Die IT-Systeme und Netzwerk-Infrastruktur der PSI wurde nach dem kriminellen Cyberangriff vom 14. Februar 2024 mit dem Zweck eines sicheren und schnellen Wiederanlaufs umfangreich geprüft, gezielt modernisiert und mit zusätzlichen Sicherheitsmerkmalen ausgestattet. Alle Clients, Server und virtuellen Systeme wurden zunächst initial überprüft und anschließend in einem zusätzlichen, mehrstufigen und hoch sensiblen Verfahren auf Befall mit Schadsoftware untersucht. Dabei wurde die PSI von einem zertifizierten und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen externen Dienstleister unterstützt, der über umfangreiche Erfahrungen auf dem Gebiet der Incident Response und IT-Forensik verfügt.
Die zentralen Basisdienste wurden erfolgreich wiederhergestellt und in der neuen, geprüften und für sicher eingestuften Infrastruktur wieder in Betrieb genommen. Derzeit sind wir in allen Geschäftsbereichen damit beschäftigt, die geprüften, für sicher befundenen und mit den zusätzlichen Sicherheitsmerkmalen ausgestatteten Server und Clients in das neu aufgesetzte PSI-Netz einzubinden.
Einige unserer Geschäftsbereiche sind nun wieder in der Lage, unseren Kunden eine Aufnahme des operativen Betriebs anzubieten und stehen dazu bereits in Kontakt mit diesen. Im Zuge dieser Wiederanlaufaktivitäten erhalten unsere Mitarbeiterinnen und Mitarbeiter nun wieder Zugang zum gewohnten Mailsystem. Trotzdem werden wir auch weiterhin über das Interims-Mailsystem für Sie erreichbar sein.
Nach bereits initial durchgeführten Überprüfungen aller Laptops werden diese und sämtliche Rechner der PSI seit Freitag, dem 23. Februar 2024, in einem weiteren, mehrstufigen und hoch sensiblen Verfahren auf Befall mit Schadsoftware untersucht. Dabei werden wir auch weiterhin durch einen zertifizierten und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlenen Dienstleister unterstützt. Der Scan der Laptops und PC-Clients ist inzwischen weitgehend abgeschlossen, sodass wir uns im nächsten Schritt auf die Untersuchung aller weiteren Rechner konzentrieren. Die als sicher eingestuften Laptops und Rechner erhalten nach Einführung einer erweiterten Sicherheitslösung Schritt für Schritt wieder Zugriff auf die wiederhergestellten Teile der Basisinfrastruktur.
Wir arbeiten derzeit mit Hochdruck daran, Teile der PSI-Infrastruktur, die aufgrund spezieller Sicherheitsmaßnahmen nicht direkt von der Schadsoftware betroffen waren, durch unseren Dienstleister für IT-Forensik überprüfen zu lassen und zeitnah wieder für die Kundenbetreuung zur Verfügung zu stellen. Ihr Kundenbetreuer wird Sie aktiv über die weiteren Fortschritte informieren. In weiteren Bereichen arbeiten wir an der gesicherten Inbetriebnahme der Infrastruktur, sodass unsere Mitarbeiter zeitnah wieder Zugriff auf die wichtigsten Basisdienste haben werden. In ersten Bereichen wurde ein eingeschränkter Betrieb bereits wiederaufgenommen, dieser wird Schritt für Schritt erweitert. Damit wollen wir Ihnen als Kunden schnellstmöglich wieder die gewohnten Services zur Verfügung stellen. In der Zwischenzeit sind wir für Sie auch weiterhin über das Interims-Mailsystem erreichbar.
Die forensische Untersuchung dauert aufgrund der Größe der IT-Umgebung und der Anzahl der zu untersuchenden Systeme noch an. Im Vordergrund steht derzeit die Untersuchung und anschließende Freigabe der IT-Systeme, um diese schnellstmöglich wieder nutzen zu können. Parallel werden Informationen bezüglich des initialen Einfallsvektors und der Kompromittierung gesammelt und ausgewertet. Sobald wir neue Erkenntnisse zu dem Vorfall haben, werden wir sie an dieser Stelle informieren.
Der Wiederanlauf der internen IT-Systeme dauert an. Mittlerweile konnte unsere interne IT-Abteilung gemeinsam mit unserem externen IT-Sicherheitsdienstleister Teile der Basisinfrastruktur wiederherstellen. Sobald auch die übrigen Kernsysteme wieder angelaufen sind, werden anhand vorher festgelegter Priorisierung die IT-Systeme wiederhergestellt.
Außerdem werden zeitnah alle Systeme, die nicht offensichtlich von der Schadsoftware betroffen sind, durch unseren Dienstleister für IT-Forensik auf eine Kompromittierung überprüft. Sofern keine Kompromittierung durch die Angreifer festgestellt wird, werden diese Systeme von unserer IT-Abteilung freigegeben und wieder in Betrieb genommen. Wir sind daher zuversichtlich, bald die Systeme bereitstellen zu können, die für unsere Kunden besonders relevant sind.
Neben dem Wiederanlauf unserer eigenen IT-Systeme, steht mittlerweile übergangsweise ein E-Mail-System zur Verfügung. Alle PSI-Mitarbeiter bekommen derzeit ein neues E-Mail-Konto und sind dann wieder schriftlich für unsere Kunden erreichbar.
Wir möchten im Zuge dessen erneut auf die potentielle Bedrohung von Phishing-Mails nach einem Cyberangriff hinweisen. Das gilt auch dann, wenn dabei an vorherige E-Mail-Korrespondenz angeknüpft wird.
