Garmin under Attack: Alles offline wegen Ransomware?
Garmins Connect ist seit Donnerstag offline. Die App wirft einen Fehler von wegen Wartungsarbeiten aus. Das ist eine stark geschönte Version dessen, was tatsächlich vorgehen soll: Garmin soll Opfer eines Cyberangriffs sein.
Die Garmin Connect App meldet seit vergangenem Donnerstag, dass die Server «down for maintenance» sind. Workouts werden nicht oder nur in unregelmässigen Abständen von der Uhr in die App synchronisiert, Garmins B2B-Flugnavigationssysteme seien mittlerweile wieder funktional, Navigationsgeräte scheinen am Montagmorgen aber problemlos zu laufen. Was so aussieht wie eine standardmässige Wartung der Server, soll ein Cyberangriff sein – wenn den sozialen Medien von Insidern geglaubt werden kann.
Genau hier liegt das Problem: Garmin hat den Fehler gemacht, den viele Unternehmen machen. Sie haben sehr schlecht kommuniziert. Die Öffentlichkeit weiss aus offiziellen Quellen auch nach vier Tagen nicht, weshalb die Server offline sind. Erst am Sonntag hat Garmin ein FAQ zum Thema veröffentlicht. Die Aussagen:
- Daten bleiben auf den Watches und Trackern gespeichert
- Das Notrufsystem Garmin inReach SOS ist vom Angriff nicht betroffen
- Garmin arbeitet an der Wiederherstellung des Systems. Der Status des Systems kann auf einer Website abgerufen werden
- Persönliche Daten seien nicht betroffen
Garmin versucht nach wie vor, das Gesicht zu wahren. Das ist die falsche Reaktion. Selbst in einem Tweet zum Thema sagt Garmin nicht, was vor sich geht, verweist auf das FAQ und belässt es dabei.
Der Angriff im vermuteten Detail
Was genau im Hause Garmin los ist, ist nicht bekannt. Ausser «Maintenance». Online-Tech-Magazin ZDNet berichtet von Garmin-Mitarbeitenden, die auf Social Media von einem Ransomware-Angriff gesprochen haben. Von einer Software namens WastedLocker, die von einer Gruppe namens Evil Corp betrieben wird, ist die Rede. Sowohl Cyberangriff wie auch WastedLocker sind von offizieller Seite her unbestätigt. WastedLocker ist Ransomware, verschlüsselt Daten auf dem System und entschlüsselt sie erst nach Bezahlung eines Lösegelds.
Die taiwanesische Tech Site ITHome hat ein internes Memo geleakt, in dem Garmin die Produktionslinien für zwei Tage stillgelegt hat.
Der Angriff gibt Einblick
Seit Donnerstag ist es nicht möglich, Workouts von der Uhr auf ein Smartphone zu übertragen. Das zeigt, dass Garmin Smartwatches und Fitness Tracker ohne Verbindungen zum Server nicht funktionieren. Das wiederum bedeutet, dass Garmin Connect nur Daten eines Web Ends ausliest und diese darstellt.
Ferner ist die App im Wesentlichen ein Mittelmann zwischen Uhr und Web End, interpretiert Daten nicht selbst. Sie sagt lediglich der Uhr, dass die Daten von Uhr via Phone ins Netz gespielt werden sollen. Damit ist Garmins Serverinfrastruktur weit mehr als nur ein Datenspeicher. Die Cloud rechnet mit und interpretiert die Daten, die deine Tracker aufzeichnen. Das, obwohl ein Smartphone mehr als fähig wäre, das zu tun. Andererseits würde die ohnehin mit 189.5 MB schon ziemlich grosse Garmin Connect App so wesentlich grösser und komplexer werden.
Ferner kann aus der Antwort Garmins, soll sie denn geglaubt werden, abgelesen werden, dass die Workouts, die du aktuell trackst, auf deinem Tracker gespeichert werden. Rohdaten sind offensichtlich nicht gross genug, um den Datenspeicher eines Trackers zu füllen. Zumindest nicht in der Zeit, in der Garmin erwartet, den Angriff abzuwehren.
Die richtige Reaktion
Ein Cyberangriff, der Millionen von Kunden und ein gesamtes Unternehmen betrifft, totzuschweigen, funktioniert nicht. Irgendwer im Unternehmen redet immer und das öffentliche Interesse an der Sicherheit der eigenen Daten, die dem Unternehmen anvertraut werden, ist gross. Daher ist Garmins Reaktion auf die unerwartete «Server Maintenance» ein Lehrstück darin, wie es nicht gemacht werden sollte.
Ein Social Media Team und eine Corporate-Communications-Abteilung muss in einem solchen Fall offen und präventiv kommunizieren. Ja, da war ein Angriff. Ja, das ist nicht gut. Ja, wir haben Probleme. Ja, wir arbeiten daran. Denn auch wenn der Angriff abgewehrt werden kann, sei das durch Zahlung des Lösegelds oder durch Beseitigung der Ransomware, der Ruf bleibt angeknackst. Es wäre aber einfach, als mutig und offen dazustehen. Alles, was ein Unternehmen dazu braucht, ist Mut und Offenheit.
Update: 27.07.2020//19:30
Die Services scheinen wieder zeitweise zu funktionieren. Bei mir hat ab Montagmittag die Synchronisation mit Unterbrüchen wieder begonnen, alle vergangenen Workouts sind übertragen worden. Bei Leser Waebi in der Kommentarspalte ging das schon im Verlauf des Morgens.
Um 19:30 Uhr ist die Server Maintenance Message nach wie vor in der App zu sehen. Ich gehe also davon aus, dass die Krise zwar so halb bewältigt, aber noch nicht überstanden ist.
Journalist. Autor. Hacker. Ich bin Geschichtenerzähler und suche Grenzen, Geheimnisse und Tabus. Ich dokumentiere die Welt, schwarz auf weiss. Nicht, weil ich kann, sondern weil ich nicht anders kann.