">

Backnang Nach dem Trojaner ist vor dem Trojaner

„Wir verfügen über vier Produktivserver in zwei redundanten Rechenzentren. Fällt eines mal aus, dann übernimmt das andere automatisch“, sagt Bernhard Pallas, IT-Leiter bei der Backnanger Riva GmbH Engineering. Foto: Steinemann / ZVW

Backnang/Waiblingen. Die Schadsoftware Locky hat auch im Rems-Murr-Kreis gewütet. Die IT-Sicherheit gewinnt im hereingebrochenen Industrie-4.0-Zeitalter immer schicksalhaftere Bedeutung für die Unternehmen. Eine selektive Bestandsaufnahme.

Downloads

So können Sie sich schützen: Eine Broschüre des Bundesamts für Sicherheit in der Informationstechnik zum Thema "Ransomware - Bedrohungslage, Prävention, Reaktion" finden können Sie sich hier als PDF herunterladen.

Die Ergebnisse einer Umfrage zur Betroffenheit durch Ransomware des Bundesamts finden Sie hier.

Der Angriff kam aus dem Hinterhalt. An einem frühen Donnerstagnachmittag Ende Februar. Eine Mitarbeiterin öffnete einen ungefährlich anmutenden Mail-Anhang und der Trojaner Locky begann zu wüten und Dateien zu verschlüsseln. Die Produktion des Kirchberger Blechverarbeiters Kroll GmbH, einer Tochterfirma der Riva GmbH Engineering in Backnang, wurde komplett zum Stillstand gebracht und die Mitarbeiter wurden früher nach Hause geschickt. „Das war eine reine Vorsichtsmaßnahme, um alle Systeme und Netzwerke zu prüfen, gegebenenfalls wiederherzustellen und Entwarnung zu geben“, sagt Bernhard Pallas, IT-Leiter bei Riva und Kroll. Letztlich dauerten die Gegen- und Vorsichtsmaßnahmen bis in die frühen Morgenstunden des Folgetags. „Aufgrund unserer mehrfach abgesicherten Systemarchitektur hätte es wahrscheinlich gar nicht so viel Aufwand gebraucht. Aber wir wollten auf Nummer sicher gehen und alles prüfen und durchscannen.“

Alles in allem stand die Produktion im Kirchberger Gewerbegebiet Gehrn „nur“ vier Stunden außerplanmäßig still. Für einen Modulfassadenbauer (Stahl, Aluminium, Glas) ist ein solcher Produktionsstillstand verkraftbar. Im Moment fräst und verbaut Riva in seinen drei riesigen Werkhallen in Backnang vor allem Bauteile für einen großen Kunden, das saudische Königshaus, beziehungsweise dessen Megaprojekt Al-Haram-Moschee in Mekka. Geplante Fertigstellung: 2018. Da fallen vier Stunden nicht so schwer ins Gewicht.

Für Zulieferer der Autoindustrie jedoch, die sich vertraglich zur bedarfssynchronen, steten und auftragsgenauen Belieferung der laufenden Serienproduktion der Hersteller verpflichtet haben, führen Produktionsstillstände schnell zu immensen Kosten. Nur 100 Millisekunden Zeitverzug könnten zum Beispiel in der laufenden Elektromotoren-Fertigung bei AMK (Arnold Müller Kirchheim/Teck) in Aichwald auf dem Schurwald bis zu 2000 Euro kosten. Das sagt Andreas Altvater, Geschäftsführer der Spiegelberger NSG Systems GmbH, der bei AMK in Aichwald IT-Systeme installiert hat und diese regelmäßig wartet und erneuert. Altvater und Pallas sehen „ihre“ Systeme jedoch bestens gerüstet.

Die Schäden durch Locky gingen bei uns in die Hunderttausende

Auf voneinander getrennte Parallelserver-Strukturen, die einander ersetzen können, und regelmäßige Backups kommt es an. „Wir verfügen über mehrere Produktivserver in zwei redundanten Rechenzentren. Fällt eines mal aus, dann übernimmt das andere automatisch“, sagt Pallas beispielhaft für Riva. Die IT-Netzwerke der Firma seien in logische Einheiten getrennt, die gegeneinander sicherheitstechnisch abgeschottet sind. Und alle Netzwerke würden überwacht über eine zentrale Software.

Zusätzlich verfüge Riva über ein Backup-Rechenzentrum. „Mindestens alle vier Stunden werden netzwerkübergreifend Backups gemacht, Daten gesichert, Datenzustände dokumentiert und archiviert.“ Wegen der zunehmenden Digitalisierung der Ingenieurstätigkeiten, grafischer 3-D-Konstruktionen am Computerbildschirm und virtueller Inbetriebnahmen der riesigen Fräsmaschinen in den Werkhallen steigen zwar die Datenbestände immer mehr an, aber das Industrie-4.0-affine virtuelle Engineering bei Riva verhindert auch Kollisionen beziehungsweise Schäden an den Maschinen. Es lohnt sich also. Die IT-Sicherheit muss jedoch gewährleistet werden. „Nicht alle PC sind ans Internet angeschlossen, und wir betreiben eine nur hausinterne Datencloud“, sagt Pallas.

Trojaner-, Viren- und Hackerangriffe einerseits und Abwehrkonzepte sowie IT-Sicherheit andererseits gewinnen ob der um sich greifenden Digitalisierung auch im Produktionsumfeld immer schicksalhaftere Bedeutung. Doch selbst ohne Datencloud und MES (IT-Systemplattform zur Fertigungssteuerung) und nur mit einer herkömmlichen Firmen-EDV können Trojaner wie Locky noch üble Schäden anrichten.

