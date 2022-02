Hamburg. Der Cyberangriff auf die Firmengruppe Marquard & Bahl beschäftigt die Hamburger Staatsanwaltschaft. Die Behörde ermittelt wegen Erpressung, sagte eine Sprecherin der Staatsanwaltschaft am Mittwoch.

Ausgangspunkt sei eine Strafanzeige des geschädigten Unternehmens, das Opfer einer Attacke mit Erpressungs-Software geworden ist. Betroffen von dem Cyberangriff waren IT-Systeme des Mineralölhändlers Mabanaft und des Tanklogistikers Oiltanking, der Tankstellen mittelständischer Unternehmen, aber auch Konzerne wie Shell mit Rohstoffen beliefert. Beide Unternehmen gehören zu der Hamburger Gruppe Marquard & Bahl .

In einer Mitteilung an Geschäftspartner hatte Oiltanking am Wochenende geschrieben, dass alle Be- und Entladesysteme der Firma betroffen seien, die so keine Tankwagen beladen könnten, um Kunden zu versorgen. Nach Branchenangaben besteht jedoch kein Risiko eines Ausfalls der Tankversorgung in Deutschland. Das liege auch daran, dass auf dem Markt 26 Unternehmen aktiv seien. Nach Einschätzung von IT-Experten dauert es meist mehrere Tage, unter Umständen auch Wochen, bis alles wieder wie vorher läuft.

Thomas Uhlemann, Experte des IT-Sicherheitsunternehmens Eset, sagte, erneut sei ein Unternehmen der Lieferkette erfolgreich angegriffen worden. "Dass dabei Schadcode zum Einsatz kam, der bereits seit November bekannt ist, verdeutlicht, wie viel in Sachen IT-Security noch aufzuholen ist." Er gehe davon aus, dass der Angriff nicht erst in diesem Jahr erfolgte, sondern der Zugriff der Cyberkriminellen auf die Systeme schon länger möglich gewesen sei. "Vor einer Verschlüsselung und Lösegeldforderung werden in der Regel die Netzwerke eingehend von innen und außen studiert."

Rat: Nicht auf die Forderung der Erpresser eingehen

Die verwendete Erpressersoftware "Black Cat" und die dahinterstehende Hackergruppe ALPHV seien bis Ende 2021 unbekannt gewesen. "Unserer Einschätzung nach baut die Gruppe derzeit ein Franchise-Modell auf", sagte Uhlemann. Hierbei würden gezielt Mitgliedern anderer Gruppen wie REvil, Blackmatter oder Darkside abgeworben.

Der Experte warnte die Opfer von Ransomware, auf die Forderungen der Erpresser einzugehen. Die Zahlung von Lösegeldern könne zukünftig ein nicht mehr versicherbares Risiko darstellen. Das habe einerseits mit der Höhe der Forderungen, aber auch mit den aktuellen US-Sanktionsregelungen zu tun. "Ransomware-Lösegeldzahlungen in Ländern, die auf den offiziellen US-Sanktionslisten stehen, werden demnach unter Strafe gestellt. Unternehmen, die der Erpressung nachgeben, riskieren einen Ritt auf der Rasierklinge."

