Kaseya-Angriff: Lehren aus dem größten Ransomware-Vorfall 2021

1 Min. Lesezeit

Der Ransomware-Angriff auf Kaseya im Juli 2021 traf über 1.500 Unternehmen weltweit – über eine einzige Software-Schwachstelle. Der Vorfall zeigt, wie verwundbar globale Lieferketten sind und warum Supply-Chain-Security zur Chefsache werden muss.

Das Wichtigste in Kürze

• Supply-Chain-Angriff: REvil nutzte eine Zero-Day-Lücke in Kaseya VSA, um über MSPs 1.500+ Endkunden zu infizieren.
• 70 Mio. USD Lösegeld: Die höchste jemals geforderte Summe für einen einzelnen Ransomware-Angriff.
• Kaskadeneffekt: Ein kompromittierter Software-Anbieter → hunderte Managed Service Provider → tausende Endkunden.
• Patch lag bereit: Kaseya arbeitete bereits an einem Fix, als REvil zuschlug.
• Schlüssel kam spät: Kaseya erhielt den Entschlüsselungsschlüssel erst drei Wochen nach dem Angriff.

Anatomie des Angriffs

Am 2. Juli 2021 – pünktlich zum US-amerikanischen Unabhängigkeitstag-Wochenende – schlug die REvil-Gruppe zu. Die Angreifer nutzten eine Zero-Day-Schwachstelle in Kaseya VSA, einer Remote-Management-Software, die vor allem von Managed Service Providern (MSPs) genutzt wird. Über die kompromittierten MSP-Instanzen wurde Ransomware automatisch auf die Systeme der Endkunden verteilt.

Die Wahl des Zeitpunkts war kein Zufall: An Feiertagen sind IT-Teams unterbesetzt, die Reaktionszeit verlängert sich. Innerhalb weniger Stunden waren Unternehmen in 17 Ländern betroffen, darunter die schwedische Supermarktkette Coop, die 800 Filialen schließen musste.

Warum Supply-Chain-Angriffe so effektiv sind

Der Kaseya-Vorfall illustriert das Multiplikator-Prinzip von Supply-Chain-Angriffen. Statt tausende Unternehmen einzeln anzugreifen, genügt ein einziger Eintrittspunkt in der Lieferkette. Die vertrauensvolle Beziehung zwischen Software-Anbieter und Kunde wird zur Waffe: Updates und Remote-Zugriffe werden nicht hinterfragt, da sie zum normalen Betrieb gehören.

Nach SolarWinds Ende 2020 war Kaseya der zweite massive Supply-Chain-Angriff innerhalb weniger Monate. Das Muster wird sich fortsetzen – Angreifer haben erkannt, dass der Hebel über Zulieferer deutlich größer ist als der direkte Angriff.

Lehren für Unternehmen

Unternehmen müssen ihre Abhängigkeiten von Drittanbietern systematisch bewerten. Ein Software Bill of Materials (SBOM) für alle eingesetzten Tools, Zero-Trust-Prinzipien auch für vertrauenswürdige Anbieter, Netzwerksegmentierung zur Schadensbegrenzung und getestete Incident-Response-Pläne mit definierten Eskalationswegen sind die Mindestanforderungen. Der Kaseya-Fall zeigt auch: Offline-Backups sind der letzte Rettungsanker.

Key Facts auf einen Blick

Angriffsdatum: 2. Juli 2021 (US-Feiertags-Wochenende)

Angreifer: REvil (russische Ransomware-Gruppe)

Betroffene: 1.500+ Unternehmen in 17 Ländern

Lösegeldforderung: 70 Millionen USD (höchste je geforderte Summe)

Angriffsvektor: Zero-Day in Kaseya VSA (CVE-2021-30116)

Quelle: CISA Advisory, Kaseya Incident Report, Juli 2021

Fakt: 77 Prozent der Ransomware-Opfer, die Lösegeld zahlten, wurden laut Cybereason erneut angegriffen.

Fakt: Laut Allianz Risk Barometer 2025 sind Cyberangriffe das größte Geschäftsrisiko weltweit.

Häufige Fragen

Was genau ist ein Supply-Chain-Angriff?

Bei einem Supply-Chain-Angriff kompromittieren Angreifer nicht das eigentliche Ziel direkt, sondern einen Zulieferer oder Software-Anbieter in der Lieferkette. Über die vertrauenswürdige Verbindung (z.B. Software-Updates) wird dann Schadsoftware an alle Kunden verteilt. Der Kaseya-Fall betraf über 1.500 Unternehmen über einen einzigen Eintrittspunkt.

Warum greifen Hacker an Feiertagen an?

An Feiertagen und Wochenenden sind IT-Teams unterbesetzt, Monitoring wird seltener geprüft und Reaktionszeiten sind länger. REvil wählte bewusst das US-Unabhängigkeitstag-Wochenende. Das FBI und CISA warnen regelmäßig vor erhöhter Angriffsgefahr an Feiertagen.

Wie kann man sich gegen Supply-Chain-Angriffe schützen?

Vollständiger Schutz ist schwierig, aber Unternehmen können das Risiko reduzieren durch Netzwerksegmentierung, Zero-Trust-Architektur auch für vertrauenswürdige Anbieter, regelmäßige Sicherheitsaudits bei Zulieferern, Software Bill of Materials (SBOM) und Offline-Backups als letzte Verteidigungslinie.

Was ist aus REvil geworden?

Die REvil-Gruppe verschwand im Juli 2021 kurzzeitig vom Radar, tauchte im September wieder auf und wurde schließlich im Januar 2022 durch den russischen FSB zerschlagen – auf Druck der USA. Mehrere Mitglieder wurden verhaftet. Die Infrastruktur wurde allerdings von Nachfolgegruppen übernommen.

Was ist ein Software Bill of Materials (SBOM)?

Ein SBOM ist ein vollständiges Verzeichnis aller Software-Komponenten, Bibliotheken und Abhängigkeiten in einem Produkt. Es ermöglicht Unternehmen, bei Bekanntwerden einer Schwachstelle sofort zu prüfen, ob sie betroffen sind. Nach dem Kaseya-Vorfall und der Log4j-Krise fordern Regulierer zunehmend SBOMs.

Weiterführende Lektüre im Netzwerk

Supply-Chain-Risiken in der Cloud-Welt auf cloudmagazin: cloudmagazin.com

IT-Sicherheitsstrategien für den Mittelstand auf mybusinessfuture: mybusinessfuture.com

Wie CIOs Lieferkettenrisiken managen, auf Digital Chiefs: digital-chiefs.de

Verwandte Artikel

• KI-gestütztes SOC: Wie automatisierte Security Operations den Fachkräftemangel lösen
• ChatGPT und Cybersecurity: Warum KI Angriff und Verteidigung verändert
• NIS2-Richtlinie verabschiedet: Was jetzt auf Unternehmen zukommt

Mehr aus dem MBF Media Netzwerk

cloudmagazin | MyBusinessFuture | Digital Chiefs

Quelle Titelbild: Pexels / Brett Sayles

Hier schreibt Klaus Hauptfleisch für Sie

Mehr Artikel vom Autor Klaus Hauptfleisch