Im August 2023 soll die Ransomware-Gruppe Akira die Computersysteme von KNP Logistics, einem historischen britischen Transportunternehmen, das 1865 gegründet wurde, kompromittiert haben. Ein Eindringen wurde durch ein schwaches Passwort ermöglicht, das ein Hacker leicht erraten konnte. Dieses scheinbar harmlose Detail verwandelte sich in ein verhängnisvolles Einfallstor.
Die Folgen waren verheerend: Aktivitäten wurden lahmgelegt, Server verschlüsselt, Operationen eingefroren. Trotz einer sicheren Infrastruktur, die den Branchenstandards entsprach, konnte KNP seine Geschäftstätigkeit nie wieder aufnehmen. Das Unternehmen wurde zunächst unter Zwangsverwaltung gestellt und dann liquidiert. In den Monaten nach dem Angriff wurde ein mehr als hundert Jahre altes Unternehmen aus der britischen Wirtschaftslandschaft gestrichen. Ein industrieller Bankrott, der durch eine einfache Nachlässigkeit bei der Sicherheit verursacht wurde.
Table des matières
ToggleEin jahrhundertealtes Unternehmen mit wenigen Klicks lahmgelegt.
KNP Logistics wurde in der viktorianischen Ära gegründet und verwaltete mit seiner historischen Tochtergesellschaft Knights of Old mehr als 500 LKWs in ganz Großbritannien. Der Konzern führte die Logistik für große Kunden aus der Industrie und dem Einzelhandel durch. Der Angriff, der sich im Juni 2023 ereignete, unterbrach jahrzehntelange kontinuierliche Aktivitäten abrupt.
Laut der Aussage des Geschäftsführers Paul Abbott in einer am 21. Juli 2025 ausgestrahlten BBC Panorama-Dokumentation lag der Ursprung des Eindringens in der Ausnutzung eines kompromittierten Logins, das einem Mitarbeiter gehörte. Das Passwort war unsicher und einfach zu finden und ermöglichte den Hackern den Zugriff auf das System. Nachdem das Konto infiltriert war, weiteten die Angreifer ihren Zugriff seitwärts aus und verschafften sich Zugang zu den Produktionsservern, ohne einen Alarm auszulösen. Diese scheinbar geringfügige Nachlässigkeit entpuppte sich als der fatale Kipppunkt, der den Zusammenbruch des hundertjährigen Unternehmens auslöste.
Die Verschlüsselung der Daten erfolgte innerhalb weniger Stunden. Lokale Backups wurden gezielt angegriffen und dann gelöscht. Ohne logistische und buchhalterische Informationen war KNP nicht in der Lage, seine Verträge zu erfüllen, seine Lieferungen zu sichern und seine Finanzströme zu verwalten. Trotz eines Versuchs, den Betrieb teilweise wieder aufzunehmen, konnte die Struktur dem Schock nicht standhalten: Am 25. September 2023, nach drei Monaten Lähmung und Rettungsversuchen, sah sich der Konzern gezwungen, Konkurs anzumelden.
Die sozialen Auswirkungen waren beträchtlich. Fast 700 Beschäftigte wurden entlassen, Industriepartner standen ohne Logistikdienstleister da und mehrere Kunden mussten ihre Lieferketten notfallmäßig umorganisieren. Ein 158 Jahre altes Unternehmen, das Flaggschiff des britischen Gütertransportsektors, wurde von einer Ransomware hinweggefegt, ohne dass auch nur eine technische Schwachstelle ausgenutzt wurde.
Die Illusion der Sicherheit: Wenn alles an seinem Platz zu sein scheint
Den Informationen der BBC zufolge verfügte KNP Logistics über eine IT-Sicherheitsgrundlage, die den Standards der Branche entsprach: Antivirenprogramme, Firewalls, Backup-Verfahren, Überwachungstools. Das Unternehmen hatte sogar eine Cyber-Versicherung abgeschlossen, die es im Falle eines größeren Vorfalls absichern sollte.
Doch keine dieser Maßnahmen verhinderte die ursprüngliche Kompromittierung. Kein System erkannte den betrügerischen Zugriff. Bei der seitlichen Bewegung der Angreifer durch die Infrastruktur wurde kein Alarm ausgelöst. Und als die Verschlüsselung begann, war es bereits zu spät.
Cybersicherheitsexperten betonten, dass das Fehlen der Multifaktor-Authentifizierung (MFA) wahrscheinlich ein entscheidender Faktor war. Diese Schwachstelle kann es Angreifern ermöglichen, eine einfache Identifikationsschwäche auszunutzen, um in Systeme einzudringen und sich unerkannt darin zu bewegen.
Der KNP-Fall zeigt, wie zerstörerisch sich ein übermäßiges Vertrauen in eine „standardmäßige“ Sicherheit auswirken kann. Selbst gut ausgestattete Unternehmen können bei der Erkennung einer elementaren Kompromittierung versagen, insbesondere wenn diese auf einfachen und lautlosen Techniken beruht.
