Cyberangriff auf Continental
Stand: 10. Februar 2023
Continental wurde zum Ziel von Cyberkriminellen. Das Unternehmen hat den Angriff bereits Anfang August abgewendet und die Integrität seiner IT-Systeme wiederhergestellt. Die Geschäftsaktivitäten von Continental wurden zu keinem Zeitpunkt beeinträchtigt.
Die Untersuchung des Vorfalls hat in der Zwischenzeit ergeben, dass die Angreifer trotz etablierter Sicherheitsvorkehrungen auch einen Teilbestand an Daten aus betroffenen IT-Systemen entwenden konnten.
Die mit Unterstützung externer Experten für Cybersicherheit durchgeführte Untersuchung sowie die Datenanalyse dauert derzeit noch an und erfolgt mit höchster Priorität.
Die wichtigsten Fragen rund um den Cyberangriff werden auf dieser Seite bei Bedarf aktualisiert.
Q&A
Ab wann hatten die Angreifer Zugriff auf Teile der Continental-Systeme und wann hat das Unternehmen dies festgestellt? Welche Schritte wurden daraufhin eingeleitet und wie ist der aktuelle Stand?
- 4. August 2022: Continental stellt Auffälligkeiten im IT-System fest. Mit Hilfe von Cybersecurity-Experten wurde anschließend eine Schutzsoftware eingesetzt.
- Seit 5. August 2022 wurden keine Aktivitäten der Angreifer mehr im Continental-System festgestellt. Continental hat am 5. August 2022 die Ermittlungsbehörden über den aktuellen Sachstand informiert.
- Die eingeleitete Untersuchung des Vorfalls zeigte, dass der erste Zugang der Angreifer zu Continental-Systemen am 1. Juli 2022 erfolgte.
- Es kam zu keiner Verschlüsselung der Continental-Systeme. Die Geschäftsaktivitäten von Continental wurden zu keinem Zeitpunkt beeinträchtigt.
- Continental leitete sofort die Untersuchung des Vorfalls ein. Das Unternehmen arbeitet hierbei auch mit externen Experten zusammen.
- Die Hackergruppe Lockbit nahm Mitte September Kontakt zu Continental auf. Continental brach den Kontakt mit den Angreifern im weiteren Verlauf ab.
- Die Hackergruppe Lockbit bot am 9. November 2022 im Darknet die Löschung oder den Verkauf der Daten für 50 Mio. US-Dollar an. Diese Summe wurde am 29. November 2022 auf 40 Mio. US-Dollar reduziert.
- Darüber hinaus veröffentlichte die Hackergruppe Lockbit am 10. November 2022 eine Liste der Daten, die nach ihrer Aussage in ihrem Besitz sind. Es wurden keine detaillierten Datei-Inhalte veröffentlicht.
- Continental geht von einem Datenabfluss in einem Umfang von mehr als 40 TB aus. Bislang wurden noch keine Datei-Inhalte veröffentlicht.
- Continental hat aktuell keine Hinweise darauf, dass Daten manipuliert oder Produkte kompromittiert wurden.
- Zur technologieunterstützten Datenanalyse arbeitet Continental mit den Forensikern einer renommierten Wirtschaftsprüfungsgesellschaft zusammen.
Geht Continental auf Lösegeldforderungen ein? Steht das Unternehmen mit den Hackergruppen in Verhandlung zur Höhe des Lösegeldes?
- Continental hat sich nicht auf Lösegeldzahlungen eingelassen. Durch die Zahlung von Lösegeld würde man nur dazu beitragen, dass auch weiterhin Angriffe auf die Sicherheit von kritischer Infrastruktur wie Energieversorgung und Krankenhäuser, Bildungseinrichtungen und die Wirtschaft finanziert werden.
- Mit dieser Haltung folgt das Unternehmen zudem bestehenden Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik, des Bundeskriminalamts und der Bundesregierung.
- Darüber hinaus wünschen wir uns einen klaren rechtlichen Rahmen für den Umgang mit Cyberangriffen und Lösegeldforderungen. Organisierte Kriminalität muss mit allen bestehenden Mitteln und Gesetzen konsequent bekämpft werden. Dazu werden wir auch den Austausch mit der Politik suchen.
Warum hat Continental die Angreifer nicht direkt entdeckt?
