Mit unserem kostenlosen Newsletter sind Sie immer bestens informiert – gleich abonnieren!
AIDAperla

AIDA und Costa waren Opfer eines erpresserischen Hackerangriffs mit Ransomware

Ein am 25. Dezember 2020 entdeckter Hackerangriff, mit dem Erpresser-Software (Ransomware) eingeschleust wurde, ist die Ursache für die IT-Probleme bei AIDA Cruises. Auch die Schwesterreederei Costa war betroffen. Was bereits seit Wochen vermutet wurde, hat Carnival Corp. nun auch offiziell bestätigt. Es ist der bislang wahrscheinlich folgenreichste Hacking-Angriff auf eine Kreuzfahrtreederei.

Erstmals offiziell hat AIDAs Mutterunternehmen Carnival Corp. den Angriff nun im Jahresbericht (10-K) zum Finanzjahr 2020 am 26. Januar 2021 eingeräumt. Bis zu diesem Zeitpunkt war bei AIDA und Costa lediglich von „IT-Problemen“ die Rede. Spätestens seit Anfang Januar, als die Staatsanwaltschaft Rostock Ermittlungen wegen Computersabotage aufgenommen hatte, war allerdings klar, dass es sich nicht um einfach IT-Probleme handeln konnte.

In dem Jahresbericht schreibt Carnival Corp.: „Am 25. Dezember 2020 haben wir einen Ransomware-Angriff und einen unbefugten Zugriff auf unsere IT-Systeme entdeckt, der zwei unserer Marken betraf. Wir haben ein großes Cybersecurity-Unternehmen mit der Untersuchung der Angelegenheit beauftragt und die Strafverfolgungsbehörden sowie die zuständigen Aufsichtsbehörden über den Vorfall informiert. Die Untersuchung des Vorfalls und die Abhilfemaßnahmen sind im Gange.“

AIDA bestätigte dies auf Nachfrage gegenüber cruisetricks.de. Wesentlich erscheint auch der Nachsatz des Carnival-Statements: „… zum jetzigen Zeitpunkt gibt es keine Hinweise auf einen Missbrauch von Informationen.

Kreuzfahrt-Absagen nach Entdeckung des Ransomware-Cyberangriffs

Nach Entdeckung der Attacke hatte AIDA kurzfristig zunächst zwei Kanaren-Kreuzfahrten abgesagt, die wenige Tage nach dem Hackerangriff hätten beginnen sollen. Einige Tage darauf folgten weitere Absagen. Bei Costa fuhr aufgrund der Covid-19-Pandemie zu dem Zeitpunkt des Angriffs kein Schiff. Die nächste Abfahrt mit Passagieren war mit der Costa Smeralda am 8. Januar 2021 geplant.

Inzwischen haben sowohl AIDA als auch Costa Kreuzfahrten unter Hinweis auf die Pandemie-Situation bis in den März hinein abgesagt. Mitbewerber MSC (Italien) und TUI Cruises (Kanaren) fahren allerdings wieder beziehungsweise weiterhin.

Telefonisch und per E-Mail sind AIDA und Costa seit der zweiten Januarwoche wieder erreichbar. Auch Reisebuchungen sind für Reisebüros wie Endkunden wieder möglich.

Wahrscheinlich wurden bei dem Hacker-Angriff auf AIDA und Costa, der am ersten Weihnachtsfeiertag entdeckt wurde, wichtige Daten verschlüsselt, sodass die Reedereien ohne Hilfe der Erpresser nicht mehr darauf zugreifen konnte. Um eine weitere Ausbreitung der Schäden zu verhindern, ist typischerweise die erste Reaktion auf einen solchen Angriff, alle verbundenen IT-Systeme herunterzufahren. Erst wenn die Lage unter Kontrolle ist, werden einzelne Systeme nach und nach wieder in Betrieb genommen.

Von wem die Attacke auf Costa und AIDA ausgegangen ist, ist bislang nicht bekannt. Auch ob die Hacker die Kreuzfahrtunternehmen gezielt angegriffen haben oder die Systeme zufällige Opfer eines breit angelegten Angriffs mit der Schadsoftware wurden, ist unklar. Ein absoluter Schutz vor solchen Angriffen ist aufgrund der komplexen Systeme und Vernetzung praktisch unmöglich.