Locky ist zwar mittlerweile Geschichte. Virenscanner erkennen ihn. Die Schäden, die er von Herbst 2015 bis Ende März 2016 allein in baden-württembergischen Firmennetzwerken verursacht hat, gingen jedoch in die Hunderttausende. Das LKA zählte weit über 1000 Anzeigen Betroffener – vom Selbstständigen über den Handwerksbetrieb bis hin zum mittelständischen Unternehmen. Die Dunkelziffer wird bedeutend höher sein. Bei zwei Firmen im Rems-Murr-Kreis, die Locky-Angriffe anzeigten, entstand Schaden in Höhe von 30 000 Euro. Und nach Locky, spätestens seit April 2016, treibt die „neue“ Erpresser-Software Petya ihr Unwesen. Weiterhin trickreich sind die stetig von kriminellen Tunichtguten optimierten, älteren Trojaner „Cryptowall“ und „TeslaCrypt“.

„Trojaner stellen nicht für größere Firmen, die sich eine IT-Sicherheit und ausgeklügelte Backup-Systeme leisten können, ein Problem dar, sondern vor allem für kleine Unternehmen und Mittelständler“, sagt Kriminalhauptkommissar Fabian Jäger von der Kriminalinspektion Cybercrime und digitale Spuren in Waiblingen. Für kleinere Unternehmen sei es immer eine Gratwanderung. „Die müssen überlegen, wohin stecke ich das bisschen Gewinn, das ich erziele. Mit aufwendiger IT-Sicherheit ist nicht zwangsläufig auch mehr Geld verdient. Mit zu lascher IT-Sicherheit können die Schäden existenzbedrohend werden, wenn Kunden- und Auftragsdaten verloren gehen und deshalb zum Beispiel Ausschreibungsfristen verstreichen und Projektzuschläge ausbleiben“, sagt Jäger.

Schon kleinste, nicht unbedingt teure Maßnahmen können helfen

Ein Unternehmer im Rems-Murr-Kreis sei nach einem Locky-Befall seiner EDV zumindest froh über einen, zwar fünf, sechs Wochen alten, aber vom System getrennten Kundendaten-Backup gewesen. „Ohne den hätte er zumachen müssen, sagte er mir“, so Jäger. Der Kriminalhauptkommissar weist alle Unternehmer, auch jene, die nicht viel Geld ausgeben können, auf Folgendes hin: Schon mit kleinsten, nicht unbedingt teuren Maßnahmen kann die IT-Sicherheit erhöht werden. „Regelmäßige Backups machen, die externen Festplatten aber auch immer wieder trennen und getrennt lassen von den PC; Mitarbeiter sensibilisieren, keine unbekannten Mail-Anhänge zu öffnen; nicht jeden PC mit Internetanschluss und Zugriff auf alle Datenbanken versehen. Die Vernetzung auf ein Mindestmaß begrenzen und, wenn notwendig, dann nur temporär zulassen.“

Ein Drittel der Unternehmen ist betroffen

Locky und andere Erpressersoftware, die sich via Trojaner-Funktionen in Systeme einschleichen, werden der Schadsoftware-Gruppe der sogenannten Ransomware zugeordnet. Ransom heißt auf Deutsch Lösegeld oder loskaufen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Allianz für Cyber-Sicherheit im April 2016 eine Umfrage zur Betroffenheit der deutschen Wirtschaft durch Ransomware durchgeführt, heißt es in einer Mitteilung des BSI. Demnach waren ein Drittel (32 Prozent) der befragten Unternehmen in den letzten sechs Monaten von Ransomware betroffen. Dabei waren Unternehmen aller Größenordnungen betroffen. Drei Viertel (75 Prozent) der Infektionen waren auf infizierte E-Mail-Anhänge zurückzuführen.

Die Auswirkungen des Ransomware-Befalls waren zum Teil erheblich: Während 70 Prozent der betroffenen Unternehmen angaben, dass einzelne Arbeitsplatzrechner befallen waren, kam es in jedem fünften der betroffenen Unternehmen (22 Prozent) zu einem erheblichen Ausfall von Teilen der IT-Infrastruktur, elf Prozent der Betroffenen erlitten einen Verlust wichtiger Daten.

Angesichts der Bedrohungslage habe das BSI schon Anfang März ein Themenpapier Ransomware veröffentlicht, das unter anderem mögliche Angriffsvektoren und Schäden darstellt und Unternehmen konkrete Empfehlungen und Hilfestellungen für die Prävention und die Reaktion im Schadensfall bietet.

  • Bewertung
    4
 

0 Kommentare

Kommentieren

  1. (Anschrift und E-Mail sind keine Pflichtangabe, allerdings können Kommentare ohne Angabe der vollständigen Adressdaten in der gedruckten Ausgabe leider nicht berücksichtigt werden. E-Mail, Straße und Nummer werden nicht veröffentlicht.)

Heute in Ihrer Tageszeitung

  • Waiblinger Kreiszeitung
  • Schorndorfer Nachrichten
  • Winnender Zeitung
  • Welzheimer Zeitung
Lust auf mehr?

Lesen Sie Ihre Zeitung immer und überall digital: Hier ePAPER-Angebote entdecken!