Was der weltweit tätige Knauf-Konzern seit dem 29. Juni erleidet, kann man kaum ermessen: Daten sind verschlüsselt, Computer heruntergefahren, Festnetz-Telefonie und zeitweise E-Mail-Kommunikation ausgefallen. Der Baustoff-Konzern aus Iphofen (Lkr. Kitzingen) ist weltweit von den Folgen eines Hacker-Angriffs betroffen, der nicht nur die internen Abläufe belastet, sondern auch den Austausch mit Kunden und Lieferanten einschränkt.
Nach Recherchen der Redaktion steht eine Gruppe von Cyberkriminellen mit Namen "Black Basta" hinter der Hacker-Attacke. Das bestätigt auf Nachfrage die zuständige Generalstaatsanwaltschaft in Bamberg. Dort ist das Zentrum für die Bekämpfung von Internet-Kriminalität im Freistaat angesiedelt, die Zentralstelle Cybercrime Bayern. Deren Spezialisten ermitteln im Fall von Knauf.
"Black Basta" selbst hat sich nach Recherchen des Internet-Nachrichtendienstes "Bleeping Computer" im Darknet als verantwortlich für den Angriff zu erkennen gegeben und mittlerweile auch Teile von erbeuteten, internen Firmen-Dokumenten veröffentlicht, offensichtlich um einer Lösegeld-Erpressung Nachdruck zu verleihen.
Hacker-Angriff: "Black Basta" seit dem Frühjahr in Deutschland bekannt
Die Cyberkriminellen waren in Deutschland aufgefallen, als sie im Frühjahr die Branchenschwergewichte Sixt (Autovermietung) und Fendt (Landwirtschaft-Technik) angegriffen hatten. Das Vorgehen läuft immer nach demselben Muster ab, wie die Generalstaatsanwaltschaft unabhängig vom Fall Knauf bestätigt: Über das Einschleusen von Schadsoftware erlangt "Black Basta" Zugriff auf Systeme und Dateien eines Unternehmens. Im ersten Schritt werden sie verschlüsselt, so dass die Betroffenen gehackte Dateien oder Programme nicht mehr verwenden können.
In der Folge erhalten die Opfer eine Nachricht, in der sich "Black Basta" als Urheber des Hacker-Angriffs zu erkennen gibt. Die Gruppe fordert daraufhin Lösegeld; im Gegenzug bietet sie die Freigabe der gesperrten Daten an. Eine bekannt gewordene Lösegeld-Forderung in der Vergangenheit belief sich wohl auf 2,7 Millionen US-Dollar.
Kommen betroffene Unternehmen diesen Forderungen nicht nach, veröffentlicht "Black Basta" Teile der erbeuteten Daten, mitunter kompromittierende Firmendokumente, so wie im Fall von Knauf geschehen. Damit erhöhen die Cyberkriminellen den Druck auf ihre Opfer, der Erpressung nachzugeben. Die eingesetzte illegale Schadsoftware wird als Ransomware bezeichnet – ein Kunstbegriff, der die englischen Begriffe für Lösegeld (Ransom) und Software vereinigt.
Cyberattacke: Aufspüren der Hacker ist "schwierig und komplex"
Für die Strafermittler ist das Aufspüren der Verursacher des Hacker-Angriffs "ausgesprochen schwierig und komplex", wie Oberstaatsanwalt Thomas Goger auf Nachfrage erklärt. Er äußert sich nicht konkret zum Herkunftsland von "Black Basta", sagt aber mit Blick auf diese und ähnliche Gruppen, dass sie meist von Staaten aus agieren, mit denen sich die Zusammenarbeit in Strafsachen schwierig gestaltet. Einen Sitz der Gruppe in Russland bestätigt Goger nicht.
