Home > Company News > Cyber-Angriff auf Kisters AG durch orchestrierte Ransomware-Attacke

Cyber-Angriff auf Kisters AG durch orchestrierte Ransomware-Attacke

Cyber-Angriff
Cyber-Angriff auf die Kisters AG. IT-Spezialist:innen und -Forensiker:innen analysieren, wie die Angreifer trotz umfangreicher, mehrstufiger und anerkannter Sicherheitsvorkehrungen des Unternehmens in das Netzwerk eindringen konnten.  (Bild: Gerd Altmann / Pixabay)

Update 17.12.2021:
Es geht voran auf unseren Webseiten:

  • Der Geschäftsbereich Energie hat nun wieder eine umfangreichere Website mit Informationen für die Marktrollen, unseren Lösungen und Angeboten sowie News: [Website KISTERS Energie]
  • Der Geschäftsbereich Viewer ist mit seiner 3DViewStation wieder online: [Website KISTERS 3DViewStation]
  • Der Geschäftsbereich Umwelt-Consulting (Ingenieurleistungen) präsentiert seine Leistungen hier: [Website KISTERS Umwelt-Consulting]
  • Alle anderen Geschäftsbereiche werden momentan noch weiter ausgebaut; eine Übersicht finden Sie hier: [Geschäftsbereiche]
  • Die Website unserer amerikanischen Niederlassung KISTERS North America ist wieder komplett online. Dort finden Sie u.a. Informationen und Lösungen für die Wasserwirtschaft, die Energiewirtschaft und Informationen zur KISTERS 3DViewstation: [Website KISTERS North America]

Update 15.12.2021:
Unsere Entwicklungsteams haben von der vom BSI ausgesprochenen Sicherheitswarnung zu log4j (siehe Tickermeldung vom 13.12.) nicht betroffene und potentiell betroffene Softwaremodule identifiziert und unsere Kund:innen in den vergangenen beiden Tagen per Mail über empfohlene Maßnahmen informiert.
Entgegen der ersten Einschätzung vom 13.12. ist der Tomcat-Server selbst nicht von der Schwachstelle betroffen, sondern potentiell die mit diesem Dienst bereitgestellten Softwaremodule (s.o.).
Sollten Sie keine entsprechende Mail erhalten haben und in den Verteiler aufgenommen werden wollen oder weitere Rückfragen zu diesem Thema haben, dann melden Sie sich bitte bei unserem Support unter support-ui@kisters.de.

UIpdate 13.12.2021:
Aktuelle Warnung des BSI mit dem Titel „Kritische Schwachstelle in log4j veröffentlicht (CVE-2021-44228)“: [Warnung des BSI]
Die Protokollierungsbibliothek log4j wird in vielen Java-Anwendungen verwendet. Hierzu zählen auch im Internet/Intranet exponierte Web-Server wie z.B. der Tomcat-Dienst, der auch von KISTERS Software verwendet wird. Da die Lücke großflächig im Internet ausgenutzt werden kann und dies offenbar bereits stattfindet, hat das BSI nun die die Einstufung „4 / Rot Die IT-Bedrohungslage ist extrem kritisch“ vorgenommen.
Wir empfehlen daher unseren Kund:innen, dass sie kurzfristig die Sicherheitseinstellungen ihrer Web-Server prüfen und insbesondere die erste vom BSI empfohlene Maßnahme umsetzen:
Server sollten generell nur solche Verbindungen (insbesondere in das Internet) aufbauen dürfen, die für den Einsatzzweck zwingend notwendig sind. Andere Zugriffe sollten durch entsprechende Kontrollinstanzen wie Paketfilter und Application Layer Gateways unterbunden werden. [BSI2021b].
Für unsere Kund:innen, die die KISTERScloud nutzen, wurde diese Maßnahme von uns umgesetzt.
Unsere Entwicklungsteams untersuchen derzeit, welche Software-Lösungen konkret betroffen sein könnten, und welche zusätzlichen Maßnahmen gegebenenfalls zur Verminderung eines Risikos der Ausnutzung der Schwachstelle getroffen werden können.

Update 09.12.2021:
Unsere Kolleginnen und Kollegen aus Support und Vertrieb des Geschäftsbereichs Energie sind wieder über die bekannten Mail-Adressen erreichbar.

