Suchen

Cyberkriminalität Gehackt: Schmersal erholt sich von Cyberangriff

| Redakteur: Sariana Kunze

Schon wieder hat es ein Automatisierungsunternehmen erwischt: Die Schmersal Gruppe war aufgrund eines Cyberangriffs handlungsunfähig. Eine bzw. zwei Wochen war das ERP-System, die Produktion und das Zentrallager lahmgelegt – nichts ging mehr. Das Thema Security ist nun bei Schmersal Chefsache.

Firmen zum Thema

Ein Cyberangriff zwang die Schmersal Gruppe zum „Offline-Modus“. Nur so konnte die aggressive Schadsoftware identifiziert und isoliert werden.
Ein Cyberangriff zwang die Schmersal Gruppe zum „Offline-Modus“. Nur so konnte die aggressive Schadsoftware identifiziert und isoliert werden.
(Bild: gemeinfrei / Pixabay )

Die Schmersal Gruppe ist Opfer eines Cyberangriffs geworden und erholt sich derzeit von der Attacke, ist aber wieder handlungsfähig. Damit ist der Anbieter für Sicherheitstechnik nicht alleine. Schon vergangenen Herbst vermeldete beispielsweise das Unternehmen Pilz – bekannt für Safety und Industrial Security – einen Hackerangriff.

Der Anruf: Cyberkriminelle planen Angriff

Am 20. Mai um 16.45 Uhr ging bei der Schmersal Gruppe ein Anruf von offizieller Seite ein. Die Botschaft: Cyberkriminelle planen einen gezielten Angriff auf das Firmennetzwerk. Nach einer Verifikation des Anrufs – schließlich hätte es sich auch um einen „Fake“ handeln können – schalteten die IT-Verantwortlichen des Unternehmens das gesamte Firmennetzwerk ab. Innerhalb von zehn Minuten war die Verbindung zum Internet getrennt, innerhalb von 90 Minuten die gesamte IT weltweit heruntergefahren. Nichts ging mehr, von der Telefonanlage über die gesamte ERP-System-Infrastruktur und die komplette Produktion bis zum vollautomatisierten Lager, an allen Standorten.

Cyberattacke eindämmen und offline kommunizieren

Wie IT-Forensiker feststellten, war dies die richtige Entscheidung. Sie konnten die wirklich aggressive Schadsoftware isolieren und identifizieren, so das Unternehmen. Offenbar befand sich der Angreifer noch in einer Vorbereitungsphase, als die Systeme abgeschaltet wurden. Es galt, den Angreifer daran zu hindern, die Attacke zu vollenden. Daher mussten die Systeme zur Vorsicht abgeschaltet bleiben, bis sie final gesäubert werden konnten. Der Offline-Zustand blieb eine ganze Reihe von Tagen bestehen: Die komplette Produktion ruhte, während Verwaltung und Vertrieb intensiv daran arbeiteten, Kunden, Lieferanten und andere Geschäftspartner zu informieren.

Philip Schmersal, geschäftsführender Gesellschafter, erklärt: „In solchen Situationen wird deutlich, wie abhängig ein Unternehmen heutzutage von der IT ist. Telefonieren, Mailen, Bestellungen annehmen: Für jeden Vorgang mussten wir alternative Kanäle finden. Wir haben deshalb mit großem Aufwand auf allen denkbaren Wegen den Kontakt zu unseren Kunden gesucht und sie auf dem Laufenden gehalten. Schließlich galt es, die Lieferketten unserer Kunden so wenig wie möglich zu beeinträchtigen.“

Buchtipp

IT-Sicherheit wird in vielen Unternehmen vernachlässigt – obwohl in modernen Produktionsanlagen die Gefahr von Manipulationen enorm hoch ist. Das Fachbuch Industrial IT-Security weist auf die Gefahren hin und gibt Mitarbeitern Hilfestellung, wie IT-Sicherheit im eigenen Unternehmen angegangen werden sollte.

Da diese Schmersal-spezifische Schadsoftware zu Beginn von keinem Standard-Scanner erkannt wurde, musste jeder Rechner mit einer individuellen Reinigungsroutine bearbeitet werden. Parallel dazu wurden über Ersatz-Server die Kommunikation aufrechterhalten, tausende von E-Mails mit Bestellungen ausgedruckt und manuell bearbeitet, die Software-Programme wieder hochgefahren.

Nach zwei Wochen laufen deutsche Produktionen wieder

Die geschäftsführenden Gesellschafter (v.l.) Heinz und Philip Schmersal haben durch den vierzehntägigen Ausnahmezustand der Schmersal Gruppe eine neuartige Krisensituation bewältigen müssen.
Die geschäftsführenden Gesellschafter (v.l.) Heinz und Philip Schmersal haben durch den vierzehntägigen Ausnahmezustand der Schmersal Gruppe eine neuartige Krisensituation bewältigen müssen.
(Bild: Schmersal)

Nach einer Woche intensiver Arbeit war das ERP-System und damit auch das Zentrallager in Wuppertal wieder lauffähig. Auch das weltweite Kommunikationsnetzwerk zwischen den sieben Produktionsstätten und 64 internationalen Landesgesellschaften und Handelsvertretungen konnten reaktiviert werden. Eine weitere Woche dauerte es, bis die Produktion an den deutschen Standorten in vollem Umfang ihre Arbeit aufnehmen konnte.

Das Unternehmen hat durch den vierzehntägigen Ausnahmezustand viel gelernt, wie Philip Schmersal erklärt: „Zunächst haben wir Glück gehabt, dass wir gewarnt wurden und frühzeitig handeln konnten. Wirklich beeindruckt hat mich das Engagement der Belegschaft, die unabhängig von Arbeitszeiten und Abteilungszugehörigkeit selbst am Wochenende den Notbetrieb ohne Firmennetzwerk aufrechterhalten hat. Die Mitarbeiter haben dazu beigetragen, dass wir – im Verhältnis zur Schwere der Attacke – doch schnell wieder handlungsfähig waren.“

Nur mit der Nachbarschaftshilfe aus dem bergischen Mittelstand waren die umfangreichen Arbeiten an der IT-Infrastruktur überhaupt zu schaffen.

Philip Schmersal, geschäftsführender Gesellschafter, Schmersal Gruppe

Schmersal erhält Hilfe aus dem Mittelstand

Als sehr positiv haben die Verantwortlichen auch die gute Zusammenarbeit mit Nachbarunternehmen und Netzwerkpartnern aus der Region empfunden. Schmersal sagt: „Nur mit der Nachbarschaftshilfe aus dem bergischen Mittelstand waren die umfangreichen Arbeiten an der IT-Infrastruktur überhaupt zu schaffen. Bedanken möchten wir uns auch bei einigen Unternehmen der Automatisierungsbranche, die schon Opfer solcher Attacken waren und uns in den vergangenen vierzehn Tagen ganz uneigennützig unterstützt haben.“

Anti-Virus-Programme machtlos bei gezieltem Angriff

Die Attacke hat gezeigt: Der übliche Standardschutz mit Anti-Virus-Programmen und Firewall ist machtlos bei gezielten Angriffen mit bis dahin unbekannter Schadsoftware. Schmersal hat den einschlägigen Anbietern von Virenschutzprogrammen Informationen über die Schadsoftware zur Verfügung gestellt. „Jedoch haben wir gelernt, dass die Unternehmens-IT im Mittelstand sich neu definieren muss – und wie schnell das Thema Security zur Chefsache wird“, beschreibt Schmersal abschließend.

(ID:46655038)