Cyberangriff auf Mediamarktsaturn
Die Krisenkommunikation der Anderen
Verhandelt der Elektronikhändler mit der Cyberbande Hive? Um 240 Millionen oder 50 Millionen, um verschlüsselte Kassensysteme und Daten wieder frei zu bekommen? Drohen sensible Kundendaten veröffentlicht zu werden? Die Krisenkommunikation über den „Super-GAU“ hat Mediamarktsaturn Twitter überlassen.
Auch am Tag 2 nach dem Cyberangriff findet sich nicht einmal eine kurze Pressemitteilung auf der Webseite von Mediamarktaturn oder der Muttergesellschaft Ceconomy. Nur Plakate in einigen Filialen informieren Kunden, dass aufgrund einer „technischen Störung“ Retouren, Gutschriften, Reparaturen oder Finanzierung nicht möglich seien, wie auf dem Plakat der Filiale Leipzig-Paunsdorf zu lesen ist, das Twitter-Nutzer „HABY“ postet - mit dem Zusatz „ihr seid der größte Saftladen“.
Auch aufladbare Karten funktionierten nicht. Medien berichten davon, dass hinter dem vermuteten Ransomware-Angriff die Hackergruppe Hive stecke. Screenshots auf Twitter werden verbreitet, auf denen eine Anweisung zu lesen ist, wie man vorgehen solle, um Datenverluste zu vermeiden. Kontaktdaten der Cyberbande sind dort zu finden: „Please contact our sales department“ steht da zu lesen. Ob die Bilder echt sind, kann man nicht verifizieren.
Twitter statt Pressestelle
Unter Berufung auf eine Quelle, die sich wiederum auf eine Quelle beruft und so weiter, soll die ursprüngliche Lösegeldforderung von 240 Millionen Euro recht schnell auf 50 Millionen reduziert worden sein. Von wem? Freiwillig von den Cyberkriminellen oder nach ersten Verhandlungen mit dem Management? Sind alle 3.100 Server und Kassensysteme von Mediamarktsaturn betroffen und Anweisungen an die Filialen geschickt worden sein, die Kassen vom Netz zu trennen, vorerst nicht anzuschließen und Kunden gegenüber nicht das Wort Hackerangriff in den Mund zu nehmen? Der Verkauf von Bestandsware in den Filialen soll möglich sein. Gilt das auch für Abholungen online bestellter Waren? Und fast wichtiger: Wurden auch Kundendaten mit sensiblen Zahlungsinformationen gestohlen? Diese öffentlich zu machen, sind übliche Drohgebärden Krimineller, um die Lösegeldzahlung zu beschleunigen.
Fragen über Fragen, die aktuell auf Twitter die Runde machen. Dazu eben viele Bilder und besagte Screenshots der Erpressermails.
Die Pressestellen schweigen, bestätigen nur, dass es sich um einen Cyberangriff handele und man die zuständige Behörde informiert habe. Im Hintergrund arbeiten IT-Security-Experten, um sich ein Bild vom Ausmaß des Schadens zu machen. Und dann der Satz, mit dem dpa in der gestrigen Meldung einen Sprecher der Mediamarktsaturn Retail Group in Ingolstadt zitiert: „Für die Kunden bestehe derzeit kein Handlungsbedarf.“ Was soll das genau heißen? Wie sollen Kunden diesen Nullsatz verstehen, wenn sie Gutscheine in einer Filiale einlösen wollen aber nicht können? Müssen Sie womöglich ihre Kreditkarte sperren, die sie online im Shop bei Mediamarkt oder Saturn hinterlegt haben?
Vernetzte Kassen besonders bedroht
Der Cyberangriff trifft vor allem die Kommunikationsabteilung bei MediaMarktSaturn unvorbereitet, wie sie wohl viele Filialketten und andere Unternehmen treffen würde. Dabei sind vernetzte Kassensysteme ein Hauptangriffsziel cyberkrimineller Banden. Sie treffen Retailer dort, wo es besonders weh tut, wenn der Umsatz ausbleibt oder sonstige Dienste nicht funktionieren.
Dabei hätte man in Ingolstadt gewarnt sein können. Im Sommer passierte ein ähnlicher Angriff auf den RMM-Hersteller Kaseya, über dessen Plattform IT-Dienstleister auch Kassensysteme von Einzelhandelsketten betreuen, die nach einer Ransomware-Attacke zeitweise ausgefallen waren. Keine IT-Security kann Systeme zu 100 Prozent vor kriminellen Angriffen schützen. Man sollte wenigstens im Falle eines Falles Herr über die Krisenkommunikation bleiben, wie es Kaseya-Chef Fred Voccula gelang. In der Krise abtauchen und schweigen oder gar verschweigen, verunsichert Kunden erst recht und potenziert Schaden.
Lesen Sie mehr zum Thema
