Cyber-Angriff auf Krauss-Maffei
Der Münchner Anlagenbauer Krauss-Maffei ist Opfer einer Ransomware-Attacke geworden. Erfahren Sie, wie Sicherheitsexperten den Vorfall einschätzen.
Der Münchner Anlagenbauer Krauss-Maffei ist Opfer einer Ransomware-Attacke geworden. Fertigung und Montage waren zeitweilig lahmgelegt. Die Täter wollten Lösegeld in unbekannter Höhe erpressen.
Seit dem 21. November kämpft KraussMaffei mit den Folgen eines Ransomware-Angriffs auf seine Fertigungsanlagen. Laut verschiedenen Medienberichten produzierten mehrere Standorte des Maschinen- und Anlagenherstellers vorübergehend mit gedrosselter Leistung, da zahlreiche Rechner mit einem Verschlüsselungstrojaner befallen waren. Neben dem Hauptsitz in München war auch das Werk in Treuchtlingen betroffen.
Einem Unternehmenssprecher zufolge ist jedoch die Mehrzahl der Standorte verschont geblieben. Der Hersteller befinde sich wieder „auf dem Weg zum Normalzustand“. Der Angriff ging mit einer Lösegeldforderung einher, über deren Höhe sich das Unternehmen ausschweigt. Darüber hinausgehende Motive und die Täter sind noch unklar. Medienberichte, die von Angriffen aus Nordkorea oder Russland ausgehen, will Krauss-Maffei nicht bestätigen. Der COMPUTERWOCHE sagte ein Sprecher, man wisse nicht, wo diese Informationen herkämen. Sie seien „reine Spekulation“.
Der noch nicht näher identifizierte Trojaner hat demnach Computerdaten verschlüsselt, die für die Steuerung einzelner Maschinen in der Fertigung und Montage notwendig sind. Daher konnten die Maschinen zu Beginn der Attacke nicht gestartet werden. Mittlerweile laufen sie wieder. Zur Schadenshöhe äußerte sich das Unternehmen nicht. Ob auch Kunden oder Lieferanten von der Attacke betroffen sind, steht bisher ebenfalls nicht fest. KraussMaffei habe sofort, nachdem der Angriff bemerkt wurde, alle Verbindungen zu seinen Kunden unterbrochen. Die deutschen Sicherheitsbehörden wurden informiert. Im Zusammenhang mit dem Vorfall erinnerte das Bundesamt für Sicherheit in der Informations- technik (BSI) gegenüber der „FAZ“an einen Angriff auf das Klinikum Fürstenfeldbruck bei München, das kürzlich einer Variante des Banking-Trojaners Emotet zum Opfer fiel.
Markus Irle, Director Firewall bei Rohde & Schwarz Cybersecurity, tippt auf PhishingE-Mails als Einfallstor: „Die Angreifer geben sich beispielsweise als Geschäftspartner aus, die eine Rechnung verschicken.“Öffne der Adressat den Anhang, könne sich die Malware im Netz ausbreiten. Diese Phishing-Mails seien so gut gemacht, dass man die Fälschung kaum erkenne. Neben speziellen Unified-ThreatManagement-(UTM-)Firewalls, die E-Mail- und Webtraffic scannen, rät er zu KI-Technologien und Verhaltensanalysen: „Die Schadsoftware Emotet, die im Zusammenhang mit dem Angriff auf Krauss-Maffei genannt wird, hätte auf diese Weise gestoppt werden können.“
Zugriffsrechte restriktiv handhaben
Thomas Ehrlich, Country Manager DACH von Varonis, glaubt, dass es „Angreifer immer wieder hinter den Perimeter schaffen werden, trotz bestens geschulter Mitarbeiter, aktueller Firewalls und fortschrittlicher Endpoint-Lösungen“. Gerade bei Ransomware-Angriffen spielten neben Updates und Backups restriktive Zugriffsrechte eine entscheidende Rolle. Hier sollte das „Need-to-know“-Prinzip umgesetzt werden und Mitarbeiter nur auf die Daten zugreifen können, die sie wirklich benötigten. Außerdem rät Ehrlich, den Datenzugriff zu überwachen: „Mittels intelligenter Nutzeranalyse kann automatisch identifiziert werden, wenn ungewöhnliches Verhalten auftritt – etwa die Verschlüsselung von Dateien. So können Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht.“