Ransomware: Daten verschlüsseln und für die Entschlüsselung Bitcoins erpressen

Bei Ransomware-Attacken wie dem Hacker-Angriff auf AIDA und Costa schleusen die Täter typischerweise Schadcode auf die Zielsysteme ein, um die Daten auf den Servern der Opfer zu verschlüsseln. Für die Entschlüsselung erpressen die Hacker Lösegeld. Zumeist werden Zahlung in der virtuellen Währung Bitcoin verlangt, sodass der Empfänger des Geldes kaum oder gar nicht zu ermitteln ist.

Cyber-Attacken dieser Art sind besonders perfide, weil das reine Wiederherstellen der Daten beispielsweise aus Backups oder der Einsatz von Ersatzsystemen nicht ausreicht, um das Problem zu beheben. Zunächst muss sichergestellt werden, dass die zugrundeliegende Sicherheitslücke geschlossen ist und der Schadcode sich nicht weiterhin in den IT-Systemen des Unternehmens versteckt. Andernfalls könnte die Attacke auch nach Wiederherstellung erneut stattfinden und die Systeme weiter lahmlegen.

Unternehmen sind regelmäßig Opfer von Cyber-Attacken

Ransomware-Cyberattacken wie im aktuellen Fall bei AIDA/Costa sind keine Seltenheit und treffen große ebenso wie kleinere Unternehmen und staatliche Einrichtungen. Anfang August 2020 war mit der Uniklinik Düsseldorf sogar ein Krankenhaus von einem solchen Angriff betroffen. Die Hacker hatten das Krankenhaus offenbar mit der Universität verwechselt, die sie eigentlich angreifen wollten.

Am Dienstag, 22. Dezember, wurde bekannt, dass die Funke-Mediengruppe von einer Ransomware-Attacke betroffen ist. Zeitungen des Medienhauses wie die Westdeutsche Allgemeine Zeitung (WAZ), Berliner Morgenpost und Hamburger Abendblatt erschienen zunächst nur in Notausgaben. Selbst Tage nach Entdecken des Angriffs ist die reguläre Technik für die Zeitungsproduktion nicht einsatzfähig.

Aber auch bei Kreuzfahrt- und Containerschiff-Reedereien hatte es jüngst Ransomware- und andere Hacker-Angriffe gegeben. Selbst die UN-Organisation IMO (International Maritime Organisation) wurde am 30. September von einem Hackerangriff heimgesucht, mehrere IT-Systeme waren dadurch für einige Tage offline. Und auch mehrere Kreuzfahrtmarken von AIDAs Mutterunternehmens Carnival Corp. wurden bereits Opfer einer Ransomware-Attacke. Ob ein Zusammenhang zu dem aktuellen Hacker-Angriff auf AIDA und Costa besteht, ist nicht bekannt. Die Attacke auf AIDA ist wahrscheinlich die bislang schwerste und folgenreichste Cyber-Attacke auf eine Kreuzfahrtreederei.

Erpresser-Angriff auf Hurtigruten Mitte Dezember

Mitte Dezember 2020 haben Hacker die norwegische Reederei Hurtigruten mit Ransomware angegriffen. Die Nachrichtenagentur Reuters zitierte Hurtigrutens IT-Chef Ole-Marius Moe-Helgesen mit den Worten: „Dies ist ein ernster Angriff. Die globale IT-Infrastruktur von Hurtigruten scheint betroffen zu sein.“ Die Reederei hatte nach Entdeckung des Angriffs vorsorglich alle Systeme abgeschaltet, um weitere Schäden durch die Datenverschlüsselung zu unterbinden. Weitere Details zu diesem Hackerangriff sind noch nicht bekannt. Inzwischen laufen die Systeme von Hurtigruten wohl wieder.

