Hacker-Attacke auf Marabu Nach dem Cyberangriff

Morgens um vier Uhr begann der Verschlüsselungstrojaner damit, sämtliche Daten der Firma Marabu zu verschlüsseln. Der Hersteller von Druckfarben aus Tamm fuhr alle Rechner herunter und war sechs Tage lang von der Außenwelt abgeschnitten. Mit den Erpressern hat Marabu nicht verhandelt, um wieder an seine Daten zu kommen. Anders als andere Firmen hat sich das Unternehmen an die Öffentlichkeit gewendet, um über den Vorgang zu informieren. Was sich wie ein Krimi anhört, jährt sich am 29. November zu ersten Mal. Die BZ hat nachgefragt, wie es nach dem Angriff weiterging.

Für die IT-Fachleute begann eine stressige Phase, berichtet IT-Leiter Stefan Würtemberger: „Über neun Wochen hat es gedauert, bis alles wieder lief.“ Anschließend machten sich die EDV-Fachleute daran, die Sicherheitslandschaft neu zu strukturieren. Server und andere Hardware wurde getauscht, neue Virusscanner eingeführt, Systeme entkoppelt und die Automatisierung beim Abschalten von Servern verbessert. Die Prüfvorgänge nahmen zu – das bedeutet zwar mehr Aufwand, „aber auch mehr Kontrolle“, berichtet Würtemberger. Das Unternehmen arbeitet heute in einer sichereren Umgebung als vor einem Jahr, ist der Computerexperte überzeugt. Aber er weiß auch: „Hundert prozentige Sicherheit gibt es nicht.“

Rückblickend ist er davon überzeugt, dass die Entscheidung richtig war, nicht mit den Erpressern zu verhandeln, die den Trojaner „Doppel Paymer“ eingeschleust hatten. Die Unternehmensleitung war davon ausgegangen, dass die Hacker für die Entschlüsselung der Daten einen Millionenbetrag fordern würden. Eine Zahlung von Lösegeld aber hätte gegen die Wertvorstellung des Unternehmens verstoßen, betonte Geschäftsführer York Boeder vor einem Jahr.

Finanziell hält sich der Schaden in Grenzen: „Wenn wir unseren internen Mehraufwand ausblenden, haben wir durch den direkten Angriff kaum einen finanziellen Schaden erlitten, da die externen Kosten weitestgehend durch Versicherungen abgedeckt waren“, sagt Boeder heute: „Einen Lieferausfall konnten wir ja weitestgehend verhindern und die Umsatzausfälle wurden nachgeholt. In die Zukunft hinein investieren wir aber deutlich mehr in unser Cyber Sicherheitskonzept. Hier investieren wir jährlich deutliche sechsstellige Beträge zusätzlich“.

Während viele Firmen Hackerangriffe verschweigen, ging Marabu einen anderen Weg: Das Unternehmen informierte nicht nur über den Angriff, sondern bot auch anderen Firmen seine Unterstützung an. „Das war richtig“, ist Würtemberger überzeugt. Im vergangenen Jahr haben sich rund 18 Unternehmen bei ihm gemeldet, allein elf Firmen aus der Region. Er berät die Kollegen und hält Voträge zum Thema. „Wir tauschen Ideen und Erfahrungen aus, wie man mit einem solchen Angriff umgehen kann“, sagt Würtemberger.

Angespannte Lage

Das Arbeiten unter Coronabedingungen im Homeoffice stellte viele Unternehmen vor völlig neue Anforderungen, ist der ITler überzeugt. „Wir hatten das Glück, dass wir schon vorher aus der Cyberattacke gelernt haben“, resümiert er.

Das Bundesamt für Sicherheit in der Informationstechnik bewertete die Gefährdungslage von Juni 2019 bis Mai 2020 in Deutschland weiterhin als „angespannt“. Der Trend, dass Täter mit Schadprogrammen cyberkriminelle Massenangriffe auf Privatleute, Unternehmen und Institutionen verüben, halte an. In Baden-Württemberg soll eine Cyber-Sicherheitsagentur eingerichtet werden.

Und wie geht die Polizei bisher in Fällen von Cyberkriminalität vor? Laut Polizeipräsidium Ludwigsburg bildet die IT-forensische Untersuchung der angegriffenen Server und Clients eine Kernkomponente der Ermittlungen. So soll herausgefunden werden, auf welchem Weg der Angriff erfolgte – über E-Mails, Sicherheitslücken oder schlecht gesicherte Fernzugriffe. Außerdem recherchieren die Ermittler, ob die Täter sensible Daten eingesehen oder gar gestohlen haben.

Mit diesen Erkenntnissen können die betroffenen Unternehmen sensibilisiert und Sicherheitsstandards erhöht werden. „Durch die Rückspiegelung solcher Informationen kommen wir unserem präventivpolizeilichen Auftrag nach und versetzen das Unternehmen gleichzeitig in die Lage, eine (erneute) Risikoabwägung im Rahmen einer strategischen Vorbereitung auf mögliche Cyberangriffe durchzuführen“, sagt Yvonne Schächtele von der Pressestelle der Polizei. Einen weiteren Schwerpunkt der Polizei bildet das Nachverfolgen der Zahlungen im Bereich von Kryptowährungen – falls das betroffene Unternehmen eine Zahlung geleistet hat oder die Währungsadresse bereits anderweitig genutzt wurde.

Die Ermittlungen zum Fall Marabu sind laut Polizeipräsidium Ludwigsburg abgeschlossen. „Das Verfahren wurde im März 2020 gegen Unbekannt eingestellt, da es nicht gelungen ist, einen Täter zu ermitteln“, erklärt die Erste Staatsanwältin in Heilbronn, Bettina Jörg. Es bestünden „nur äußerst geringe Aussichten, den Täter doch noch zu ermitteln“.

Das Strafmaß für Cyberkriminalität hängt vom jeweilige Tatbestand ab: Ausspähen von Daten, Datenveränderung, Computersabotage, -betrug oder Erpressung. Für letztere drohen zum Beispiel bis zu fünf Jahre Haft.

Der große Test

Die Mitarbeiter bei Marabu sind für das Thema IT-Sicherheit sensibilisiert, das Netzwerk schaltet Segmente automatisch ab, sobald es einen möglichen Angriff wittert. „Wir fahren eher zu früh herunter als zu spät“, beschreibt Würtemberger den Vorgang. Bisher hat das System noch keinen weiteren Angreifer ausgemacht. Der große Test steht aber noch an. Im nächsten Jahr wird eine externe Firma einen geplanten Angriff auf Marabu starten – ohne dass Würtemberger und sein Team es wissen. Er rechnet damit, dass kurz darauf das System heruntergefahren wird. Aber er weiß auch: Der Wettlauf „Gut gegen Böse“ geht bei der Sicherheitstechnik weiter. Denn: „Das Böse hat sehr viel Geld“, ist Würtemberger überzeugt.