Thought Leadership
Der Bauelemente-Hersteller Heim & Haus ist Opfer eines Cyberangriffs geworden, bei dem Teile der IT-Infrastruktur verschlüsselt wurden. Während die Produktion bereits wieder vollständig läuft, sind E-Mail-Systeme und Telefonie noch beeinträchtigt.
Das Unternehmen, bekannt für unter anderem Markisen, Fenster, Türen und Wintergärten, wurde nach eigenen Angaben Ziel eines “kriminellen Cyberangriffs”. Dabei wurden Teile der IT-Systeme verschlüsselt. Das Unternehmen reagierte nach dem Incident-Response-Playbook und zog umgehend IT-Forensik-Experten hinzu.
Wiederherstellung zeigt erste Erfolge
Nach dem Angriff hat Heim & Haus in Zusammenarbeit mit spezialisierten IT-Sicherheitsdienstleistern und unter Beachtung der BSI-Richtlinien mit der Systemwiederherstellung begonnen. Die kritischen Produktionssysteme sind bereits wieder vollständig einsatzfähig, wie das Unternehmen mitteilt. Auch Direktvertrieb, Montage und Kundendienst funktionieren bundesweit wieder normal.
Dennoch sind noch nicht alle Systeme vollständig wiederhergestellt. Besonders die Kommunikationsinfrastruktur ist betroffen: Die telefonische Erreichbarkeit liegt noch unter dem gewohnten Niveau, der E-Mail-Empfang ist komplett ausgefallen. Vereinzelt kann es dadurch zu Lieferverzögerungen kommen.
Datenschutz im Fokus der Ermittlungen
Bei der Aufarbeitung des Vorfalls steht der Schutz von Kundendaten im Mittelpunkt. Heim & Haus gibt an, derzeit keine konkreten Hinweise auf den Abfluss sensibler Kundendaten zu haben. Dennoch wurden zur Absicherung externe IT-Forensik-Dienstleister mit weiterführenden Untersuchungen beauftragt – ein Standard-Vorgehen bei solchen Incidents.
Die zuständigen Aufsichtsbehörden und das Landeskriminalamt wurden über den Vorfall informiert, was bei meldepflichtigen Datenschutzverletzungen nach DSGVO obligatorisch ist.
Präventionsmaßnahmen für Kunden
Unabhängig von der aktuellen Bewertung, dass keine Kundendaten abgeflossen seien, empfiehlt Heim & Haus seinen Kunden präventive Sicherheitsmaßnahmen. Dazu gehören die üblichen Empfehlungen der IT-Sicherheit: Vorsicht bei verdächtigen E-Mails, Verzicht auf das Öffnen unbekannter Anhänge und Links, regelmäßige Kontrolle von Kontoauszügen sowie die Verwendung starker, individueller Passwörter.
Ransomware-Gruppe Kawa4096 bekennt sich zum Hack
Das Unternehmen macht keine Angaben dazu, ob Lösegeldforderungen gestellt wurden oder wie genau die Angreifer in die Systeme eingedrungen sind. Die Tatsache, dass die Wiederherstellung planmäßig voranschreitet, deutet darauf hin, dass funktionsfähige Backup-Systeme vorhanden waren.
Währenddessen hat sich die Ransomware-Gruppe Kawa4096 zu dem Angriff bekannt. Dies geht aus einem Tweet von Falconfeeds hervor (via Golem), einem Twitter-Account, der regelmäßig über Cybersecurity-Vorfälle berichtet. Auf ihrer über das Tor-Netzwerk erreichbaren Leak-Site behaupten die Angreifer, 48 GByte an Daten erbeutet zu haben.
Als vermeintlichen Beweis für den erfolgreichen Datendiebstahl stellen die Cyberkriminellen mehrere Zip-Dateien und Dokumente mit Beispieldaten zum Download bereit.