Erpresser-Angriff auf Carnival Corp. am 15. August 2020

Ebenfalls einen Ransomware-Angriff hatte AIDAs Mutterunternehmen Carnival Corp. am 15. August 2020 gemeldet. Der offiziellen Mitteilung zufolge haben Hacker auf Daten einer der Carnival-Corp-Kreuzfahrtmarken zugegriffen und Teile davon verschlüsselt. Später nannte das Unternehmen die drei Marken Seabourn, Carnival Cruise Line und Holland America Line als von dem Cyber-Angriff betroffen.

Hacker-Angriff auf Princess Cruises und Holland America Line im Sommer 2019

Bei einem Hackerangriff auf Princess Cruises und Holland America Line im Sommer 2019 hatten Angreifer offenbar drei Monate lang Zugriff auf einige E-Mail-Konten von Mitarbeitern. Die weiteren Untersuchungen ergaben laut Unternehmen, dass unbefugte Dritte Zugriff auf bestimmte E-Mail-Konten hatten, die persönliche Daten von Mitarbeitern und Gästen enthielten, darunter Namen, Sozialversicherungsnummern, staatliche Identifikationsnummern, wie beispielsweise Reisepassnummern, Personalausweisnummern, Kreditkarten- und Finanzkontodaten sowie gesundheitsbezogene Informationen. Hinweise auf Missbrauch dieser Daten hätten sich laut Princess Cruises nicht ergeben.

Cyberattacke auf Containerschiff-Reederei Maersk 2017: bis zu 300 Millionen Dollar Schaden

A.P. Møller-Maersk, die weltgrößte Containerschiff-Reederei, war am 27. Juni 2017 von einem Angriff mit der Ransomware-ähnlichen Malware namens „NotPetya“ betroffen. Allerdings war das Ziel dieser Malware nicht die Verschlüsselung und Erpressung von Unternehmen, sondern Löschung der Daten und sogar Zerstörung von Hardware.

Der bei Maersk entstandene Schaden durch diese Attacke wurde mit 250 bis 300 Millionen Dollar beziffert. Betroffen waren rund 600 Niederlassungen in 130 Ländern. Mit enormem Aufwand schaffte Maersk es, nach zehn Tagen wieder online zu sein. Der Cyber-Angriff auf Maersk gilt als der folgenschwerste in der Geschichte.

„NotPetya“ hat bei Angriffen auf zahlreiche Unternehmen weltweit Schäden in Höhe von über eine Milliarde Dollar verursacht. Die zugrundeliegende Sicherheitslücke namens „EternalBlue“, die wohl auch von der NSA jahrelang genutzt wurde, ist inzwischen geschlossen.

Cyber-Angriffe auch aus Containerschiff-Reedereien MSC, Cosco Shipping und CMA CGM

Im April 2020 hatte es auch einen Cyberangriff auf die Zentrale von MSC in Genf gegeben, der zweitgrößten Containerschiff-Reederei. Wie genau diese Attacke aussah, ist nicht bekannt. Betroffen waren offenbar nur wenige Systeme, die infolge des Malware-Befalls fünf Tage lang offline bleiben mussten. Experten mutmaßen, dass es sich auch in diesem Fall um Ransomware gehandelt habe.

Am 24. Juli 2018 traf es amerikanische Niederlassungen von Cosco Shipping, die weltweite Nummer drei der Containerschiff-Reedereien, mit einem Ransomware-Angriff, der zu längeren Ausfällen des E-Mail- und Telefonsystems und zur Unterbrechung der Verbindung mit anderen Niederlassungen führte.

Die viertgrößte Containerschiff-Reederei, CMA CGM, hatte Ende September 2020 mit einer Cyberattacke zu kämpfen. Betroffen waren offenbar asiatische Niederlassungen des Unternehmens. Und auch hier scheint es sich um einen Angriff mit Ransomware gehandelt zu haben.

Ransomware-Attacken werden weniger

IT-Experten zufolge ist aktuell ein deutlicher Rückgang der Ransomware-Angriffe zu verzeichnen. Grund für Entwarnung ist das aber nicht. Denn stattdessen sind noch viel perfidere, schwerer zu entdeckende und noch schwerer zu bereinigende Hacker-Angriffe auf dem Vormarsch. Große Rechenzentren verzeichnen zunehmend Cyber-Attacken, bei denen sich die Angreifer unauffällig in die Systeme zu schleichen versuchen, um dort unentdeckt Daten zu stehlen oder sich dauerhaft Kontrolle über die Systeme verschaffen.

