Königsberg

Cybercrime: Wie den Hackern der Angriff auf die Fränkischen Rohrwerke gelang

Hacker-Attacken häufen sich in Deutschland, auch in Mainfranken. Jüngstes Beispiel sind die Fränkischen Rohrwerke in Königsberg, die der Angriff im März mit voller Wucht traf.
Die Zahl der Cyberattacken auf Unternehmen hat in den vergangenen Jahren immens zugenommen, auch in Mainfranken. Jüngstes Beispiel ist der kriminelle Hackerangriff auf die Fränkischen Rohrwerke in Königsberg.
Foto: Julian Stratenschulte, dpa | Die Zahl der Cyberattacken auf Unternehmen hat in den vergangenen Jahren immens zugenommen, auch in Mainfranken. Jüngstes Beispiel ist der kriminelle Hackerangriff auf die Fränkischen Rohrwerke in Königsberg.

"Es ist wie ein Hausbrand", so Otto Kirchner, Geschäftsführender Gesellschafter der Fränkischen Rohrwerke. "Jeder weiß, dass es passieren kann, aber man hofft, dass es den Nachbarn erwischt. Keiner denkt doch, dass man es selbst sein könnte." Mit schonungsloser Offenheit - auch sich selbst und seiner Firma gegenüber - informierte Kirchner zusammen mit Peter Schmitt, Leiter der Abteilung Zentrale Dienstleistungen des Königsberger Unternehmens, in einer gemeinsamen virtuellen Veranstaltung mit der IHK über den Hacker-Angriff, der Ende März auf die "Fränkische" verübt wurde.

Lesen Sie auch:

Die Nacht vom 24. auf den 25. März dieses Jahres werde er niemals vergessen. Da klingelte nachts um ein Uhr das Telefon. Die knappe Nachricht lautete: "Alle Systeme blockiert, alle Daten verschlüsselt." In dem Moment, so Kirchner, habe er das Gefühl gehabt, "jemand zieht einem den Teppich unter den Füßen weg. So als wäre der große Stecker rausgezogen worden und wir haben weltweit einen Stromausfall. Mir war sofort klar: Das wird ein Genickschlag". Beinahe alle Anwendungen im Unternehmen waren betroffen, so Kirchner. Noch in der Nacht sei versucht worden, alle Systeme runterzufahren und zu retten, was zu retten war.

22 Produktionsstätten weltweit lahmgelegt

Peter Schmitt konkretisierte den Ablauf, mit dem das Unternehmen versuchte, sich gegen den massiven Angriff zu wehren. Weltweit 22 Produktionsstätten seien ja mit der Zentrale in Königsberg verbunden. Deshalb war von dem Angriff auf das Hauptquartier nicht nur der Standort Königsberg betroffen. Nach 22 Uhr seien erste Auffälligkeiten in den IT-Systemen gemeldet worden. Es galt, schnell Kontakt mit dem Produktionsbereich herzustellen. Bereits mitten in der Nacht wurden die Leitenden Angestellten aus den Betten geklingelt. Durch ein weltweites Runterfahren der Infrastruktur versuchte das Personal, die Ausbreitung der Schadsoftware zu unterbinden. Es erfolgte ein komplettes Abtrennen des Unternehmens nach außen.

Die Fränkischen Rohrwerke in Königsberg wurden in der Nacht zum 25. März Ziel eines Hackerangriffs.
Foto: René Ruprecht | Die Fränkischen Rohrwerke in Königsberg wurden in der Nacht zum 25. März Ziel eines Hackerangriffs.

Ab 3 Uhr in der Nacht war die komplette IT-Abteilung im Haus. Es folgte eine erste Lagebesprechung. Relativ zügig konnte auch ein schnell verpflichteter spezialisierter externer Dienstleiter eine erste Lageeinschätzung abgeben und die nächsten Schritte einleiten, berichtete Peter Schmitt. Um Mitternacht schaltete die "Fränkische" die Polizei ein,  um 4 Uhr trafen die Beamten ein. Die erste Analyse brachte eine verheerende Erkenntnis. Sämtliche 22 Standorte weltweit und alle Geräte, die mit Windows als Betriebssystem laufen, waren betroffen. Die gesamte Kommunikation war ausgefallen, keine Mail, kein Telefon. Nur noch über Mobilfunk und Messenger konnte Kontakt aufgenommen werden.