Uddate 07.12.2021:
Unsere Kolleginnen und Kollegen arbeiten weiterhin mit Hochdruck daran, für unsere Kunden und intern wieder den Normalbetrieb herzustellen.
Updates zur aktuellen Situation gibt es an dieser Stelle ab sofort nur noch, wenn wir relevante neue Informationen mit Ihnen teilen können.

Update 06.12.2021:
Unser Geschäftsbereich Monitoring ist ab sofort wieder online unter www.hyquestsolutions.eu erreichbar.

Udpate 03.12.2021:
Im Rahmen des Neuaufbaus der KISTERS-Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange) in die Microsoft Azure Cloud ausgelagert. Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage [Pressemeldung BSI].Update 02.12.2021:
Der Wiederaufbau der internen Infrastruktur macht weiterhin Fortschritte.
Wir arbeiten aktuell daran, die Webseiten unserer einzelnen Geschäftsbereiche wiederherzustellen.
Der Geschäftsbereich 3D-Drucker ist bereits unter
www.kisters-3dp.de
www.projet-3d-drucker.de
www.3d-produktionsdrucker.de
www.zprinter.de
für Sie erreichbar.
Update 01.12.2021:
Weitere KISTERS-Standorte sind ab sofort wieder telefonisch erreichbar.

Update 30.11.2021 (Pressemeldung):

Cyber-Angriff auf die KISTERS Gruppe: Ablauf des Ultimatums und Veröffentlichung erbeuteter Daten

In der Nacht auf den 11. November 2021 wurde das IT-Unternehmen KISTERS Opfer eines Cyber-Angriffs. Die kriminellen Angreifer haben sich dabei durch einen orchestrierten Ransomware-Angriff Zugang zu Daten des Unternehmens gesichert, diese verschlüsselt und damit gedroht, die erbeuteten Daten zu veröffentlichen. Das entsprechende Ultimatum ist abgelaufen.

Die zuständigen Datenschutzbehörden wurden bereits informiert. Da sich KISTERS nicht auf derartige Erpressungsversuche einlassen wird, ist mit der Veröffentlichung der erbeuteten Daten zu rechnen. Sowie Informationen vorliegen, ob Kundendaten betroffen sind, wird KISTERS den sofortigen direkten Kontakt zu den Betroffenen suchen. Gleichzeitig arbeitet das IT-Unternehmen weiter eng mit den Sicherheitsbehörden zusammen, die mögliche Veröffentlichungen von Datenmaterial durch die Hacker konsequent als Straftat verfolgen werden.

Eine transparente Kommunikation ist für die KISTERS-Gruppe von entscheidender Bedeutung. „Die Sicherheit unserer Kundinnen und Kunden sowie Geschäftspartnerinnen und -partner hat für uns allerhöchste Priorität. Wir werden daher alle relevanten Informationen umgehend mit der Öffentlichkeit teilen“, so Vorstand Klaus Kisters.

KISTERS arbeitet mit Hochdruck an einer Rückkehr in den Regelbetrieb und informiert regelmäßig auf seiner Website www.kisters.de über neue Erkenntnisse rund um die kriminelle Attacke. Inzwischen sind viele Mitarbeiterinnen und Mitarbeitern der KISTERS Gruppe wieder über ihre persönlichen E-Mail-Adressen und Telefonnummern erreichbar. Auch der Software-Support steht wieder unter den bekannten Kontaktdaten zur Verfügung. Zusätzlich gelten weiterhin die auf der Website aufgeführten E-Mail-Adressen und Service-Nummern. Das Rückladen der Cloud-Systeme der Kunden sowie die umfangreichen Virenprüfungen der Kundensysteme machen gute Fortschritte.

Die KISTERS IT-Systeme hatten bereits in der Vergangenheit ein durch die ISO-Norm 27001 objektiv zertifiziertes, hohes Schutzniveau. Aus der umfangreichen Analyse des Angriffs, die momentan noch andauert, werden natürlich Schlussfolgerungen und Maßnahmen für die Zukunft abgeleitet. Auch wertvolle Hinweise von Kundinnen und Kunden, die ähnliche Erfahrungen machen mussten, werden einfließen.