Die Zahlungsfalle: ein leeres Versprechen.
Sobald die Dateien verschlüsselt waren, wurde ein Lösegeld gefordert. Der Betrag – geschätzt auf mehrere Millionen Pfund Sterling – sollte die Daten mithilfe eines von den Angreifern bereitgestellten Entschlüsselungsgeräts wieder freigeben. In der Praxis gab es jedoch keine Garantie dafür, dass dieses Tool funktionieren würde, und das Unternehmen konnte sich eine solche Summe nicht leisten. Der BBC zufolge ließ sich KNP nicht erpressen, was zum endgültigen Verlust seiner Daten beitrug.
Diese Situation zeigt ein häufiges Dilemma: Selbst wenn ein Unternehmen in Erwägung zieht, für die Wiederherstellung seiner Daten zu zahlen, gibt es keine Garantie dafür, dass der Entschlüsseler ordnungsgemäß funktioniert. Wie unsere Fallstudie über die Ransomware Akira zeigt, sind die von den Angreifern erhaltenen Entschlüsselungsschlüssel manchmal unbrauchbar: fehlerhaft, unvollständig oder absichtlich sabotiert.
Der Fall KNP erinnert daran, dass das Versprechen eines Entschlüsselers nur ein Hebel für psychologischen Druck ist. Angesichts dieser Situation sollten Unternehmen alle verfügbaren Optionen bewerten, einschließlich unabhängiger technischer Expertise, um mögliche Wege zur Wiederherstellung zu identifizieren.
Social Engineering: ein unterschätzter Hebel für Eindringlinge.
Entgegen der landläufigen Meinung benötigen Ransomware-Gruppen nicht immer ausgefeilte Skripte oder ungepatchte Schwachstellen, um ein System zu kompromittieren. Im Fall von KNP Logistics war es die Wiederverwendung eines Passworts – das bereits bei einem früheren Leak kompromittiert worden war -, die es den Angreifern ermöglichte, in das Netzwerk einzudringen. Das Passwort, das aus einer in Dark-Web-Foren kursierenden Datenbank abgerufen wurde, war noch auf einem internen Benutzerkonto aktiv.
Sobald sie sich eingeloggt hatten, nutzten die Cyberkriminellen Social-Engineering-Techniken, um die internen Kontrollen zu umgehen: Eskalation von Privilegien durch Vertrauensbruch, ungeprüfte interne Reset-Anfragen, Beobachtung von Benutzerroutinen. Diese Aktionen, die für herkömmliche Erkennungsvorrichtungen oft unsichtbar sind, stützen sich eher auf menschliche Automatismen als auf Software-Schwachstellen.
Cyberkriminellen geht die Fantasie nie aus, um ihre Ziele zu erreichen. So hat die Interlock-Gruppe kürzlich mit der FileFix-Methode neue Wege beschritten, indem sie die Benutzer mit gefälschten Dateien in vertrauten Umgebungen täuschen wollte. Diese Technik ist ein gutes Beispiel für die zunehmende Bedeutung von Angriffen, die nicht mehr auf technische Schwachstellen, sondern auf vorhersehbare menschliche Verhaltensweisen abzielen.
Das Ausnutzen menschlicher Schwachstellen ist nicht mehr die Ausnahme, sondern wird zur Norm.
Das aufschlussreiche Beispiel von Clorox: Wenn Social Engineering auf den Helpdesk zielt.
Ein aktueller Fall veranschaulicht diese potenzielle Verwundbarkeit zwischen Menschen und organisatorischen Prozessen. Das Unternehmen Clorox verklagte seinen IT-Dienstleister Cognizant und beschuldigte ihn, im August 2023 einen großen Cyberangriff ermöglicht zu haben, bei dem ein Schaden von 380 Millionen US-Dollar entstanden sein soll.
Laut den Behauptungen von Clorox in den veröffentlichten Gerichtsdokumenten hätte ein Cyberkrimineller einfach telefonisch den IT-Helpdesk von Cognizant kontaktiert und sich als Mitarbeiter von Clorox ausgegeben. Und der Helpdesk-Mitarbeiter hätte die Passwörter und die Multi-Faktor-Authentifizierung (MFA) des angeforderten Kontos zurückgesetzt, ohne ein Verfahren zur Identitätsprüfung anzuwenden.
Dieser Fall zeigt, wie die Sicherheitskette, so robust sie technisch auch sein mag, durch ihr schwächstes Glied kompromittiert werden kann: den Menschen und die Prozesse, die seine Handlungen flankieren. Experten empfehlen nun, die Architektur von Sicherheitssystemen so zu überdenken, dass sie automatisch Protokolle zur Identitätsprüfung erzwingen. Dieser systemische Ansatz, anstatt sich nur auf die Schulung der Mitarbeiter zu verlassen, macht es erheblich schwieriger, Angriffe durch Social Engineering erfolgreich durchzuführen.
