Netgo bestätigte gegenüber CRN die Echtheit eines Kundenschreibens vom November, indem das Systemhaus seine Kunden wegen eines Hackerangriffs auf "interne Betriebssysteme" informiert hat. "Trotz hoher Sicherheitsmaßnahmen wurde von außen ein Angriff gegen unsere Systeme durchgeführt, welcher zu einer temporären Beeinträchtigung der internen Prozesse und Geschäftsabläufe in einzelnen Regionen geführt hat", heißt es im Schreiben.
Der Vorfall werde untersucht, man arbeite "mit Hochdruck" an der Wiederherstellung der Systeme und Geschäftsabläufe". Sind Kundendaten abgeflossen? Dafür gäbe es "derzeit keine Anhaltspunkte", hieß es im Schreiben. Man könne es aber nicht ausschließen.
Domino-Effekte: Hacker lieben Systemhäuser, MSPs und Managed Security Service Provider
Natürlich sind auch Systemhäuser, die eigentlich die IT-Sicherheit von Infrastrukturen der Kunden gewährleisten, im Visier der Cyberkriminellen. Sie sind ganz besonders attraktive Ziele. Es gab in den letzten Jahren diverse Angriffe auf die Systeme von IT-Management-Herstellern. Diese werden von MSPs, MSSPs und Systemhäusern eingesetzt, um Infrastrukturen der Kunden remote zu verwalten.
Ist ein Tool in einem RMM-System eines Lieferanten kompromittiert, der tausende Systeme bei Partnern im Einsatz hat, kann ein erfolgreicher Hackerangriff einen Flächenbrand auslösen und Tausende von Systemen der von Partnern betreuten Kunden lahm legen. Um einen solchen Supply-Chain-Angriff handelt es sich bei Netgo nicht.
"Isolierte Umgebung"
Die meisten Hacker dürften auf Geld aus sein, verschlüsseln Daten und versuchen, Lösegeld zu erpressen. Oder es werden Kundendaten gestohlen und im Darknet verkauft. Netgo will nicht allzu tief ins Detail gehen. "Das primäre Ziel der Attacke war, den Geschäftsbetrieb der netgo zu stören", heißt es auf die Frage von CRN nach der Motivation der Hacker. Ein Übergriff auf andere Systeme gab es offenbar nicht. "Die unmittelbar eingeleiteten forensischen Untersuchungen haben bisher keine Erkenntnisse ergeben, dass weitere Systeme betroffen sind - das ist positiv und eine gute Nachricht", so Netgo.
Aktueller Stand vom Mittwoch dieser Woche: "Die bisherigen Ergebnisse lassen, auch wenn die Analysen noch nicht abgeschlossen sind, den Rückschluss zu, dass der Angriff in einer isolierten Umgebung stattgefunden hat." Diese "Störung" habe man beendet, die Systeme "wieder vollständig hergestellt." Im Übrigen weist das Systemhaus darauf hin, "dass die Geschäftsfähigkeit der netgo zu keinem Zeitpunkt betriebsbeeinträchtigend eingeschränkt war."
Sicherheit erhöht - Vorfall gemeldet
Was genau passiert ist, behält Netgo für sich. Klar ist aber auch, dass es offenbar eine Schwachstelle gegeben haben muss. Bei welcher Geschäftseinheit bleibt unklar. In den letzten Jahren ist die Netgo-Gruppe durch Zukäufe stark gewachsen. Möglich, dass die Konsolidierung der zahlreichen uneinheitlichen Systeme bei den einst selbständig agierenden Tochtergesellschaften noch nicht abgeschlossen ist.
Netgo hat unmittelbar nach dem Angriff reagiert: es seien zusätzliche Präventionsmaßnahmen umgesetzt worden. "Somit haben wir die Sicherheitsstandards in unserem Netz weiter erhöht."
Den Vorfall habe Netgo bei den zuständigen Behörden gemeldet. "Aufgrund der laufenden Ermittlungen gegen die Angreifer können wir derzeit keine weiteren Informationen bezüglich des Vorfalls kommunizieren und weisen darauf hin, dass Abweichungen und Interpretationen das Ermittlungsverfahren behindern könnten", lässt Netgo CRN wissen.