"Ich kriege heute noch eine Gänsehaut, wenn ich daran denke."
Otto Kirchner, "Fränkische"

Erschwerend kam hinzu, dass die Hacker im Coronavirus einen üblen Verbündeten besaßen. Denn viele Mitarbeiter arbeiteten in dieser Zeit wegen der Pandemie im Homeoffice. Das war natürlich nun nicht mehr möglich, alle mussten zurück in die Firma. Das bedeutete, dass alle Beschäftigten sich jeden Morgen freiwillig einem Coronatest unterzogen, um kein Risiko einzugehen. Aber wie sollten Kontakte zu den Standorten in der ganzen Welt und zu den Kunden aufgebaut werden? Hier sprangen die Mitarbeiter ein, stellten ihre privaten Mailkonten und Rechner zur Verfügung. Teils wurden Papiere eingescannt und über die privaten Rechner transferiert. "Da zeigt sich, ob ein Unternehmen einen guten Charakter hat", so Otto Kirchner. "Ich kriege heute noch eine Gänsehaut, wenn ich daran denke."

Otto Kirchner, geschäftsführender Gesellschafter der Fränkischen Rohrwerke, informierte im Rahmen einer virtuellen Veranstaltung mit der IHK über den jüngsten Hacker-Angriff auf das Unternehmen.
Foto: Christian Licha | Otto Kirchner, geschäftsführender Gesellschafter der Fränkischen Rohrwerke, informierte im Rahmen einer virtuellen Veranstaltung mit der IHK über den jüngsten Hacker-Angriff auf das Unternehmen.

Es musste jedoch nicht nur der technische Neuaufbau - "allem alten haben wir nicht mehr vertraut" - organisiert werden. Gewerbeaufsichtsamt und Betriebsrat sollten grünes Licht geben, damit die gesetzlichen Arbeitsvorschriften zum Teil außer Kraft gesetzt werden konnten. Nur so war es der Belegschaft überhaupt möglich, die Rückstände wieder aufzuholen. Insgesamt verzeichnete das Unternehmen einen Produktionsausfall von "nur" einer Woche, so Peter Schmitt. Und obwohl das Unternehmen im Drei-Schicht-Betrieb arbeitete und über Ostern die Herkulesaufgabe – so Kirchner – der Neuinstallation aller Rechner durchgepeitscht wurde, erstreckte sich zweimal die Schlange der Lastwagen, die auf eine Abfertigung in Königsberg warteten, auf über einen Kilometer Länge.

Produktionsausfall von einer Woche

Nach und nach gelang es den IT-Spezialisten der "Fränkischen", die Systeme wieder hochzufahren, wobei sich die vorhandenen Backup-Dateien sowie die geringe Betroffenheit und schnelle Wiederherstellung der ERP-Systeme als elementare Bausteine erwiesen, um die Systeme "wieder vernünftig und schnell zum Laufen zu bringen", erklärte Schmitt. Wichtig war auch, dass der Kontakt zu den Kunden nie wirklich abgerissen war. Durch die gewaltigen Anstrengungen aller Beteiligter waren schon sieben Kalendertage nach dem Überfall Mitarbeiter wieder am System mit Kernanwendungen tätig. Und rund vier Wochen nach dem Angriff konnten schon über 95 Prozent der weltweit Beschäftigten wieder im Betrieb oder anderweitig arbeiten.

Lösegeldzahlung war keine Option

Otto Kirchner unterstrich, dass die Unternehmensführung niemals auch nur daran gedacht hatte, etwaigen Lösegeldforderungen der Verbrecher nachzugeben. Dies habe auch die Kriminalpolizei so empfohlen. Die Zusammenarbeit mit den Cyberexperten der Polizei bezeichnete Peter Schmitt als "wirklich gut und konstruktiv". Schmitt rechnete den Beamten hoch an, dass auch für sie der Wiederaufbau der in Mitleidenschaft gezogenen Systeme Vorrang vor Ermittlungen hatten. Neu überprüfen, so Kirchner, werde man auch das Thema Versicherung. Aber die Prämien für eine solche seien pro Jahr sechsstellig und es gebe immer wieder Weigerungen der Gesellschaften, zu bezahlen.

