Informationen zum Cyberangriff auf PSI/
Information on cyber attack on PSI

27. Februar 2024 Cyberangriff auf PSI - Update

Aktueller Stand und nächste Schritte

Der Wiederanlauf der internen IT-Systeme dauert an. Mittlerweile konnte unsere interne IT-Abteilung gemeinsam mit unserem externen IT-Sicherheitsdienstleister Teile der Basisinfrastruktur wiederherstellen. Sobald auch die übrigen Kernsysteme wieder angelaufen sind, werden anhand vorher festgelegter Priorisierung die IT-Systeme wiederhergestellt.

Außerdem werden zeitnah alle Systeme, die nicht offensichtlich von der Schadsoftware betroffen sind, durch unseren Dienstleister für IT-Forensik auf eine Kompromittierung überprüft. Sofern keine Kompromittierung durch die Angreifer festgestellt wird, werden diese Systeme von unserer IT-Abteilung freigegeben und wieder in Betrieb genommen. Wir sind daher zuversichtlich, bald die Systeme bereitstellen zu können, die für unsere Kunden besonders relevant sind.

Hinweise zum Interims-E-Mail-System

Neben dem Wiederanlauf unserer eigenen IT-Systeme, steht mittlerweile übergangsweise ein E-Mail-System zur Verfügung. Alle PSI-Mitarbeiter bekommen derzeit ein neues E-Mail-Konto und sind dann wieder schriftlich für unsere Kunden erreichbar.

Wir möchten im Zuge dessen erneut auf die potentielle Bedrohung von Phishing-Mails nach einem Cyberangriff hinweisen. Das gilt auch dann, wenn dabei an vorherige E-Mail-Korrespondenz angeknüpft wird.

Seit Freitag, dem 23.02.2024, werden alle Laptops und Rechner der PSI in einem strukturierten Verfahren auf Befall mit Schadsoftware untersucht. Sobald die Untersuchungen abgeschlossen sind, ist sichergestellt, dass von Dateianhängen in E-Mails unserer Mitarbeitenden kein erhöhtes Risiko mehr ausgeht und diese so sicher sind wie vor dem Vorfall.

Wir werden an dieser Stelle über den weiteren Fortschritt beim Wiederaufbau der IT-Systeme informieren.

February 27, 2024 Cyber attack on PSI - update

Current status and next steps

The restart of the internal IT systems is continuing. In the meantime, our internal IT department has been able to restore parts of the basic infrastructure together with our external IT security service provider. As soon as the remaining core systems have also been restarted, the IT systems will be restored based on previously defined prioritization.

In addition, all systems that are not obviously affected by the malware are promptly checked for compromise by our IT forensics service provider. If no compromise by the attackers is detected, these systems will be released by our IT department and put back into operation. We are therefore confident that we will soon be able to provide the systems that are particularly relevant for our customers.

Notes on the interim e-mail system

In addition to the restart of our own IT systems, an interim e-mail system is now available. All PSI employees are currently being given a new e-mail account and can then be contacted again in writing by our customers.

In the course of this, we would like to draw your attention once again to the potential threat of phishing emails following a cyber attack. This also applies if they are based on previous e-mail correspondence.

Since Friday, 23rd 2024, all PSI laptops and computers have been examined for malware in a structured process. As soon as the investigations have been completed, it will be ensured that file attachments in our employees' emails no longer pose an increased risk and that they are as secure as they were before the incident.

We will keep you informed here about further progress in rebuilding the IT systems.

22. Februar 2024 Cyberangriff auf PSI - Update

PSI Software SE ist Ziel einer Ransomware Attacke geworden. Ransomware-Attacken sind Cyberangriffe, bei denen sich Angreifer unerlaubt Zugriff auf die IT-Infrastruktur verschaffen und anschließend Teile der IT-Systeme und Daten durch eine spezielle Software verschlüsseln. Nach jetzigem Stand sind durch den Angriff unsere internen IT-Systeme betroffen. Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 durch die interne IT-Abteilung festgestellt. Als Reaktion auf den Angriff wurden noch in der Nacht alle Außenverbindungen getrennt und die IT-Systeme heruntergefahren.