Unterdessen ist Knauf weiter mit der Aufarbeitung der Cyber-Attacke beschäftigt. Immer mehr Systeme gehen wieder ans Netz, informiert der Konzern auf seiner Website: "Derzeit arbeiten wir weiterhin mit Hochdruck daran, die üblichen Betriebsabläufe wiederherzustellen und sind dabei auf einem guten Weg. Viele unserer Systeme sowie die Emailkommunikation sind wieder voll funktionsfähig, weitere Bereiche werden derzeit wieder hochgefahren."
Wie lange das Familienunternehmen mit Sitz in Iphofen noch bis zur Wiederherstellung des Normalbetriebs braucht, welche Datenverluste im Einzelnen eingetreten sind und welche wirtschaftlichen Folgen der "Black-Basta"-Angriff hatte, ist noch immer unabsehbar.
Wenn man das so genau weiss, wie und warum das so gerade bei KNAUF läuft da hat man doch aufträge en masse. Oder ist das, was hier zum besten gegeben wird nur was man mal irgendwo, irgendwie beim ex-Freund des Schwagers seim Kumpel gehört hat ???
Man redet sich ein, es wäre ein Sicherheitsgewinn, wenn die Mitarbeiter alle paar Wochen ihr Passwort ändern und für alle internen Systeme eine 2-Faktor-Authentifizierung nutzen – aber gegen Angriffe wie diesen hier ist das Regentanz.
Ich behaupte, das was Knauf hier passiert ist, kann so ziemlich jedem Unternehmen passieren. Und die Anfälligkeit steigt mit der Größe des Unternehmens bzw. mit der Zahl der Mitarbeiter – denn häufig ist es der Mensch, der der Schadsoftware die Türe öffnet.
Ja, diese Angriffe sind perfide und schwer zu verhindern … aber wenn man die Kosten z. B. im Falle von Knauf einmal dagegen stellt, dann wird Risikomanagement und IT-Sicherheit plötzlich zu einer lohnenden und wertvollen Investition - und nicht einfach nur ein lästiger Kostenfaktor …
Mit einer guten Backupstrategie ist der Schaden durch solche Angriffe begrenzt und schnell behoben und Erpresser haben kein Druckmittel.
Aber so mancher Firmeninhaber scheut die Kosten dafür und steht dann halt unter Umständen irgendwann mal vor einem Schaden in vielfacher Höhe dieser Kosten.
Denn erstens erfolgen die Angriffe zumeist verzögert – und bis das Opfer von der Schadsoftware erfährt, sind schon Wochen und Monate vergangen. Selbst falls man herausbekäme, wie weit man zeitlich zurück müsste, um ein nicht infiziertes System wiederherzustellen – der Aufwand für die Datenwiederherstellung wäre enorm hoch.
Zweitens sind die Zeiten EINES IT Systems vorbei. Ein Unternehmen wie Knauf z. B. setzt zehntausende(!) von Rechnern ein. So etwas lässt sich nicht mal einfach so wiederherstellen. Und zu allem Überfluss sind die verschiedenen Teilsysteme in vielen Fällen miteinander verbunden – man kann also nicht so einfach irgendwas wiederherstellen, sondern man muss immer die Auswirkungen auf alle verbundenen Systemteile mit berücksichtigen. Ich nehme an, das ist der Grund, weshalb Knauf immer noch mit den Folgen kämpft …
Man muss solche Angriffe verhindern, nicht den Schaden beheben!
Mir ging es allerdings darum, wie man seine Erpressbarkeit verhindert.
In der Regel blockieren die Täter das gesamte Netzwerk über eine Verschlüsselung, die niemand außer den Tätern wieder aufheben kann. Und dann stellen sie hohe Geldforderungen, die der Unternehmer zahlen muss, um wieder reinzukommen.
Wer seine Daten nicht extern gesichert hat, muss zwangsläufig zahlen, der Schaden für die Firma geht sonst oft ins Unermessliche.
Mit einem guten Backup macht der Admin dann halt alles platt, spielt die gesicherten Daten wieder auf und gut ist's.
Mein Exmann ist IT-Dienstleister und hat da schon so einiges erlebt.