Seit Freitag, dem 23.02.2024, werden alle Laptops und Rechner der PSI in einem strukturierten Verfahren auf Befall mit Schadsoftware untersucht. Sobald die Untersuchungen abgeschlossen sind, ist sichergestellt, dass von Dateianhängen in E-Mails unserer Mitarbeitenden kein erhöhtes Risiko mehr ausgeht und diese so sicher sind wie vor dem Vorfall.
Wir werden an dieser Stelle über den weiteren Fortschritt beim Wiederaufbau der IT-Systeme informieren.
PSI Software SE ist Ziel einer Ransomware Attacke geworden. Ransomware-Attacken sind Cyberangriffe, bei denen sich Angreifer unerlaubt Zugriff auf die IT-Infrastruktur verschaffen und anschließend Teile der IT-Systeme und Daten durch eine spezielle Software verschlüsseln. Nach jetzigem Stand sind durch den Angriff unsere internen IT-Systeme betroffen. Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 durch die interne IT-Abteilung festgestellt. Als Reaktion auf den Angriff wurden noch in der Nacht alle Außenverbindungen getrennt und die IT-Systeme heruntergefahren.
Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 festgestellt. Die PSI Software SE hat nach der Entdeckung folgende Maßnahmen ergriffen:
Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung mit großem Aufwand verbunden. Erste Erkenntnisse zum zeitlichen Ablauf liegen vor. Nach bisherigem Stand der forensischen Untersuchung lassen sich Spuren der Angreifer bis zum 09. Februar 2024 zurückverfolgen. Die Schadsoftware wurde zu diesem Zeitpunkt nicht ausgeführt. Die Ausführung der Schadsoftware selbst erfolgte am 14.02.2024 ab 23:16 Uhr CET. Nachdem dies von Mitarbeitern in der IT-Abteilung erkannt wurde, erfolgte in der Nacht die Abschaltung der Systeme. Ein Zugriff auf Kundensysteme wurde bisher weiterhin nicht festgestellt.
Bisher ist noch nicht bekannt, wie die Angreifer in unsere IT-Systeme eindringen konnten. Für die forensische Untersuchung des Angriffs werden wir weiterhin durch einen zertifizierten und vom Bundesamt für Sicherheit in der in der Informationstechnik (BSI) empfohlenen Dienstleister unterstützt, um dabei unter anderem den Einfallsvektor der Angreifer zu ermitteln.
Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung und der Anzahl der zu untersuchenden Systeme mit großem Aufwand verbunden. Wir bitten daher um Verständnis, dass es noch dauern wird, bis belastbare Erkenntnisse, insbesondere zum Einfallsvektor und der initialen Kompromittierung vorliegen.
Bisher kann weder bestätigt noch ausgeschlossen werden, dass bei dem Angriff Daten abgeflossen sind. Zurzeit sind wir jedoch dabei, die Auswirkungen und Risiken eines Datenabflusses für unsere Kunden zu überprüfen.
Zurzeit sind wir dabei, die Basissysteme wiederherzustellen. Sobald die Basisinfrastruktur aufgebaut ist, wird nach und nach der Wiederanlauf der wichtigsten IT-Systeme erfolgen. Parallel arbeiten wir gemeinsam mit dem Dienstleister für IT-Sicherheit daran, für bestimmte Systeme wie das E-Mailsystem Interimslösungen aufzubauen, um möglichst schnell wieder arbeitsfähig zu sein. Ziel ist es, zeitnah unsere Kerndienstleistungen wie Wartungsarbeiten wieder durchführen zu können, um die Einschränkungen für unsere Kunden so gering wie möglich zu halten. Die Erfahrungen aus ähnlichen Vorfällen bei anderen Unternehmen zeigen jedoch, dass es mehrere Wochen dauern kann, bis ein geregelter Betrieb wiederaufgenommen werden kann.
PSI ist von einer Ransomware-Attacke betroffen, welche die interne IT-Infrastruktur des Unternehmens betrifft. In der Nacht zum 15. Februar 2024 wurden ungewöhnliche Aktivitäten in unserem Netzwerk festgestellt. Daraufhin wurden noch in der Nacht sukzessive alle Außenverbindungen und Systeme heruntergefahren. Das Mailsystem der PSI wurde ebenfalls in der Nacht heruntergefahren, so dass seitdem keine Mails von PSI-Systemen verschickt werden. Wir analysieren derzeit den genauen Einfallsvektor der Attacke.
Aktuell gibt es keine Anhaltspunkte dafür, dass PSI-Systeme bei Kunden kompromittiert wurden. Insbesondere auf Remote-Zugänge für die Wartung der Kundensysteme bestand nach jetzigem Kenntnisstand kein Zugriff.
Wir stehen seit dem 16. Februar 2024 im Kontakt mit den zuständigen Behörden sowie ausgewählten, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Fachexperten. Unsere internen Experten arbeiten mit Hochdruck daran, den Umfang und die Auswirkungen des Vorfalls so gering wie möglich zu halten. Die PSI Software SE setzt alles daran, die betroffenen Systeme so schnell wie möglich wieder zur Verfügung zu stellen.
Die PSI Software SE hat am 15. Februar 2024 festgestellt, dass es einen Cyberangriff auf die IT-Systeme der PSI gegeben hat. Die Gesellschaft hat als Reaktion die Systeme proaktiv vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Die IT-Systeme sowie der Umfang der Auswirkungen werden aktuell überprüft. Dabei wird mit höchster Sorgfalt auf die Datenintegrität geachtet. Die PSI Software SE setzt alles daran, dass die betroffenen Systeme so schnell wie möglich wieder zur Verfügung stehen.