Durch PSI ergriffene Maßnahmen zur Bewältigung des Vorfalls

Der Angriff wurde in der Nacht vom 14. Februar 2024 zum 15. Februar 2024 festgestellt. Die PSI Software SE hat nach der Entdeckung folgende Maßnahmen ergriffen:

  • Herunterfahren aller IT-Systeme: Nachdem die Schadsoftware durch die Angreifer ausgeführt wurde, wurden umgehend alle IT-Systeme vom Netz genommen und die technischen Verbindungen zur Außenwelt – auch zu unseren Kunden - getrennt.
  • Hinzuziehung von Dienstleister für IT-Sicherheit: Wir haben zur Bewältigung der Situation einen zertifizierten und vom Bundesamt für Sicherheit in der in der Informationstechnik (BSI) empfohlenen Dienstleister hinzugezogen. Der Dienstleister hat mit einer forensischen Untersuchung begonnen, um die genauen Umstände des Vorfalls zu ermitteln. Gemeinsam mit dem Dienstleister sind wir zudem dabei, den Wiederanlauf der IT-Systeme durchzuführen.
  • Meldung an das BSI: Wir haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert und stehen im Austausch mit den zuständigen Mitarbeitern im BSI.
  • Meldung an die Landesdatenschutzbehörde: Wir haben vorsorglich eine Datenschutzmeldung bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit abgegeben.
  • Meldung an das LKA: Wir haben die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts Berlin über den Vorfall informiert.

Bisherige Erkenntnisse aus der forensischen Untersuchung

Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung mit großem Aufwand verbunden. Erste Erkenntnisse zum zeitlichen Ablauf liegen vor. Nach bisherigem Stand der forensischen Untersuchung lassen sich Spuren der Angreifer bis zum 09. Februar 2024 zurückverfolgen. Die Schadsoftware wurde zu diesem Zeitpunkt nicht ausgeführt. Die Ausführung der Schadsoftware selbst erfolgte am 14.02.2024 ab 23:16 Uhr CET. Nachdem dies von Mitarbeitern in der IT-Abteilung erkannt wurde, erfolgte in der Nacht die Abschaltung der Systeme. Ein Zugriff auf Kundensysteme wurde bisher weiterhin nicht festgestellt.

Bisher ist noch nicht bekannt, wie die Angreifer in unsere IT-Systeme eindringen konnten. Für die forensische Untersuchung des Angriffs werden wir weiterhin durch einen zertifizierten und vom Bundesamt für Sicherheit in der in der Informationstechnik (BSI) empfohlenen Dienstleister unterstützt, um dabei unter anderem den Einfallsvektor der Angreifer zu ermitteln.

Die forensische Untersuchung ist aufgrund der Größe der IT-Umgebung und der Anzahl der zu untersuchenden Systeme mit großem Aufwand verbunden. Wir bitten daher um Verständnis, dass es noch dauern wird, bis belastbare Erkenntnisse, insbesondere zum Einfallsvektor und der initialen Kompromittierung vorliegen.

Möglicher Datenabfluss

Bisher kann weder bestätigt noch ausgeschlossen werden, dass bei dem Angriff Daten abgeflossen sind. Zurzeit sind wir jedoch dabei, die Auswirkungen und Risiken eines Datenabflusses für unsere Kunden zu überprüfen.

Planungen zur Wiederherstellung des Normalbetriebs

Zurzeit sind wir dabei, die Basissysteme wiederherzustellen. Sobald die Basisinfrastruktur aufgebaut ist, wird nach und nach der Wiederanlauf der wichtigsten IT-Systeme erfolgen. Parallel arbeiten wir gemeinsam mit dem Dienstleister für IT-Sicherheit daran, für bestimmte Systeme wie das E-Mailsystem Interimslösungen aufzubauen, um möglichst schnell wieder arbeitsfähig zu sein. Ziel ist es, zeitnah unsere Kerndienstleistungen wie Wartungsarbeiten wieder durchführen zu können, um die Einschränkungen für unsere Kunden so gering wie möglich zu halten. Die Erfahrungen aus ähnlichen Vorfällen bei anderen Unternehmen zeigen jedoch, dass es mehrere Wochen dauern kann, bis ein geregelter Betrieb wiederaufgenommen werden kann.

