IT-Dienstleister nach der Ransomware-Attacke

Sopra Steria zieht Bilanz des Malware-Angriffs

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
IT-Dienstleister Sopra Steria fiel einem Angriff mit einer bis dahin unbekannten Variante der Ransomware Ryuk zum Opfer. Die Schadsoftware konnte schnell gestoppt werden, die Folgen sind aber noch länger spürbar. Dennoch stellt die französische Behörde für Informationssicherheit dem Unternehmen ein gutes Zeugnis aus.
Die Aufräumarbeiten nach der Malware-Attacke auf den IT-Dienstleister Sopra Steria werden voraussichtlich einige Wochen andauern.
Die Aufräumarbeiten nach der Malware-Attacke auf den IT-Dienstleister Sopra Steria werden voraussichtlich einige Wochen andauern.
Foto: ChrisGhinda - shutterstock.com

Sopra Steria meldete am 21. Oktober einen am Abend zuvor entdeckten Cyberangriff. Dem Bericht des IT-Dienstleisters zufolge sind umgehend Sicherheitsmaßnahmen ergriffen worden, um die Auswirkungen zu begrenzen. Außerdem wurden Kunden und Behörden über den Angriff informiert.

Inzwischen hat die Eingreiftruppe von Sopra Steria die eingedrungene Malware als eine Variante der seit 2018 bekannten Ransomware Ryuk identifiziert. Sophos hatte nur wenige Tage zuvor davor gewarnt, dass die Ryuk-Entwickler eine neue Spam-Kampagne gestartet haben, was auf eine neue Angriffswelle hindeute. Außerdem berichtete Sophos von einem aktuellen Fall, in dem der Hersteller Ende September 2020 einem betroffenen Unternehmen beim Umgang mit der Attacke geholfen hat.

Sopra Steria teilte jedoch mit, bei dem Überfall auf den IT-Dienstleister habe eine Variante der Malware zugeschlangen, die dem Sicherheitsbehörden und Anbietern von Security-Software zuvor nicht bekannt war. Es habe deren Signatur umgehend den Anbietern von Antivirus-Software zur Verfügung gestellt. Allerdings musste der IT-Dienstleister auch einräumen, dass der Cyberangriff "ein paar Tage vor seiner Entdeckung" gestartet wurde.

Es sei dennoch gelungen, mit den ergriffenen Sicherheitsmaßnahmen die Ausbreitung des Virus auf einen Teil der Infrastruktur der Firmengruppe einzugrenzen. Bisher (Stand 28. Oktober 2020) liegen auch keine Hinweise darauf vor, dass Unbefugte im Rahmen der Malware-Attacke Zugriff auf Daten erhalten hätten oder Daten gelöscht oder korrumpiert wurden.

Update vom 5. November 2020: Inzwischen hat auch die ANSII, die in Fankreich für Informationssicherheit zuständige Behörde, den Fall untersucht. "Meiner Ansicht nach ist Sopra Steria kein erfolgreicher Angriff, sondern ein Angriff, der von jemand vereitelt wurde, der ausreichend vorbereitet war und wusste, wie man sehr gut reagiert", erklärte ANSII-Generaldirektor Guillaume Poupard französischen Medienberichten zufolge am 4.11.2020 gegenüber der Presseagentur AFP. Das Unternehmen habe alle erforderlichen Maßnahmen ergriffen um zu verhindern, dass der Angriff funktioniere. "Nur ein paar Dutzend Maschinen waren davon betroffen", so Poupard. Allerdings seien als Vorsichtsmaßnahme "für ein paar Tage" zahlreiche weitere Server abgeschaltet worden, was dann doch ziemliche Auswirkungen auf die Kunden hatte. Der ANSSI-Direktor versicherte jedoch, dass kein Datenabfluss festgestellt werden konnte.

Aufräumarbeiten nach der Attacke dauern länger

Nachdem der Angriff analysiert und ein Plan zur Beseitigung der Schäden ausgearbeitet wurde, hat die Gruppe ihre Systeme wieder hochgefahren und schrittweise den Normalbetrieb wieder auf.genommen Allerdings teilt das Unternehmen mit, dass es "ein paar Wochen" dauern werde, bis alles wieder wie gewohnt läuft.

Lesetipp: Coronakrise lässt Kunden Cyber-Resilienz entdecken

Sopra Steria zählt sich selbst zu den Top-Fünf unter den europäischen IT-Service-Anbietern. Das Unternehmen erwirtschaftet zuletzt einen Umsatz von 4,4 Milliarden Euro und beschäftigt rund 46.000 Mitarbeiter in 25 Ländern. Die Zentrale des Unternehmens ist in Paris, in Deutschland ist das Unternehmen mit 13 Standorten vertreten. Der Markteintritt erfolgte 2005 durch die Übernahme der in Hamburg ansässigen Mummert Consulting durch den französischen Systemintegrator Steria. 2014 schlossen sich dann die beiden französischen Unternehmen Sopra und Steria zu Sopra Steria zusammen.

Die Gruppe erbringt schwerpunktmäßig unter anderem für Banken, Versicherer, seit Übernahme der Airbus-Tochter CIMPA auch stärker im Bereich Luftfahrt sowie schon länger für Behörden der Inneren Sicherheit IT-Dienstleistungen und Beratung. Es ist daher durchaus vorstellbar, dass die Attacke nicht primär dem Dienstleister selber galt, sondern sich Angreifer darüber Informationen zu dessen Kunden, zu denen auch Air France, die Großbank BNP Paribas, das französische Innenministrium und die EU-Kommission zählen, oder Zugriff auf deren Systeme verschaffen wollten.

Zur Startseite