"Die Hacker sind so clever, dass wir nicht wissen, wie sie reingekommen sind."
Otto Kirchner, Geschäftsführender Gesellschafter

Die Gretchenfrage des Angriffs, nämlich wie gelang den Hackern der Zugriff auf die Systeme des Unternehmens, kann jedoch noch immer nicht beantwortet werden. "Die Hacker sind so clever", erläuterte Kirchner, "dass wir nicht wissen, wie sie reingekommen sind. Man denkt, man ist gut aufgestellt, aber selbst wenn man gut aufgestellt ist: Das ist wie der permanente Wettlauf zwischen Hase und Igel. Wir haben nicht gedacht, dass die Gefahr so groß ist. In Deutschland gibt es Hunderttausende von Firmen, warum sollte es ausgerechnet uns treffen?"

Simulierte Hacker-Angriffe

Die Fränkischen Rohrwerke haben inzwischen gehandelt. Das neue Sicherheitskonzept sieht neben einer Sensibilisierung aller Mitarbeiter für das Thema IT-Sicherheit – das beginnt zum Beispiel beim Musikhören aus dem Internet – vor, in noch kürzeren Zyklen die Sicherheitssysteme kontinuierlich anzupassen und zu überprüfen. Dazu zählen künftig auch regelmäßige Angriffssimulationen von Dienstleistern, die eine Hacker-Attacke von außen ernsthaft versuchen, um etwaige Lücken im System erkennen und beseitigen zu können.

"Ein solcher Angriff kann einem Unternehmen das Genick brechen."
Otto Kirchner, Fränkische Rohrwerke

Otto Kirchner fasste seine aus der Attacke gewonnenen Erkenntnisse als Appell an alle Verantwortlichen in Unternehmen zusammen: "Man muss sich im Klaren sein, die IT ist das Hirn des Organismus. Wenn es ausgeschaltet ist, ist der Organismus bewusstlos. Wir waren vorbereitet, aber wir haben uns nicht so gut vorbereitet, wie wir es hätten tun können. Daher meine Empfehlung: Die Sicherheit der IT geht über alles. Man muss ständig überprüfen, versuchen lassen, seriös von außen in die Firma reinzuhacken. Denn ein solcher Angriff kann, wenn er länger dauert, einem Unternehmen durchaus das Genick brechen und die Firma in den Ruin treiben."

ERP-Software

ERP steht für Enterprise Resource Planning. Dabei handelt es sich um eine integrierte Software-Lösung, die alle betriebswirtschaftlichen Prozesse eines Unternehmens in den Bereichen Produktion, Vertrieb, Logistik, Finanzen und Personal steuert. Mit einer ERP-Lösung lassen sich alle operativen Vorgänge eines Unternehmens durch Integration von Management-Funktionen in einem System verwalten. Die ERP-Software der "Fränkischen" war von dem Hackerangriff nicht sehr stark betroffen, was einen zügigen Neustart der Systeme unterstützte.
Quelle: Wikipedia
Nichts mehr verpassen: Abonnieren Sie den Newsletter für die Region Haßberge und erhalten Sie zweimal in der Woche die wichtigsten Nachrichten aus Ihrer Region per E-Mail.
Themen & Autoren / Autorinnen
Königsberg
Wolfgang Sandler
Computer
Dienstleister
Firmenmitarbeiter
Fränkische Rohrwerke
Gewerbeaufsichtsämter
Hacker und Hacking
IT-Sicherheit
Internetkriminalität
Kriminalpolizei
Kunden
Otto Kirchner
Peter Schmitt
Transport und Logistik
Wikipedia
Lädt

Damit Sie Schlagwörter zu "Meine Themen" hinzufügen können, müssen Sie sich anmelden.

Anmelden

Das folgende Schlagwort zu „Meine Themen“ hinzufügen:

Sie haben bereits
/ 15 Themen gewählt

bearbeiten

Sie folgen diesem Thema bereits.

entfernen

Um "Meine Themen" nutzen zu können müssen Sie der Datenspeicherung zustimmen

zustimmen
Kommentare (0)
Aktuellste Älteste Top

Der Diskussionszeitraum für diesen Artikel ist leider schon abgelaufen. Sie können daher keine neuen Beiträge zu diesem Artikel verfassen!