MGM Resorts Breach: Der Angriff im Überblick
Am 10. September 2023 erlebte MGM Resorts einen massiven IT Ausfall. Gäste in Las Vegas berichteten von langen Schlangen, blockierten Automaten und defekten Zimmerschlüsseln. Hintergrund war kein technischer Fehler, sondern ein gezielter Angriff durch die Gruppe Scattered Spider. Die Hacker verschafften sich über Social Engineering Zugriff auf interne Systeme und blockierten in der Folge geschäftskritische Prozesse.
MGM Resorts betreibt mehr als zwei Dutzend Hotels und Casinos in den USA. Die Dimension des Ausfalls war entsprechend groß und traf nicht nur den Tourismus, sondern auch die Wahrnehmung von Sicherheit im Glücksspielsektor.
Vorgehensweise der Täter
Die Angreifer suchten sich gezielt einen MGM Mitarbeiter über soziale Netzwerke aus und nutzten diesen Identitätsrahmen, um beim internen Support anzurufen. Durch überzeugende Nachahmung gelang es ihnen, Administratorrechte zu erhalten. Mit diesem Zugang erreichten sie zentrale Plattformen wie Okta und Azure, die für Identitätsmanagement und Autorisierung zuständig sind.
Nach erfolgreicher Täuschung installierten sie Ransomware und blockierten hunderte virtuelle Server. Besonders betroffen waren Reservierungssysteme, digitale Türschlösser, die MGM App und Slotmaschinen. Der Angriff zeigte, dass nicht nur Technik, sondern vor allem Menschen und ihre Anfälligkeit für Täuschung über den Erfolg einer Attacke entscheiden können.
Auswirkungen und Schäden
Die Folgen waren für Gäste unmittelbar sichtbar. Zimmer konnten nicht betreten werden, Kreditkarten wurden nicht akzeptiert, Automaten blieben schwarz. Zahlungen und Check in Prozesse wurden per Hand mit Stift und Papier abgewickelt. Die Störungen hielten rund zehn Tage an und führten zu erheblichen Einnahmeverlusten.
Schätzungen zufolge kostete der Angriff MGM mehrere hundert Millionen Dollar. Neben den unmittelbaren Einnahmeausfällen entstanden Kosten für Wiederherstellung, Rechtsstreitigkeiten und Kundenentschädigung. Hinzu kam ein massiver Reputationsschaden, der sich auch in mehreren Sammelklagen widerspiegelte.
Vergleich zu Caesars Entertainment
Bemerkenswert war der zeitliche Zusammenhang mit dem Angriff auf Caesars Entertainment wenige Tage zuvor. Während Caesars eine Lösegeldzahlung leistete und den Betrieb aufrechterhielt, zahlte MGM nicht und erlebte dafür einen großflächigen Ausfall. Der Unterschied verdeutlichte, dass es keine einheitliche Strategie im Umgang mit Cybererpressung gibt. Beide Entscheidungen waren mit erheblichen Risiken und Kosten verbunden.
Reaktionen und Lehren
MGM arbeitete eng mit Behörden und Sicherheitspartnern zusammen, um die Systeme wiederherzustellen. Die Attacke machte deutlich, wie zentral menschliches Verhalten in der Sicherheitsarchitektur ist. Social Engineering erwies sich als wirksamer Türöffner, gegen den klassische technische Schutzmaßnahmen wenig ausrichten konnten.
Für Unternehmen bedeutet der Vorfall, dass Schulungen, Identitätskontrollen und strikte Mehrfaktor Authentifizierung essenziell sind. Ebenso notwendig sind klare Notfallpläne, um im Ernstfall alternative Prozesse sofort einsetzen zu können.
Politische und regulatorische Dimension
Der MGM Resorts Breach rückte den Sektor Glücksspiel und Hospitality in den Fokus von Politik und Aufsichtsbehörden. Diskussionen über Mindeststandards für Cybersicherheit, strengere Meldepflichten und Anforderungen an Lieferketten nahmen Fahrt auf. Vergleiche mit europäischen Standards wie NIS2 und dem Cyber Resilience Act machten deutlich, dass in den USA branchenweite Vorgaben bislang fehlen.
Maßnahmenkatalog für Unternehmen
- Stärkung von Identitätsmanagement und Lieferkettenkontrolle
- Verbindliche Mehrfaktor Authentifizierung für alle privilegierten Konten
- Regelmäßige Schulungen zu Social Engineering Methoden
- Aufbau von Incident Response Playbooks mit praktischen Übungen
- Frühzeitige, transparente Kommunikation im Krisenfall
Fazit: MGM Resorts Breach als Warnsignal
Der Angriff auf MGM Resorts im September 2023 war ein Weckruf für eine ganze Branche. Er zeigte, dass ein einziger erfolgreicher Täuschungsanruf ausreichen kann, um globale Unternehmen ins Chaos zu stürzen. Die Kosten in Millionenhöhe und die Reputationsverluste verdeutlichen, dass Social Engineering heute zu den gravierendsten Risiken gehört. Unternehmen müssen ihre Sicherheitskultur erweitern, um neben Technik auch den Menschen in den Mittelpunkt zu stellen.
Glossar
Social Engineering: Taktik, bei der Angreifer menschliches Vertrauen ausnutzen, um Zugang zu Systemen zu erhalten
Ransomware: Schadsoftware, die Systeme blockiert und gegen Lösegeld wieder freigibt
Okta: Plattform für Identitäts- und Zugriffsmanagement
Incident Response: Geplanter Ablauf zur Bewältigung von Sicherheitsvorfällen
NIS2: EU Richtlinie zur Stärkung der Sicherheit von Netz- und Informationssystemen