Schnell reagieren: Jede Stunde zählt!
Wenn ein Ransomware-Angriff entdeckt wird, wird die Zeit zu einem kritischen Faktor. Jede Minute der Untätigkeit kann den Schaden verschlimmern und die Wiederherstellung der Daten komplizierter oder sogar unmöglich machen.
Sofort zu befolgende Schritte:
- Isolieren Sie betroffene Systeme: Trennen Sie kompromittierte Rechner vom Netzwerk, um die Ausbreitung der Malware zu verhindern.
- Beweise sichern: Vermeiden Sie Maßnahmen, die Systemprotokolle oder verschlüsselte Dateien verändern könnten, die für die Analyse nach einem Vorfall unerlässlich sind.
- Kontaktaufnahme mit Datenrettungsexperten: Ziehen Sie Spezialisten hinzu, die schnell reagieren können, um die Situation zu bewerten und Wiederherstellungslösungen anzubieten, ohne den Forderungen der Cyberkriminellen nachzugeben.
Eine effektive Koordination mit Behörden und verschiedenen Anbietern ist ebenfalls ein klarer Vorteil, um das Ausmaß des Angriffs zu bewerten und geeignete Abhilfemaßnahmen umzusetzen.
Sicherheit neu denken: über das Passwort hinaus!
Traditionelle Authentifizierungsmethoden, die nur auf Passwörtern basieren, zeigen angesichts der heutigen Bedrohungen ihre Grenzen auf. Das Zero-Trust-Modell bietet sich als geeignete Antwort an und basiert auf dem Grundsatz „Never trust, always check“. Es bedeutet, dass jeder Zugriffsversuch systematisch überprüft wird, unabhängig davon, von wem die Anfrage stammt.
Darüber hinaus bleibt die 3-2-1-Backup-Strategie eine solide Grundlage: drei Kopien der Daten auf zwei verschiedenen Medientypen, von denen eine außerhalb des Standorts aufbewahrt wird. Um diesen Ansatz zu verstärken, fügt die 3-2-1-1-0-Regel eine unveränderliche oder isolierte Kopie (Air Gap) hinzu und verlangt fehlerfrei verifizierte Backups. Diese Methode bietet eine höhere Ausfallsicherheit gegenüber Ransomware.
Um die Sicherheit zu erhöhen, sollten Unternehmen folgende Maßnahmen in Betracht ziehen:
- Einführung der Multi-Faktor-Authentifizierung (MFA): Fügen Sie eine zusätzliche Sicherheitsebene hinzu, indem Sie mehrere Formen der Verifizierung verlangen.
- Sensibilisierung der Mitarbeiter: Schulung der Mitarbeiter in bewährten Verfahren der Cybersicherheit, um das Risiko von Social Engineering zu verringern.
- Regelmäßige Datens icherung: Die 3-2-1-Backup-Strategie anwenden, bei der drei Kopien der Daten auf zwei verschiedenen Medien aufbewahrt werden, eine davon außerhalb des Standorts.
- Wiederherstellungstests: Regelmäßige Überprüfung der Fähigkeit, Daten aus Backups wiederherzustellen.
- Erstellung eines Plans zur Reaktion auf Vorfälle: Klare Festlegung der Verfahren, die im Falle eines Angriffs zu befolgen sind, einschließlich der zu mobilisierenden internen und externen Kontakte.
Durch eine Kombination aus verstärkter Authentifizierung, kontinuierlicher Sensibilisierung der Mitarbeiter und robusten Sicherungsstrategien können Unternehmen ihre Anfälligkeit für Cyberbedrohungen deutlich reduzieren.
Was uns der KNP-Fall lehrt
Der Fall KNP Logistics wirkt wie ein Alarmsignal. Ein robustes Unternehmen mit einer langen Geschichte hat einen Angriff, der durch ein kompromittiertes Passwort ermöglicht wurde, nicht überlebt. Keine noch so gut ausgestattete Infrastruktur ist unverwundbar, wenn die Schwachstelle in der menschlichen Nutzung liegt.
Ein solcher Vorfall ist mehr als nur ein vorübergehender Betriebsausfall. Er bedroht direkt die Geschäftskontinuität, den Ruf, Arbeitsplätze und Geschäftsbeziehungen. Wenn der Angriff stattgefunden hat, kann noch gehandelt werden, vorausgesetzt, man weiß, an wen man sich wenden kann.
Unsere Rolle besteht genau darin, nach dem Angriff einzugreifen, wenn alles verloren scheint. In Zusammenarbeit mit den IT-Teams analysieren wir die verschlüsselten Systeme, um die technischen Optionen zur Wiederherstellung zu bestimmen.
Sie sind mit einem Ransomware-Angriff konfrontiert?
Unsere Teams können Sie dabei unterstützen, Ihre Daten wiederherzustellen und die Auswirkungen auf Ihr Geschäft zu begrenzen. Kontaktieren Sie uns umgehend.