February 22, 2024 Cyber attack on PSI - update

PSI Software SE has become the target of a ransomware attack. Ransomware attacks are cyberattacks in which attackers gain unauthorized access to the IT infrastructure and then encrypt parts of the IT systems and data using special software. At this stage, our internal IT systems are affected by the attack. Our IT department became aware of the incident during the night of February 14, 2024 to February 15, 2024 due to unusual activity in our network. In response to the attack, all external connections were disconnected during the night and the IT systems were shut down.

Actions taken by PSI to deal with the incident

The attack was detected in the night from February 14, 2024 to February 15, 2024. PSI Software SE made the following measures after the discovery:

  • Shutdown of all IT systems: After the malware was executed by the attackers, all IT systems were immediately disconnected from the network and the technical connections to the outside world - including to our customers - were disconnected.
  • Involvement of service providers for IT security: In order to deal with the situation, we engaged a certified service provider recommended by the German Federal Office for Information Security (BSI). The service provider has started a forensic investigation to determine the exact circumstances of the incident. Together with the service provider, we are also in the process of checking the backups of the systems and planning a restart of the systems. To ensure security, we are relying on a thoroughly secured start-up. In order to minimize the risk of further attacks, we will further harden our IT systems in coordination with the external IT security experts and increase the security measures even more. In addition, the forensic investigation will be used to determine the attack vector in order to close any vulnerabilities.
  • Notification to the state data protection authority (Landesdatenschutzbehörde): As a precautionary measure, we have submitted a data protection notification to the Berlin State Data Protection Commissioner.
  • Notification to the German State Office of Criminal Investigation (LKA): We have informed the Central Cybercrime Contact Point (Zentrale Ansprechstelle Cybercrime - ZAC) of the Berlin State Office of Criminal Investigation about the incident and are in contact with the responsible officials.
  • Notification to BSI: We have informed the Federal Office for Information Security (BSI) and are in contact with them.

Results from the forensic investigation to date

Due to the size of the IT environment, the forensic investigation requires major efforts. First insights into the timeline are available. According to the current status of the forensic investigation, traces of the attackers can be traced back to February 9, 2024. The malware itself was not executed at this time. The execution of the malware itself took place on February 14, 2024 starting 11:16 pm CET. After this was detected by employees in the IT department, the systems were immediately shut down during the night. Access to customer systems still has not been detected.

So far, it is not known how the attackers were able to gain access to our IT systems. A certified service provider recommended by the German Federal Office for Information Security (BSI) was engaged to carry out a forensic investigation of the attack in order to determine, among other things, the attackers' intrusion vector.

Due to the size of the IT environment and the number of systems to be investigated, the forensic investigation is very time-consuming. We therefore ask for your understanding that it will take some time before reliable results are available, in particular regarding the attack vector and the initial compromise.

Possible data outflow

So far, it can neither be confirmed nor ruled out that data was leaked during the attack. However, we are currently reviewing the effects of a data leak for our customers.

Plans to restore normal operations

We are currently in the process of restoring the basic systems. As soon as the basic infrastructure has been set up, the most important IT systems will gradually be restarted. At the same time, we are working with our IT security service provider to set up interim solutions for certain systems, such as the email system, in order to get back up and running as quickly as possible. The aim is to be able to carry out our core services such as maintenance work again as soon as possible in order to keep the restrictions for our customers to a minimum. However, experience from similar incidents at other companies has shown that it could take several weeks or months before regular operations can be resumed.