Mehrstufige Cyberangriffe kombinieren automatisches und manuelles Hacking

Cyberangriffe auf Unternehmen finden dabei häufig in einem mehrstufigen Verfahren statt: Zunächst ermittelt spezielle Software automatisiert Netzwerke, die angreifbar sind, also eine Sicherheitslücke aufweisen. Im nächsten Schritt platzierten Hacker, oft ebenfalls automatisiert, sogenannte Trojaner in angreifbaren Systemen. Diese Bots richten keinen Schaden an, sondern erkunden lediglich so unauffällig wie möglich das Potenzial für einen Angriff. Sie nutzen dafür im Betriebssystem vorhandene Analysewerkzeuge und erfassen beispielsweise die Größe und Beschaffenheit eines Netzwerks und die darüber erreichbaren Systeme.

Solche Bots können sogar wochen- oder monatelang unerkannt bleiben, wenn sie gut getarnt sind und sich unauffällig verhalten, weil sie eben selbst keinen Schadcode beinhalten und daher bei einer Analyse des Codes durch Virenscanner kaum zu erkennen sind.

Identifiziert der Trojaner ein lohnendes Angriffsziel, übernehmen höchst professionelle IT-Spezialisten und führen die eigentlichen Cyberattacke manuell aus. Dabei können sie sich so gut auf die jeweiligen Gegebenheiten einstellen, dass sie ebenfalls möglicherweise lange unerkannt bleiben.

Absoluter Schutz vor solche Angriffen nahezu unmöglich

Zwei wesentliche Probleme solcher Attacken: Ein absoluter Schutz ist nahezu unmöglich, weil sie oft unbekannte Sicherheitslücken von Software nutzen, auf die das Unternehmen keinen Einfluss hat.

Und weil der Angriff zu Beginn so unauffällig ist, wird er oft auch erst recht spät bemerkt. Dadurch stellt sich die Schwierigkeit, dass man zunächst nicht weiß, wie lange der Hacker schon Zugriff auf die Systeme hatte, worauf er bereits Zugriff hatte und seine Spuren gut verwischen konnte und wo er möglicherweise bereits gut getarnte, zusätzliche Hintertüren in die Systeme einbauen konnte. Das zu analysieren, ist ein sehr zeitaufwendiger Prozess und kann auch zu dem Ergebnis führen, dass das System potenziell dauerhaft nicht mehr sicher ist und daher komplett ersetzt werden muss.

Kaum noch relevant: „Denial of Service-Attacken“

Früher häufig auftretende, sogenannte „Denial of Service“-Attacken kommen dagegen nur noch selten vor. Ziel solcher Angriffe ist es, IT-Systeme durch massiven Beschuss mit Anfragen über die Grenzen ihrer Leistungsfähigkeit und damit zum Stillstand zu bringen. Dabei soll entweder Sabotage verübt werden oder Lösegeld erpresst werden, dass dafür gezahlt wird, damit der Angriff aufhört.

2 Kommentare

2 Gedanken zu „AIDA und Costa waren Opfer eines erpresserischen Hackerangriffs mit Ransomware“

  1. Der Bericht von Franz Neumeier vom 27.1.2921 ist nicht richtig !
    Über die Internetseite von Costa Kreuzfahrten sind weiterhin KEINE Buchungen möglich !
    Könnt ihr das bitte korrigieren !

  2. @Klaus: Bitte immer wenig vorsichtig sein mit „nicht richtig“ und Rufzeichen dazu. Im Text steht nichts von Online-Buchungen. Grundsätzlich können Reisen durchaus gebucht werden, aber im Moment halt nur telefonisch bei der Reederei oder über ein Reisebüro.

Schreibe einen Kommentar

Hinweis: Neue Kommentare werden aus technischen Gründen oft erst einige Minuten verzögert angezeigt.
Consent Management Platform von Real Cookie Banner