Cyberangriff auf deutsche Industrie

Das sagen Experten zur Ransomware-Attacke auf Krauss Maffei

11.12.2018
Von 
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Der Münchner Anlagenbauer Krauss Maffei ist Opfer einer Ransomware-Attacke geworden. Erfahren Sie die Einzelheiten und wie Sicherheitsexperten den Vorfall einschätzen.

Seit dem 21. November leidet Krauss Maffei unter den Folgen eines Ransomware-Angriffs auf seine Fertigungsanlagen. Laut einem Bericht der FAZ produzieren mehrere Standorte des Maschinen- und Anlagenherstellers seitdem mit gedrosselter Leistung, da zahlreiche Rechner mit einem Verschlüsselungs-Trojaner befallen seien. Neben dem Hauptsitz in München war auch das Werk in Treuchtlingen betroffen. Einem Unternehmenssprecher zufolge ist jedoch die Mehrzahl der Standorte verschont geblieben und der Hersteller befinde sich inzwischen "auf dem Weg zum Normalzustand."

Einige Standorte des Münchner Anlagenbauers Krauss Maffei standen wegen eines Krypto-Trojaners still.
Einige Standorte des Münchner Anlagenbauers Krauss Maffei standen wegen eines Krypto-Trojaners still.
Foto: BeeBright - shutterstock.com

Der Angriff ging mit einer Lösegeldforderung einher, über deren Höhe sich das Unternehmen ausschweigt. Darüber hinausgehende Motive und die Täter hinter der Attacke sind noch unklar. Medienberichte, die die Angreifer in Nordkorea oder Russland verorten wollen, will Krauss Maffei nicht bestätigen. Gegenüber der COMPUTERWOCHE sagte ein Sprecher, man wisse nicht, wo diese Informationen herkämen und bezeichnete sie als "reine Spekulation."

Verschlüsselte Daten legen Steuerung lahm

Der noch nicht näher identifizierte Trojaner habe Computerdaten verschlüsselt, die für die Steuerung einzelner Maschinen in der Fertigung und Montage notwendig seien. Daher konnten die Maschinen zu Beginn der Attacke nicht gestartet werden. Mittlerweile liefen die Systeme wieder. Zur Schadenshöhe durch den Ausfall äußerte sich das Unternehmen nicht.

Ob auch Kunden oder Lieferanten von der Attacke betroffen sind, steht bisher nicht fest. Krauss Maffei habe sofort, nachdem der Angriff bemerkt wurde, alle Verbindungen zu seinen Kunden unterbrochen. Momentan arbeitet das Unternehmen eng mit privaten Sicherheitsdienstleistern zusammen an einer Lösung. Die deutschen Sicherheitsbehörden wurden informiert.

Im Zusammenhang mit dem Vorfall erinnerte das BSI gegenüber der FAZ an den Angriff auf das Klinikum Fürstenfeldbruck bei München, das kürzlich einer Variante des Banking-Trojaners Emotet zum Opfer fiel. In solchen Fällen fielen immer 100 Prozent der Server und Computer im Netzwerk aus. Nach Einschätzung des Bundesamtes handelte es sich bei den Tätern um gewöhnliche Kriminelle. Ob Krauss Maffei Ziel derselben Hacker geworden ist, sei unklar.

Einschätzung und Schutzmaßnahmen

"Bei Ransomware-Attacken mit Lösegeldforderung sind grundsätzlich zwei Szenarien denkbar," nennt Volker Baier, CISO Industrial Security der TÜV Süd Sec-IT GmbH, mögliche Motive des Angriffs auf Krauss Maffei. Es seien entweder kriminelle Gruppen, die schnelles Geld machen wollten, bevor die Systeme durch Patches nicht mehr verfügbar sind. Oder es handle sich um "Zweitverwerter", die erst dann auf den Plan treten, wenn die Erstverwertung der kompromittierten Systeme, beispielsweise aus Wirtschaftsspionagekreisen, abgeschlossen sei und die Möglichkeit nochmals genutzt werde, um Kasse zu machen.

Als mögliche Angriffsvektoren nennt Baier in solchen Fällen Phishing-E-Mails oder Links zu Malware, Drive-By-Infektion über ein nicht gepatchtes System oder durch einen eingeschleusten Datenträger (beispielsweise einen USB-Stick). Auch der Weg über einen Mitarbeiter ist denkbar oder ein aktiver Angriff durch Einbruch in die IT-Infrastruktur.

Zur effektiven Abwehr solcher Attacken empfiehlt Baier eine Reihe von Maßnahmen:

  • ein Patchmanagement einführen beziehungsweise das vorhandene verbessern,

  • regelmäßige Mitarbeiter-Trainings,

  • ein besserer Perimeter-Schutz durch Next Generation Firewalls oder auch Sandbox-Lösungen, die verdächtige Programme ausführen und bösartige Software blockieren,

  • aktive Sicherheitstests mit Red-Team Assessments durch White-Hat-Hacker.

Auch Markus Irle, Director Firewall bei Rohde & Schwarz Cybersecurity tippt auf Phishing-E-Mails als das übliche Einfallstor solcher Angriffe: "Die Angreifer geben sich beispielsweise als Geschäftspartner aus, die eine Rechnung verschicken." Öffne der Adressat den Anhang, könne sich die Malware auf dem Unternehmensrechner einnisten und im Netzwerk ausbreiten. Diese Phishing-E-Mails seien heute so gut gemacht, dass man die Fälschung kaum noch erkenne.

Neben speziellen Unified-Threat-Management (UTM)-Firewalls, die den Email- und Webtraffic scannen, rät er zu KI-Technologien und Verhaltensanalysen. Damit ließen sich sogar Zero-Days-Exploits aufspüren und blockieren. "Die Schadsoftware Emotet, die im Zusammenhang mit dem Angriff auf Krauss-Maffei genannt wird, hätte auf diese Weise beispielsweise gestoppt werden können," urteilt Irle.

Eine entscheidende Schutzmaßnahme vor Cyberangriffen auf Industrieunternehmen sei jedoch, ihre operationalen Netze von den IT-Netzen zu trennen. Häufig seien die Netze direkt miteinander verbunden, um zum Beispiel neue Programme und Befehle einfach an Maschinen zu senden. Wolle man Malware von der Steuerung fernhalten, müsse man die beiden Bereiche durch eine Firewall isolieren. Selbst wenn die Office-IT angegriffen werde, könnten die Maschinen dann unbehelligt weiterlaufen.

Thomas Ehrlich, Country Manager DACH von Varonis, ist dagegen der Meinung, dass "Angreifer es immer wieder hinter den Perimeter schaffen werden, trotz bestens geschulter Mitarbeiter, aktueller Firewalls und fortschrittlicher Endpoint-Lösungen." Gerade bei Ransomware-Angriffen spielten neben Updates und Backups restriktive Zugriffsrechte eine entscheidende Rolle, denn nur die Daten, auf denen der infizierte Account Zugriff hat, könnten verschlüsselt werden. Hier sollte das "Need-to-know"-Prinzip umgesetzt werden und Mitarbeiter nur noch auf die Daten zugreifen können, die sie wirklich benötigten. Außerdem rät Ehrlich dazu, den Datenzugriff zu überwachen. "Mittels intelligenter Nutzeranalyse kann automatisch schnell identifiziert werden, wenn ungewöhnliches Verhalten auftritt - wie beispielsweise die Verschlüsselung von Dateien. So können Gegenmaßnahmen gestartet werden, bevor größerer Schaden entsteht," schließt er.