. Der eigentliche Angriffsweg bleibt dann auch aufgrund vielleicht inzwischen eingespielter Updates unentdeckt. Zudem lesen die Täter regelmäßig Zugangsdaten, zum Beispiel für die VPN-Zugänge aus. Die Ermittlerinnen und Ermittler des Cybercrime Kompetenzzentrums des LKA NRW beobachteten, dass die Täter gezielt die Postfächer der Firmenangehörigen nach übersandten Zugangsdaten durchsuchen. Solche Daten wurden beispielsweise in Coronazeiten für Mitarbeitende im Homeoffice häufig per E-Mail übersandt.

Das LKA NRW rät Firmen und Institutionen, die das Produkt des israelischen Herstellers einsetzen, die eigenen Systeme wiederholt auf das Ausnutzen der Schwachstelle zu überprüfen. Eine 2-Faktor-Authentifizierung schafft zusätzlichen Schutz. Weiterhin raten die Expertinnen und Experten: "Versenden Sie Zugangsdaten nicht ungeschützt, insbesondere Zugangskennung und Passwort sollten nicht auf dem gleichen Kommunikationskanal übermittelt werden." Betroffenen Firmen empfiehlt das LKA NRW die Systeme umfassend auf weitere Kompromittierungen (zum Beispiel unberechtigte Zugänge, zusätzliche Berechtigungen für Accounts usw.) zu prüfen und Anzeige zu erstatten.

Das Landeskriminalamt Nordrhein-Westfalen steht Firmen mit seiner Zentralen Ansprechstelle Cybercrime (ZAC) unter der Rufnummer 0211/939-4040 mit Präventionshinweisen zur Vorbereitung auf einen möglichen Angriff und im Falle eines Angriffs zur Verfügung.

