Cyberangriff auf Continental

Stand: 12. Dezember 2022

Continental wurde zum Ziel von Cyberkriminellen. Das Unternehmen hat den Angriff bereits Anfang August abgewendet und die Integrität seiner IT-Systeme wiederhergestellt. Die Geschäftsaktivitäten von Continental wurden zu keinem Zeitpunkt beeinträchtigt. 

Die Untersuchung des Vorfalls hat in der Zwischenzeit ergeben, dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten.

Die mit Unterstützung externer Experten für Cybersicherheit durchgeführte Untersuchung sowie die Datenanalyse dauert derzeit noch an und erfolgt mit höchster Priorität.

Die wichtigsten Fragen rund um den Cyberangriff werden auf dieser Seite bei Bedarf aktualisiert.

Q&A

Ab wann hatten Angreifer Zugriff auf Teile der Continental-Systeme und wann hat das Unternehmen dies festgestellt? Welche Schritte wurden daraufhin eingeleitet und wie ist der aktuelle Stand?
  • 4. August 2022: Continental stellt Auffälligkeiten im IT-System fest. Mit Hilfe von Cybersecurity-Experten wurde anschließend eine Schutzsoftware eingesetzt.
  • Seit 5. August 2022 wurden keine Aktivitäten der Angreifer mehr im Continental-System festgestellt. 
  • Die eingeleitete Untersuchung des Vorfalls zeigt: der erste Zugang der Angreifer zu Continental-Systemen erfolgte am 1. Juli 2022.
  • Es kommt zu keiner Verschlüsselung der Continental-Systeme. Die Geschäftsaktivitäten von Continental wurden zu keinem Zeitpunkt beeinträchtigt.
  • Mit der Untersuchung des Vorgangs beginnt Continental umgehend. Das Unternehmen arbeitet hierbei auch mit externen Experten zusammen.
  • Der Angreifer nimmt Mitte September Kontakt zu Continental auf. Continental bricht den Kontakt mit den Angreifern im weiteren Verlauf ab.
  • Der Angreifer bietet am 9. November 2022 im Darknet die Löschung oder den Verkauf der Daten für 50 Mio. US-Dollar an. Diese wurde am 29. November 2022 auf 40 Mio. US-Dollar reduziert.
  • Darüber hinaus veröffentlicht der Angreifer am 10. November 2022 eine Liste der Daten, die nach seiner Aussage in seinem Besitz sind. Es werden keine detaillierten Datei-Inhalte veröffentlicht.
  • Continental geht aktuell von einem Datenabfluss in einem Umfang von mehr als 40 TB aus. Zum aktuellen Zeitpunkt wurden noch keine Datei-Inhalte veröffentlicht.
  • Continental hat aktuell keine Hinweise darauf, dass Daten manipuliert oder Produkte kompromittiert wurden.
  • Zur technologieunterstützten Datenanalyse arbeitet Continental mit einer renommierten Wirtschaftsprüfungsgesellschaft zusammen.
Geht Continental auf die Lösegeldforderung ein? Steht das Unternehmen mit der Hackergruppe in Verhandlungen zur Höhe des Lösegelds?
  • Continental lässt sich nicht auf Lösegeldzahlungen ein. Durch die Zahlung von Lösegeld würde man nur dazu beitragen, dass auch weiterhin Angriffe auf die Sicherheit von kritischer Infrastruktur wie Energieversorgung und Krankenhäuser, Bildungseinrichtungen und die Wirtschaft finanziert werden.
  • Mit dieser Haltung folgt das Unternehmen zudem bestehenden Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik, des Bundeskriminalamts und der Bundesregierung.
Warum hat Continental die Angreifer nicht direkt entdeckt?
  • Noch dauert die forensische Analyse an, die auch Aufschluss darüber geben sollte, auf welchem Wege der Angriff erfolgt ist. Fakt ist, dass es den Angreifern gelungen ist, vier Wochen lang unerkannt zu bleiben.
