So geht es nach dem Cyberangriff bei Ingram Micro weiter

An der US-Börse gab es am Montag eine deutliche Reaktion auf den Cybervorfall bei Ingram Micro: Die Papiere verloren an der US- Börse über 7 Prozent. Bestellungen in Deutschland sind möglich, allerdings mit Einschränkungen. Wie vorbildliche Krisenkommunikation im Falle eines Hackerangriffs geht.

Der Aktienkurs von Ingram Micro gibt am Montag, dem ersten Handelstag in den USA nach dem Cyberangriff auf die Systeme des börsennotierten Distributors, um mehr als 7 Prozent nach

Der Cyberangriff auf Ingram Micro am Donnerstag vergangener Woche war kein Zufall, er war von langer Hand vorbereitet. Die Hackergruppe SafePay ging mit ihrer Erpressungsaktion gezielt vor. Der Zugriff gelang ihnen offenbar durch ein schlecht gesichertes VPN. Medien berichten davon, dass Ingram Micro das Produkt GlobalProtect von Palo Alto Networks einsetzt. Die Cyberkriminellen müssen vorher von der Schwachstelle gewusst haben, denn der Angriff am Donnerstag letzter Woche wurde ausgewählt, weil am Tag darauf, 7. Juli 2025, ein Feiertag in den USA war und sie damit rechnen konnten, dass nur wenig Personal über das verlängerte Wochenende arbeitet.

Der Ransomware-Angriff legte die Bestellplattformen von Ingram Micro lahm, das Geschäft ruht. Bis Handelsschluss der US-Börse am vergangenen Donnerstag bliebt der Hackerangriff folgenlos für die Aktien von Ingram Micro. Am gestrigen Montag, dem ersten Handelstag an der US-Börse nach dem nationalen Unabhängigkeitstag am Freitag, fielen die Papiere kräftig und schlossen an der Wall Street bei einem Minus von 7,5 Prozent. Kann es weiter nach unten gehen? Es wird darauf ankommen, wann Ingram Micro seine Handelssysteme wieder hochfahren kann. Und vor allem: wie schnell und transparent der Distributor kommuniziert.

Krisenkommunikation: Ingram Micro Statement zu Bestellungen liegt vor

Dass der Angriff an einem verlängerten Wochenende passierte, hatte sichtlich Auswirkungen auf die Unternehmenskommunikation. Einige Partner, die auch am Feiertag und Wochenende arbeiten, konnten sich nicht in ihre Handelssysteme einloggen. Gegenüber CRN kritisierten sie, dass sie von Ingram Micro nicht sofort nach Ausfall der IT informiert wurden. Der börsennotierte Distributor informierte per Ad-hoc-Meldung am Samstag den Kapitalmarkt über den Hackerangriff.

Erst am gestrigen Monat veröffentlichte Ingram Micro auf seiner US-Webseite ein Statement zur aktuellen Lieferfähigkeit, zum Prozedere in den nationalen Märkten, die ebenfalls nur eingeschränkt arbeiten können. Eingeschaltete Cybersecurity-Experten arbeiten mit Hochdruck an der Beseitigung der Schäden. "Es gibt zwar noch einiges zu tun, aber wir setzen die Support-Lösungen für Kunden nach dem Cybersicherheitsvorfall der letzten Woche weiter um", gibt Ingram Micro in dem Statement bekannt.

Bestellungen in Deutschland aktuell nur per Telefon oder E-Mail

Ferner heißt es Stand Montag: "Heute haben wir wichtige Fortschritte bei der Wiederherstellung unseres Transaktionsgeschäfts erzielt. Abonnementbestellungen, einschließlich Verlängerungen und Änderungen, sind weltweit verfügbar und werden zentral über die Support-Organisation von Ingram Micro bearbeitet. Darüber hinaus können wir nun Bestellungen bearbeiten, die per Telefon oder E-Mail aus Großbritannien, Deutschland, Frankreich, Italien, Spanien, Brasilien, Indien und China eingehen. Bei Bestellungen von Hardware und anderen Technologien bestehen weiterhin einige Einschränkungen, die bei der Bestellung geklärt werden. Um Abonnementbestellungen aufzugeben, sollten sich Kunden an den Unified Support wenden. Bei allgemeinen Anfragen sollten sich Kunden an ihren Vertriebsmitarbeiter wenden".

Drei Tage nach dem Cyberangriff gibt der Distributor Partnern genauere Informationen. Einschlägige Notfallpläne für solche Vorfälle sehen im Punkt Bekanntmachung unterschiedliche Zeitpunkte für die interne und externe Kommunikation je nach Adressaten vor (interne IT, Management, Behörden, Kunden, Presse). Grundsätzlich gilt: je früher kommuniziert wird, umso besser. Allerdings erst, wenn erste Erkenntnisse zum Umfang der Einschränkungen und ihre voraussichtliche Dauer sowie getroffener Gegenmaßnahmen vorliegen. Alternativen zur Aufrechterhaltung des Geschäftsbetriebs, wie sie Ingram Micro nun bekannt gibt, sind Bestandteil einer Krisenkommunikation, die man vorbereiten kann, ja muss. Denn in jede Studie zur Cybersicherheit findet sich der Hinweis: Es ist nicht die Frage, ob, sondern wann ein Unternehmen Opfer eines Cybervorfalls wird.