Klaus Kisters weiter: „Wir haben in den vergangenen Tagen von Kundinnen und Kunden sowie Geschäftspartnerinnen und -partnern viel Zuspruch für unsere Entscheidung erfahren, nicht auf finanzielle Forderungen der Erpresser einzugehen. Auch der von uns eingeschlagene Weg, unsere IT-Infrastruktur neu aufzubauen, um Kompromittierungen nach aktuellem Stand der Technik auszuschließen, stößt auf breite Zustimmung. Dafür möchte ich mich herzlich bedanken.“

Update 29.11.2021:
Das Rückladen der Cloud-Systeme macht Fortschritte.
Kundenspezifische Updates zu den Cloud-Systemen kommunizieren wir ab sofort nur noch in der direkten Kundenansprache.
Darüber hinaus erhalten aktuell sukzessive weitere Kolleg:innen Zugriff auf ihre E-Mail-Postfächer und das Firmennetzwerk.

Update 26.11.2021:
Seit Mittwoch werden die Cloud-Lösungen zurückgeladen. Dies dauert je System mehrere Stunden. Gestern wurde mit den mehrstufigen Virenprüfungen der Kundensysteme begonnen, die je Kundensystem z.Zt. bis zu 24h dauern. Es wurden bisher keine Auffälligkeiten in Kundensystemen entdeckt. Ab dem Wochenende wird die Aktivierung der ersten Systeme in einer stark abgesicherten Umgebung in unserem Rechenzentrum erfolgen. Diese Systeme werden anschließend von unseren Fachkolleg:innen/Consulting geprüft und gehen dann in den Freigabeprozess. Auch wenn das immer noch ein sehr langwieriger und aufwendiger Prozess ist, halten wir ihn für notwendig, um die IT-Sicherheit zu gewährleisten.
Außerdem haben heute die ersten Kolleginnen und Kollegen in Aachen, Oldenburg und Wien ihre neu aufgesetzten Rechner erhalten. Weitere Mitarbeiter:innen und Standorte folgen sukzessive.

Update 25.11.2021:
Die Beschlusskammern 6 und 7 der BNetzA bewerten den Angriff auf die KISTERS AG als Ausnahmesituation und empfehlen für die Kommunikation im Kontakt zu den betroffenen Marktpartnern, vorübergehend auf einen bilateralen Austausch zurückzugreifen.
Außerdem beabsichtigt die BNetzA in diesem Zusammenhang auftretende Ausfälle und Behinderungen der automatisierten Marktkommunikation nicht im Wege von Aufsichtsmaßnahmen zu verfolgen. [> Mitteilung der BNetzA (PDF] Die KISTERS-Telefoniesysteme wurden neu aufgebaut und werden nun sukzessive wieder in Betrieb genommen. Unsere Kolleginnen und Kollegen in einzelnen Standorten (wie z.B. Aachen und Oldenburg) sind bereits wieder wie gewohnt erreichbar. Weitere Standorte werden folgen. [Kontaktdaten]

E-Mails an die persönlichen KISTERS-Adressen der Kolleginnen und Kollegen landen seit dem 14.11.2021 wieder in den Postfächern und gehen nicht verloren (E-Mails an KISTERS-Sammeladressen seit dem 20.11.). Aktuell haben die Kolleginnen und Kollegen aus Sicherheitsgründen aber noch keinen internen Zugriff auf ihre Postfächer. Wir informieren Sie an dieser Stelle, sobald sich dies ändert.

Update 24.11.2021:
Der Aufbau der neuen IT Infrastruktur ist soweit abgeschlossen, dass das Rückladen aus dem gesicherten Backup heute gestartet wurde. Mit der Überprüfung wird dann morgen sukzessive begonnen.

Update: 23.11.2021:
„Um die Sicherheit unserer Kundinnen und Kunden zu gewährleisten, setzen wir unsere Systeme komplett neu auf. Die Arbeiten dazu sind aktuell in vollem Gange. Daten, die wir aus dem Back-Up nutzen können, werden vorab genauestens überprüft, um die Integrität und Konsistenz weitestgehend sicherzustellen. Für unsere Cloud-Kunden werden wir morgen (Mittwoch) mit dem Rückspeichern der Systeme beginnen, ab Donnerstag werden diese Systeme dann umgehend geprüft und auf Auffälligkeiten gemonitort. Danach erfolgt dann schrittweise die Freigabe in den folgenden Tagen und Wochen. Ihr/e KISTERS-Ansprechpartner:in wird sich dann mit Ihnen in Verbindung setzen.Parallel laufen die forensischen Analysen weiter.“

Update: 21.11.2021:
„Nach den bisherigen forensischen Analysen gibt es aktuell keine Anzeichen dafür, dass unsere ausgelieferten Softwareprodukte kompromittiert sind.“

12.11.2021:

Erfolgreicher Cyber-Angriff trotz mehrstufiger und anerkannter Sicherheitsvorkehrungen

In der Nacht vom 10. auf den 11. November 2021 hat das IT-Unternehmen KISTERS AG ein Cyber-Angriff ereilt. Nach bisherigem Kenntnisstand haben sich die Angreifer trotz eines starken Sicherheitssystems über einen orchestrierten Ransomware-Angriff Zugang zum Computernetzwerk des Software-Anbieters für nachhaltiges Ressourcenmanagement verschafft.

Die KISTERS AG hat umgehend nach Entdeckung des Angriffs die Kriminalpolizei und das Bundesamt für Sicherheit in der Informationstechnik BSI eingeschaltet und die zuständigen Aufsichtsbehörden informiert. Darüber hinaus begann ein Expertenteam aus IT-Spezialist:innen und -Forensiker:innen sofort zu analysieren, wie die Angreifer trotz umfangreicher, mehrstufiger und anerkannter Sicherheitsvorkehrungen des Unternehmens in das Netzwerk eindringen konnten. Die Untersuchungen dauern noch an.

Unternehmen vorübergehend nicht erreichbar

Aktuell hat das Unternehmen keinen Zugriff auf das eigene System, da es komplett heruntergefahren wurde, um weiteren Schaden zu vermeiden. Entsprechend ist das Unternehmen vorübergehend weder über E-Mail noch über Festnetz-Telefon erreichbar, sondern nur über die Mobilnummern der Kolleginnen und Kollegen. Die Kundinnen und Kunden der KISTERS AG sind nach Möglichkeit bereits persönlich über den Angriff und die möglichen Folgen sowie die eingeleiteten Maßnahmen informiert worden oder werden dies, sobald der Zugriff auf die Systeme es wieder zulässt.

„Transparenz ist in dieser Situation für uns das wichtigste Gut“

Aktuell kann die KISTERS AG auch noch keinerlei Aussagen darüber treffen, welche Daten vom Angriff betroffen sind. „Transparenz ist in dieser Situation für uns das wichtigste Gut. Wir werden unsere Kundinnen und Kunden klar und offen informieren, wenn wir wissen, um welche Daten es geht und wann wir wieder in den normalen Geschäftsbetrieb zurückkehren können“, so der Geschäftsführer Klaus Kisters.

„Schnell wieder auf allen Kanälen erreichbar sein“

Aktuell arbeiten alle Experten im Krisenmodus. „Jetzt geht es für uns erstmal darum, schnell wieder auf allen Kanälen für unsere Kundinnen und Kunden erreichbar zu sein. Daran arbeiten wir mit Hochdruck“, so Klaus Kisters weiter. „Im nächsten Schritt werden wir alles daransetzen, wieder arbeitsfähig zu sein und Erkenntnisse zu gewinnen, damit wir, aber auch andere Unternehmen sich in Zukunft noch besser schützen können.“

> Auch personenbezogene Daten könnten betroffen sein

Lesen Sie auch:
● KISTERS AG ergänzt das mobile endios one-Ökosystem mit ihrer Regionalstromplattform

● Stadtwerke Schwäbisch Hall und KISTERS bieten gemeinsam durchgängige Metering-Lösungen
● Kisters sorgt mit Container-Technologie für reibungslose Software-Updates und Reduzierung der Prozesskosten
● Gurobi und KISTERS verlängern ihre Kooperation im Bereich Energieeinsatzoptimierung
● Alliander Netz Heinsberg setzt auf Redispatch-2.0-Software und Netzleitsystem von KISTERS

Über Kisters

Informationen zum Unternehmen finden Sie in der Company-Box.

Company-Box
Das könnte Sie auch interessieren
Neues ERP- und Abrechnungssystem
Stadtwerke SH beauftragen IVU mit der Einführung von Wilken ENER:GY als neues gemeinsames ERP- und Abrechnungssystem
CRM-Kongress
CRM-Kongress der CURSOR Software AG begeistert 160 Teilnehmende
IT-Sicherheit
Tim Philipp Schäfers: „IT-Sicherheit ist ein kontinuierlicher gemeinsamer Verbesserungsprozess“
AS4-Kommunikation
Wilken bietet AS4-Kommunikation für eigene Kunden und als White-Label-Plattform