  • Dies ist nicht ungewöhnlich, da nach Erfahrungswerten Ransomware-Angriffe im Schnitt über mehrere Monate unerkannt bleiben. Dies liegt unter anderem daran, dass es gerade in großen Unternehmen erheblichen Datenaustausch gibt, und ein Datentransfer von rund 40 TB wie im vorliegenden Fall nicht sofort ins Gewicht fällt.
  • Derzeit fokussiert Continental insbesondere auf die Analyse der Dateiliste, um ein besseres Verständnis von den abgeflossenen Daten zu haben.
Warum dauert die Datenanalyse noch an?
  •  Continental geht aktuell von einem Datenabfluss in einem Umfang von mehr als 40 TB aus.
  • Bei der Prüfung der Daten sind umfängliche rechtliche Rahmenbedingungen zu beachten, bespielweise in dem Bereich Datenschutz u.a.
  • Im Rahmen der Analyse werden die Daten sorgfältig auf Kritikalität geprüft und bewertet.
  • Aufgrund der potenziellen Datenmenge (mehr als 55 Mio. Dateieinträge) wird die Datenanalyse vermutlich noch mehrere Wochen dauern.
Welchem Stand entsprechen die Cybersecurity-Systeme von Continental?
  • Das Unternehmen überprüft regelmäßig die Robustheit seiner Abwehrsysteme und verbessert ihre Schutzwirkung. Cyberkriminelle entwickeln jedoch immer ausgefeiltere Angriffsmethoden. Cyberabwehr kommt damit einem dauerhaften Wettlauf gleich.   
  • Im Rahmen der forensischen Analyse wird noch festgestellt, auf welchem Weg der Angriff erfolgt ist; dabei wird auch überprüft, wie die Sicherheitssysteme funktioniert haben.
Wie kam der Angreifer in das Continental-System?
  • Die Untersuchung des Cyberangriffs dauert noch an, somit auch die Untersuchung darüber, wo die Angreifer ansetzen konnten. Erste Erkenntnisse legen nahe, dass sich die Angreifer Zugang zu den Continental-Systemen mittels einer getarnten Schadsoftware verschafft haben, die durch einen Beschäftigten ausgeführt wurde.
Welche Folgen hat der Datenabfluss für die Beschäftigten von Continental sowie andere Bezugsgruppen des Unternehmens?
  • Continental ist in ständigem Austausch mit nationalen und internationalen Sicherheits- und Datenschutzbehörden, mit den Arbeitnehmervertretern sowie anderen Bezugsgruppen des Unternehmens.
  • Das Unternehmen untersucht und bewertet, in welchem Ausmaß Daten betroffen sind. Dazu stehen wir mit allen Beteiligten auf verschiedenen Ebenen (z.B. Fachebene, IT, Datenschutz) in einem kontinuierlichen Austausch. Als Arbeitgeber tut Continental zudem alles, um die Daten hinsichtlich einer möglichen Betroffenheit von sensiblen personenbezogenen Daten zu analysieren und zu bewerten.
  • Continental ist davon überzeugt, dass sich nur gemeinsam eine solche Bedrohung durch Kriminelle erfolgreich bekämpfen lässt. Entsprechend groß ist das Interesse des Unternehmens, im Schulterschluss vorzugehen und durch einen reibungslosen Informationsaustausch abgestimmte Schritte und Maßnahmen einzuleiten.
  • Da die Analyse der abgeflossenen Daten noch nicht abgeschlossen ist, kann Continental derzeit noch keine näheren Angaben dazu machen, welche Folgen sich für potenziell betroffene Beschäftigte und andere Bezugsgruppen des Unternehmens ergeben.
Welche wirtschaftlichen Folgen könnten durch den Cyberangriff auf Continental zukommen?
  • Zu möglichen Folgen sind derzeit keine näheren Angaben möglich.