Vor zwei Jahren befand sich ein anderer IT-Distributor, Scancource, in einer ähnlichen Situation wie Ingram Micro jetzt. Nachdem Scansource am 14. Mai 2023 Opfer einer Ransomware-Attacke geworden war, hatte das Unternehmen unmittelbar nach dem Vorfall den Angriff öffentlich gemacht und eine Pressemitteilung mit grundlegenden Details zu den Geschehnissen und den Maßnahmen des Unternehmens veröffentlicht. Der Aktienkurs hatte kaum auf den Cyberangriff reagiert, war Tage danach sogar leicht gestiegen.

Nächste Seite: So geht vorbildliches Krisenmanagement am Beispiel eines Hackerangriffs auf eine Software-Lieferkette

Der spektakuläre Hackerangriff auf RMM-Anbieter Kaseya vor exakt 4 Jahren, wie bei Ingram Micro am Wochenende und zum Unabhängigkeitstag in den USA, war aufgrund der globalen Systemvernetzung mit MSPs sehr folgenreich. Kaseya war auf einen solchen Angriff bestens vorbreitet und folge einem Notfallplan. Auch kommunikativ hatte der US-Hersteller vorbildlich auf die schwere Krise reagiert, wie das damals folgende Szenario zeigt

Freitagnachmittag, 2. Juli 2021, die meisten Amerikaner sind bereits in ein langes Wochenende gestartet. Es gibt an diesem verlängerten Wochenende gleich zwei Gründe, ausgiebig zu feiern. Den Unabhängigkeitstag, und weil er dieses Mal auf einen Sonntag fällt, wird der Feiertag am Montag "nachgeholt". 50 Millionen Amerikaner sind unterwegs zu Verwandten und Freunden, um auch das Ende der Corona-Krise und der Einschränkungen gemeinsam zu feiern. Es ist still geworden in den leeren oder nur spärlich besetzten Büros. Cyberkriminelle wissen sehr genau, wann der richtige Zeitpunkt da ist, um auf geringste Gegenwehr zu stoßen und größtmögliche Angriffserfolge zu erzielen. Man hätte es an diesem langen Wochenende ahnen können.

SOCs schlagen Alarm
Gegen 14 Uhr Ortszeit Miami (20 Uhr in Deutschland), Sitz von Kaseya, startet die vermutlich aus Russland stammende Revil-Bande ihre Ransomware-Attacke auf die VSA-Server des Herstellers – ein Software-Lieferketten-Angriff auf potentiell mehr als 35.000 MSPs, die diese Plattform zum Management von Kunden-ITs einsetzen. Nur wenig später registrieren zwei der vier Sophos-MTR-SOCs, die in den USA, Irland, Indien und Australien stehen, die ersten ungewöhnlichen Aktivitäten bei ihren Kunden, die für das IT- Management VSA von Kaseya einsetzen.

Die Cryptoguard-Engine erkennt den Verschlüsselungsvorgang und stoppt ihn. Zeitgleich wird Kaseya von Sophos und SOCs anderen Security-Dienstleister informiert. Beim Hersteller hat man nun Gewissheit, dass im Wettlauf mit der Zeit die Hacker-Gruppe gewonnen hat.  Die Zero-Day-Lücke war bekannt, nur rechtzeitig schließen konnte man sie nicht.

In Schweden stehen am Samstag, 3.Juli 2021, Kunden vor den rund 800 Filialen der Supermarktketten Coop vor zeitweise geschlossenen Läden. Die Kassensysteme funktionieren nicht. Jetzt beginnt bei Kaseya die Krisenkommunikation. Während die Tagesschau zur besten Sendezeit erstmals am Sonntag berichtet und am Montag ausführlich und mit Statement von Kaseya-CEO Fred Voccola nachlegt, folgt der Hersteller der Devise, wer schnell und detailliert informiert, zeigt, dass er das Heft des Handelns in der Hand hat: Wichtige Behörden wie das FBI, das Weiße Hause und die nationale Cybersecurity-Behörde CISA seien informiert, Fireeye Mandiant (damals noch nicht von Google gekauft) – quasi der Katastrophenschutz bei schweren IT-Security-Vorfällen – arbeite bereits mit Hochdruck. Man wisse, dass "jede Sekunde zählt, dieses Problem zu beheben", so der damalige CEO.

Schaden "nur minimal"
Zweite Regel: Sehr begrenzter Schaden durch entschlossenes Handeln. Man kann davon ausgehen, dass Kaseya die Risiken von Supply-Chain-Angriffen sehr genau kennt und spätestens seit dem im Dezember bekannt gewordenen Angriff auf Wettbewerber Solarwinds Abläufe im Fall eines GAUs festlegt hat. So berichtet der Hersteller, dass man "innerhalb einer Stunde vorsichtshalber den Zugriff auf die betroffene Software sofort abgeschaltet" habe, so dass der Angriff "nur begrenzte Auswirkungen hatte, da nur etwa 50 von mehr als 35.000 Kaseya-Kunden betroffen waren". Kaseya IT Complete sei "nur minimal von der Kompromittierung betroffen", nämlich von 27 Modulen "nur eins: VSA".

Alles schon vorbei?

Dritte Regel der Krisenkommunikation: Eigentlich ist alles schon vorbei, so der Tenor, der drei Tage später vorliegenden Pressemitteilung. Kommunikativ alles richtig gemacht und doch schwelt die Krise weiter, lässt viele MSPs und deren Kunden verunsichert zurück. Sicher ist nur eines: Nichts und niemand ist sicher vor eskalierenden und neuerdings skalierenden Cyberbedrohungen.

CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden