Informationen zum Cyberangriff auf PSI/
Information on cyber attack on PSI

22. Februar 2024 Cyberangriff auf PSI - Update

PSI Software SE ist Ziel einer Ransomware Attacke geworden. Ransomware-Attacken sind Cyberangriffe, bei denen sich Angreifer unerlaubt Zugriff auf die IT-Infrastruktur verschaffen und anschließend Teile der IT-Systeme und Daten durch eine spezielle Software verschlüsseln. Nach jetzigem Stand sind durch den Angriff unsere internen IT-Systeme betroffen. Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 durch die interne IT-Abteilung festgestellt. Als Reaktion auf den Angriff wurden noch in der Nacht alle Außenverbindungen getrennt und die IT-Systeme heruntergefahren.

Durch PSI ergriffene Maßnahmen zur Bewältigung des Vorfalls

Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 festgestellt. Die PSI Software SE hat nach der Entdeckung folgende Maßnahmen ergriffen:

  • Herunterfahren aller IT-Systeme: Nachdem die Schadsoftware durch die Angreifer ausgeführt wurde, wurden umgehend alle IT-Systeme vom Netz genommen und die technischen Verbindungen zur Außenwelt – auch zu unseren Kunden - getrennt.
  • Hinzuziehung von Dienstleister für IT-Sicherheit: Wir haben zur Bewältigung der Situation einen zertifizierten und vom Bundesamt für Sicherheit in der in der Informationstechnik (BSI) empfohlenen Dienstleister hinzugezogen. Der Dienstleister hat mit einer forensischen Untersuchung begonnen, um die genauen Umstände des Vorfalls zu ermitteln. Gemeinsam mit dem Dienstleister sind wir zudem dabei, den Wiederanlauf der IT-Systeme durchzuführen.
  • Meldung an das BSI: Wir haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert und stehen im Austausch mit den zuständigen Mitarbeitern im BSI.
  • Meldung an die Landesdatenschutzbehörde: Wir haben vorsorglich eine Datenschutzmeldung bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgegeben.
  • Meldung an das LKA: Wir haben die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Berlin über den Vorfall informiert.

Bisherige Erkenntnisse aus der forensischen Untersuchung

Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung mit großem Aufwand verbunden. Erste Erkenntnisse zum zeitlichen Ablauf liegen vor. Nach bisherigem Stand der forensischen Untersuchung lassen sich Spuren der Angreifer bis zum 09. Februar 2024 zurückverfolgen. Die Schadsoftware wurde zu diesem Zeitpunkt nicht ausgeführt. Die Ausführung der Schadsoftware selbst erfolgte in der Nacht vom 14. Februar 2024 zum 15. Februar 2024. Nachdem dies von Mitarbeitern in der IT-Abteilung erkannt wurde, erfolgte in der Nacht die Abschaltung der Systeme. Ein Zugriff auf Kundensysteme wurde bisher weiterhin nicht festgestellt.

Bisher ist noch nicht bekannt, wie die Angreifer in unsere IT-Systeme eindringen konnten. Für die forensische Untersuchung des Angriffs werden wir weiterhin durch einen zertifizierten und vom Bundesamt für Sicherheit in der in der Informationstechnik (BSI) empfohlenen Dienstleister unterstützt, um dabei unter anderem den Einfallsvektor der Angreifer zu ermitteln.

Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung und der Anzahl der zu untersuchenden Systeme mit großem Aufwand verbunden. Wir bitten daher um Verständnis, dass es noch dauern wird, bis belastbare Erkenntnisse, insbesondere zum Einfallsvektor und der initialen Kompromittierung vorliegen.

Möglicher Datenabfluss

Bisher kann weder bestätigt noch ausgeschlossen werden, dass bei dem Angriff Daten abgeflossen sind. Zurzeit sind wir jedoch dabei, die Auswirkungen und Risiken eines Datenabflusses für unsere Kunden zu überprüfen.

Planungen zur Wiederherstellung des Normalbetriebs

Zurzeit sind wir dabei, die Basissysteme wiederherzustellen. Sobald die Basisinfrastruktur aufgebaut ist, wird nach und nach der Wiederanlauf der wichtigsten IT-Systeme erfolgen. Parallel arbeiten wir gemeinsam mit dem Dienstleister für IT-Sicherheit daran, für bestimmte Systeme wie das E-Mailsystem Interimslösungen aufzubauen, um möglichst schnell wieder arbeitsfähig zu sein. Ziel ist es, zeitnah unsere Kerndienstleistungen wie Wartungsarbeiten wieder durchführen zu können, um die Einschränkungen für unsere Kunden so gering wie möglich zu halten. Die Erfahrungen aus ähnlichen Vorfällen bei anderen Unternehmen zeigen jedoch, dass es mehrere Wochen dauern kann, bis ein geregelter Betrieb wiederaufgenommen werden kann.

February 22, 2024 Cyber attack on PSI - update

PSI Software SE has become the target of a ransomware attack. Ransomware attacks are cyberattacks in which attackers gain unauthorized access to the IT infrastructure and then encrypt parts of the IT systems and data using special software. At this stage, our internal IT systems are affected by the attack. Our IT department became aware of the incident during the night of February 14, 2024 to February 15, 2024 due to unusual activity in our network. In response to the attack, all external connections were disconnected during the night and the IT systems were shut down.

Actions taken by PSI to deal with the incident

The attack was detected in the night from February 14, 2024 to February 15, 2024. PSI Software SE made the following measures after the discovery:

  • Shutdown of all IT systems: After the malware was executed by the attackers, all IT systems were immediately disconnected from the network and the technical connections to the outside world - including to our customers - were disconnected.
  • Involvement of service providers for IT security: In order to deal with the situation, we engaged a certified service provider recommended by the German Federal Office for Information Security (BSI). The service provider has started a forensic investigation to determine the exact circumstances of the incident. Together with the service provider, we are also in the process of checking the backups of the systems and planning a restart of the systems. To ensure security, we are relying on a thoroughly secured start-up. In order to minimize the risk of further attacks, we will further harden our IT systems in coordination with the external IT security experts and increase the security measures even more. In addition, the forensic investigation will be used to determine the attack vector in order to close any vulnerabilities.
  • Notification to the state data protection authority (Landesdatenschutzbehörde): As a precautionary measure, we have submitted a data protection notification to the Berlin State Data Protection Commissioner.
  • Notification to the German State Office of Criminal Investigation (LKA): We have informed the Central Cybercrime Contact Point (Zentrale Ansprechstelle Cybercrime - ZAC) of the Berlin State Office of Criminal Investigation about the incident and are in contact with the responsible officials.
  • Notification to BSI: We have informed the Federal Office for Information Security (BSI) and are in contact with them.

Results from the forensic investigation to date

Due to the size of the IT environment, the forensic investigation requires major efforts. First insights into the timeline are available. According to the current status of the forensic investigation, traces of the attackers can be traced back to February 9, 2024. The malware itself was not executed at this time. The execution of the malware itself took place on February 14, 2024 starting 11:16 pm. After this was detected by employees in the IT department, the systems were immediately shut down during the night. Access to customer systems still has not been detected.

So far, it is not known how the attackers were able to gain access to our IT systems. A certified service provider recommended by the German Federal Office for Information Security (BSI) was engaged to carry out a forensic investigation of the attack in order to determine, among other things, the attackers' intrusion vector.

Due to the size of the IT environment and the number of systems to be investigated, the forensic investigation is very time-consuming. We therefore ask for your understanding that it will take some time before reliable results are available, in particular regarding the attack vector and the initial compromise.

Possible data outflow

So far, it can neither be confirmed nor ruled out that data was leaked during the attack. However, we are currently reviewing the effects of a data leak for our customers.

Plans to restore normal operations

We are currently in the process of restoring the basic systems. As soon as the basic infrastructure has been set up, the most important IT systems will gradually be restarted. At the same time, we are working with our IT security service provider to set up interim solutions for certain systems, such as the email system, in order to get back up and running as quickly as possible. The aim is to be able to carry out our core services such as maintenance work again as soon as possible in order to keep the restrictions for our customers to a minimum. However, experience from similar incidents at other companies has shown that it could take several weeks or months before regular operations can be resumed.

19. Februar 2024 Cyberangriff auf PSI - Update

PSI ist von einer Ransomware-Attacke betroffen, welche die interne IT-Infrastruktur des Unternehmens betrifft. In der Nacht zum 15. Februar 2024 wurden ungewöhnliche Aktivitäten in unserem Netzwerk festgestellt. Daraufhin wurden noch in der Nacht sukzessive alle Außenverbindungen und Systeme heruntergefahren. Das Mailsystem der PSI wurde ebenfalls in der Nacht heruntergefahren, so dass seitdem keine Mails von PSI-Systemen verschickt werden. Wir analysieren derzeit den genauen Einfallsvektor der Attacke.

Aktuell gibt es keine Anhaltspunkte dafür, dass PSI-Systeme bei Kunden kompromittiert wurden. Insbesondere auf Remote-Zugänge für die Wartung der Kundensysteme bestand nach jetzigem Kenntnisstand kein Zugriff.

Wir stehen seit dem 16. Februar 2024 im Kontakt mit den zuständigen Behörden sowie ausgewählten, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Fachexperten. Unsere internen Experten arbeiten mit Hochdruck daran, den Umfang und die Auswirkungen des Vorfalls so gering wie möglich zu halten. Die PSI Software SE setzt alles daran, die betroffenen Systeme so schnell wie möglich wieder zur Verfügung zu stellen.

February 19, 2024 Cyber attack on PSI - update

PSI has been affected by a ransomware attack that affects the company's internal IT infrastructure. We detected unusual activity in our network during the night of February 15, 2024. As a result, all external connections and systems were successively shut down still in the night. We also shut down PSI's mail system in the night, so that no mails have been sent from PSI systems since then. We are currently analyzing the exact vector of the attack.

There are at present no indications that PSI systems at customer sites have been compromised. According to current knowledge, there was no access to remote connections for the maintenance of customer systems.

We have been in contact with the responsible authorities and selected experts recommended by the Federal Office for Information Security since February 16, 2024. Our internal experts are working at full speed to minimize the scope and impact of the incident. PSI Software SE is doing everything in its power to make the affected systems available again as quickly as possible.

15. Februar 2024 Cyberangriff auf PSI

Die PSI Software SE hat am 15. Februar 2024 festgestellt, dass es einen Cyberangriff auf die IT-Systeme der PSI gegeben hat. Die Gesellschaft hat als Reaktion die Systeme proaktiv vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Die IT-Systeme sowie der Umfang der Auswirkungen werden aktuell überprüft. Dabei wird mit höchster Sorgfalt auf die Datenintegrität geachtet. Die PSI Software SE setzt alles daran, dass die betroffenen Systeme so schnell wie möglich wieder zur Verfügung stehen.

February 15, 2024 Cyber attack on PSI

PSI Software SE discovered on February 15, 2024 that there had been a cyberattack on PSI's IT systems. In response, the company has proactively disconnected the systems from the Internet to prevent data breaches and data corruption. The IT systems and the extent of the impact are currently being reviewed. The utmost care is being taken to ensure data integrity. PSI Software SE is making every effort to ensure that the affected systems are available again as quickly as possible.

Kontakt/Contact

PSI Software SE
Karsten Pierschke
Head of Investor Relations and Corporate Communications
Dircksenstraße 42-44
10178 Berlin
Germany
Phone +49 30 2801-2727
info@psi-back.com

Impressum/Corporate information

PSI Software SE
Dircksenstraße 42-44
10178 Berlin (Mitte)
Deutschland
Telefon: +49 30 2801-0
Telefax: +49 30 2801-1000

Mitglieder des Vorstands:
Robert Klaffus (Vorsitzender), Gunnar Glöckner

Registergericht: Amtsgericht Charlottenburg
Registernummer: HRB 255242

Umsatzsteuer-Identifikationsnummer:
DE 136720252

Inhaltlich Verantwortlicher:
Karsten Pierschke (Anschrift wie oben)