- Nach aktuellem Kenntnisstand ist es den Angreifern gelungen, ca. vier Wochen lang unerkannt zu bleiben.
- Dies ist nicht ungewöhnlich, da nach Erfahrungswerten Ransomware-Angriffe im Schnitt über mehrere Monate unerkannt bleiben. Dies liegt unter anderem daran, dass es gerade in großen Unternehmen erheblichen Datenaustausch gibt, und ein Datentransfer von rund 40 TB wie im vorliegenden Fall durch die hohe tägliche Datenmenge nicht sofort auffällt.
Warum dauert die Datenanalyse noch an?
- Continental geht aktuell von einem Datenabfluss in einem Umfang von mehr als 40 TB aus.
- Der Analyse liegt eine Kritikalitätsbewertung zugrunde, auf deren Grundlage dann zum Teil in einem nächsten Schritt ausgewählte Dateiinhalte überprüft werden.
- Bei der Durchsuchung des Index-Files und den fallweisen stattfindenden Überprüfungen der Dateien sind umfassende rechtliche Rahmenbedingungen zu beachten.
- Aufgrund der großen Datenmenge von 40 TB wird diese Analyse aber noch einige Zeit in Anspruch nehmen.
Wie informiert Continental die Beschäftigten?
- Continental informiert ihre Beschäftigten fortlaufend. Zu diesem Zweck gibt es u.a. im Intranet des Unternehmens eine eigene Informationsseite. Über einen Nachrichtenticker erhalten sie regelmäßig Updates.
- Inwiefern Daten von Beschäftigten betroffen sind, ist Bestandteil einer umfangreichen Datenanalyse. Betroffene werden im weiteren Verfahren schriftlich und gemäß DSGVO-Vorgaben informiert. Zudem erfolgen an betroffenen Standorten sogenannte Townhall-Veranstaltungen, bei denen die Beschäftigten persönlich informiert werden.
Welchem Stand entsprechen die Cybersecurity-Systeme von Continental?
- Das Unternehmen überprüft regelmäßig die Robustheit seiner Abwehrsysteme und verbessert ihre Schutzwirkung. Cyberkriminelle entwickeln jedoch immer ausgefeiltere Angriffsmethoden. Cyberabwehr kommt damit einem dauerhaften Wettlauf gleich.
Wie kam der Angreifer in das Continental-System?
- Die Untersuchung des Cyberangriffs dauert noch an, somit auch die Untersuchung darüber, wo die Angreifer ansetzen konnten. Erste Erkenntnisse legen nahe, dass sich die Angreifer Zugang zu den Continental-Systemen mittels einer getarnten Schadsoftware verschafft haben, die durch einen Beschäftigten unbeabsichtigt ausgeführt wurde.
Welche Folgen hat der Datenabfluss für die Beschäftigten von Continental sowie andere Bezugsgruppen des Unternehmens?
- Continental ist in ständigem Austausch mit nationalen und internationalen Sicherheits- und Datenschutzbehörden, mit den Arbeitnehmervertretern sowie anderen Bezugsgruppen des Unternehmens.
- Das Unternehmen untersucht und bewertet, in welchem Ausmaß Daten betroffen sind. Dazu stehen wir mit allen Beteiligten auf verschiedenen Ebenen (z.B. Fachebene, IT, Datenschutz) in einem kontinuierlichen Austausch. Continental analysiert die abgeflossenen Daten in Bezug auf sensible personenbezogene Inhalte.
- Continental ist davon überzeugt, dass sich nur gemeinsam eine solche Bedrohung durch Kriminelle erfolgreich bekämpfen lässt. Entsprechend groß ist das Interesse des Unternehmens, im Schulterschluss vorzugehen und durch einen reibungslosen Informationsaustausch abgestimmte Schritte und Maßnahmen einzuleiten.
- Da die Analyse der abgeflossenen Daten noch nicht abgeschlossen ist, kann Continental derzeit noch keine näheren Angaben dazu machen, welche Folgen sich für potenziell betroffene Beschäftigte und andere Bezugsgruppen des Unternehmens ergeben.
Welche wirtschaftlichen Folgen könnten durch den Cyberangriff auf Continental zukommen?
- Zu möglichen Folgen sind derzeit keine näheren Angaben möglich.
