Ausbreitung und Eintrittsweg - Die IT-forensischen Analysen der Spezialisten von ResponseOne haben ergeben, dass sich die Angreifer aufgrund einer fehlerhaften Netztrennung zwischen verschiedenen Unternehmensstandorten nahezu ungehindert bewegen konnten. Warum die Netztrennung nicht ordnungsgemäß durch den Dienstleister umgesetzt wurde, ist Gegenstand der Ermittlungen. Die Ausbreitung der Angreifer und schlussendlich die Verschlüsselung, ließ sich über mehrere Alt-Standorte bis hin zur arcona- Zentrale in Rostock nachvollziehen. Auch wenn bereits bekannt ist, dass die Angreifer über das VPN zugegriffen haben, wird nach dem genauen Einfallstor weiterhin gesucht.

Datenabfluss festgestellt - Leider konnte ein Datenabfluss am zentralen Standort in Rostock nachgewiesen werden. Die Angreifer haben nur wenige Spuren hinterlassen, zudem erschwert die Verschlüsselung der Systeme die Aufklärung. Aktuell befindet sich die arcona gemeinsam mit dem Datenschutzbeauftragten in der Prüfung, welche Personen und Unternehmen betroffen sein könnten. Selbstverständlich werden alle Betroffenen informiert, sobald die Daten im Detail gesichtet wurden. Für Rückfragen steht die arcona Datenschutzstelle unter datenschutz@arcona.de zur Verfügung.

Angreifergruppe identifiziert - Aus ermittlungstaktischen Gründen, wurde zunächst davon abgesehen, die Angreifergruppe namentlich zu benennen. Da der Angriff nun ein so weitreichendes Ausmaß angenommen hat und etwaigen Erpressungsversuchen keine Grundlage geboten werden sollte, wird nun aktiv der Schritt an die Öffentlichkeit gegangen. Bei der Ransomware handelt es sich um die bekannte Angreifergruppe Akira, welche bereits seit 2023 aktiv ist.

Fortschritte im Notbetrieb und Wiederanlauf - In der letzten Woche konnten weitere relevante Systeme, wie beispielsweise Kassensysteme und Schnittstellen an den betroffenen Standorten, gesichert wieder in Betrieb genommen werden.

Auch andere Betriebe verzeichnen Fortschritte im Notbetrieb. So konnte beispielsweise die Telefonanlage in der Zentrale in Rostock wiederhergestellt werden. Parallel ist mit der Planung des vollständigen Wiederanlaufs begonnen worden. Dabei wurde sich bewusst für eine vollständige Ausrichtung auf moderne Cloud-Technologien entschieden. Auf eine direkte Vernetzung der Standorte untereinander, wird im Zuge des Neuaufbaus verzichtet. Auch wenn bereits zuvor hohe Investitionen in die IT-Sicherheit der Standorte erfolgt sind, wird diese künftig noch widerstandsfähiger sein.

Transparenz und rechtliche Aufarbeitung – Alexander Winter, Geschäftsführer der arcona Hotels & Resorts: „Wir bedauern zutiefst, dass es durch den Angriff und die Fehler eines Dienstleisters zu diesem Vorfall und dem damit verbundenen Datenabfluss gekommen ist.“ Alle Gäste, Partner und Geschäftskunden werden um erhöhte Wachsamkeit gebeten. Sollten Auffälligkeiten bemerkt werden oder Fragen aufkommen, ist eine Kontaktaufnahme unter cyberangriff@arcona.de jederzeit möglich.

Neben der weiteren technischen und forensischen Aufarbeitung wird auch der Ursprung des Fehlers in der Netztrennung intern, wie extern, untersucht und rechtliche Schritte gegen Verantwortliche geprüft.

Über arcona Hotels & Resorts

2008 gegründet, sind die arcona Hotels & Resorts mit Sitz in Rostock auf den Betrieb und die Entwicklung erstklassiger Freizeit- und Ferienhotels spezialisiert. Die derzeit acht arcona Häuser befinden sich in teils denkmalgeschützten Immobilien an namhaften Urlaubsdestinationen wie Rügen, Sylt und Usedom. Zum Portfolio zählen unter anderem das bekannte Hotel Elephant in Weimar, das traditionsreiche Hotel Kaiserhof auf Usedom und der Golfclub Schloss Teschow. Als Lizenznehmer des von Til Schweiger entwickelten Barefoot-Konzepts betreibt arcona außerdem Barefoot Hotels an etablierten Destinationen wie Mallorca. Inhaber und Gesellschafter von arcona sind Alexander Winter und Treugast-Gründer Prof. Stephan Gerhard. Firmensitz ist die denkmalgeschützte Zeeck‘sche Villa in Rostock.