(fbu) Cyberkriminelle haben sich Zugang zu persönlichen Daten und weiteren Informationen verschafft. Möglich war dies durch eine Schwachstelle in einem IT-System. Die Cybercrime-Spezialisten des Landeskriminalamtes Nordrhein-Westfalen (LKA NRW) raten betroffenen Firmen und Institutionen unmittelbar ihre eigenen Systeme zu überprüfen.

Vor zwei Wochen wurde die Schwachstelle in den Produkten des israelischen Herstellers Check Point aufgedeckt. Der Hersteller reagierte schnell und veröffentlichte kurze Zeit später ein Update sowie eine Anleitung zum Erkennen von bereits erfolgten Angriffen über diese Schwachstelle.

Nachdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) anfänglich 1800 Systeme in Deutschland festgestellt hat, geht das LKA NRW davon aus, dass in Nordrhein-Westfalen weiterhin vulnerable Systeme aus dem Internet erreichbar und angreifbar sind.

Die Kriminellen nutzten die Sicherheitslücke nachweislich erstmals am 7. April aus – das heißt aber nicht, dass sie nicht bereits vorher in den Systemen waren. Während anfänglich weltweit nur vereinzelt ein Ausnutzen der Schwachstelle in diesen Systemen verzeichnet wurde, erfolgte nach der Veröffentlichung ein sprunghafter Anstieg der Angriffe. Durch das Einspielen der Updates gingen diese zurück, bewegen sich aber noch auf hohem Niveau.

Das LKA NRW beobachtet regelmäßig, dass Schwachstellen nach Bekanntwerden ausgenutzt werden, um zusätzliche Hintertüren in die Systeme einzubringen. Diese werden teilweise erst mit deutlicher zeitlicher Verzögerung von Wochen oder gar Monaten für kriminelle Handlungen genutzt. Beispiele hierfür sind Ransomwareangriffe oder das Ausschleusen von Daten, um die Firmen anschließend mit der Veröffentlichung dieser zu erpressen. Der eigentliche Angriffsweg bleibt dann auch aufgrund vielleicht inzwischen eingespielter Updates unentdeckt. Zudem lesen die Täter regelmäßig Zugangsdaten, zum Beispiel für die VPN-Zugänge aus. Die Ermittler des Cybercrime Kompetenzzentrums des LKA NRW beobachteten, dass die Täter gezielt die Postfächer der Firmenangehörigen nach übersandten Zugangsdaten durchsuchen.

Das LKA NRW rät Firmen und Institutionen, die das Produkt des israelischen Herstellers einsetzen, die eigenen Systeme wiederholt auf das Ausnutzen der Schwachstelle zu überprüfen. Eine 2-Faktor-Authentifizierung schafft zusätzlichen Schutz. Betroffenen Firmen empfiehlt das LKA NRW die Systeme umfassend auf weitere Kompromittierungen zu prüfen und Anzeige zu erstatten.

Das LKA NRW steht Firmen mit seiner Zentralen Ansprechstelle Cybercrime (ZAC) unter der Rufnummer 0211/939-4040 zur Verfügung.