19. Februar 2024 Cyberangriff auf PSI - Update

PSI ist von einer Ransomware-Attacke betroffen, welche die interne IT-Infrastruktur des Unternehmens betrifft. In der Nacht zum 15. Februar 2024 wurden ungewöhnliche Aktivitäten in unserem Netzwerk festgestellt. Daraufhin wurden noch in der Nacht sukzessive alle Außenverbindungen und Systeme heruntergefahren. Das Mailsystem der PSI wurde ebenfalls in der Nacht heruntergefahren, so dass seitdem keine Mails von PSI-Systemen verschickt werden. Wir analysieren derzeit den genauen Einfallsvektor der Attacke.

Aktuell gibt es keine Anhaltspunkte dafür, dass PSI-Systeme bei Kunden kompromittiert wurden. Insbesondere auf Remote-Zugänge für die Wartung der Kundensysteme bestand nach jetzigem Kenntnisstand kein Zugriff.

Wir stehen seit dem 16. Februar 2024 im Kontakt mit den zuständigen Behörden sowie ausgewählten, vom Bundesamt für Sicherheit in der Informationstechnik empfohlenen Fachexperten. Unsere internen Experten arbeiten mit Hochdruck daran, den Umfang und die Auswirkungen des Vorfalls so gering wie möglich zu halten. Die PSI Software SE setzt alles daran, die betroffenen Systeme so schnell wie möglich wieder zur Verfügung zu stellen.

February 19, 2024 Cyber attack on PSI - update

PSI has been affected by a ransomware attack that affects the company's internal IT infrastructure. We detected unusual activity in our network during the night of February 15, 2024. As a result, all external connections and systems were successively shut down still in the night. We also shut down PSI's mail system in the night, so that no mails have been sent from PSI systems since then. We are currently analyzing the exact vector of the attack.

There are at present no indications that PSI systems at customer sites have been compromised. According to current knowledge, there was no access to remote connections for the maintenance of customer systems.

We have been in contact with the responsible authorities and selected experts recommended by the Federal Office for Information Security since February 16, 2024. Our internal experts are working at full speed to minimize the scope and impact of the incident. PSI Software SE is doing everything in its power to make the affected systems available again as quickly as possible.

15. Februar 2024 Cyberangriff auf PSI

Die PSI Software SE hat am 15. Februar 2024 festgestellt, dass es einen Cyberangriff auf die IT-Systeme der PSI gegeben hat. Die Gesellschaft hat als Reaktion die Systeme proaktiv vom Internet getrennt, um Datenschutzverletzungen und Datenbeschädigungen zu verhindern. Die IT-Systeme sowie der Umfang der Auswirkungen werden aktuell überprüft. Dabei wird mit höchster Sorgfalt auf die Datenintegrität geachtet. Die PSI Software SE setzt alles daran, dass die betroffenen Systeme so schnell wie möglich wieder zur Verfügung stehen.

February 15, 2024 Cyber attack on PSI

PSI Software SE discovered on February 15, 2024 that there had been a cyberattack on PSI's IT systems. In response, the company has proactively disconnected the systems from the Internet to prevent data breaches and data corruption. The IT systems and the extent of the impact are currently being reviewed. The utmost care is being taken to ensure data integrity. PSI Software SE is making every effort to ensure that the affected systems are available again as quickly as possible.

Kontakt/Contact

PSI Software SE
Karsten Pierschke
Head of Investor Relations and Corporate Communications
Dircksenstraße 42-44
10178 Berlin
Germany
Phone +49 30 2801-2727
info@psi-back.com

Impressum/Corporate information

PSI Software SE
Dircksenstraße 42-44
10178 Berlin (Mitte)
Deutschland
Telefon: +49 30 2801-0
Telefax: +49 30 2801-1000

Mitglieder des Vorstands:
Robert Klaffus (Vorsitzender), Gunnar Glöckner

Registergericht: Amtsgericht Charlottenburg
Registernummer: HRB 255242

Umsatzsteuer-Identifikationsnummer:
DE 136720252

Inhaltlich Verantwortlicher:
Karsten Pierschke (Anschrift wie oben)