Kein Lösegeld gezahlt Cyber-Erpresser legt Marabu lahm

Von
Wie genau die Schadsoftware auf den Server der Firma Marabu gelangte, lässt sich noch nicht sagen. Die Ermittlungen des BKA dauern an.⇥ Foto: Martin Kalb

Mehrere Tage war der Hersteller von Druckfarben von der Außenwelt abgeschnitten. Mit den Erpressern hat er nicht verhandelt. Er ist dabei, seine EDV-Systeme aus eigener Kraft wiederherzustellen.

Es ist vier Uhr an einem Freitag im November, als der Verschlüsselungstrojaner damit beginnt, die Daten der Firma Marabu auf 180 Servern zu verschlüsseln. Gegen 6.30 Uhr bemerkt die IT-Abteilung in Tamm den Cyberangriff. Um 10 Uhr werden weltweit alle Rechner der Firma heruntergefahren. „Sechs Tage lang waren wir von der Außenwelt abgeschnitten“, sagt der CEO von Marabu, York Boeder. Während die Mitarbeiter mittags nach Hause geschickt werden und für die folgenden zwei Werktage Betriebsruhe verordnet wird, arbeitet der Krisenstab aus IT-Experten und Abteilungsleitern sowie Geschäftsführung Tag und Nacht an einer Lösung des Problems.

Heute weiß IT-Leiter Stefan Würtemberger, dass Marabu mithilfe des Erpressungstrojaners „Doppel paymer“ angegriffen wurde. Damals war zunächst nur klar, dass die Cyberangreifer Geld fordern werden, vermutlich einen Millionenbetrag, bevor die Firma wieder an die unverschlüsselten Daten kommt. „Wir haben sorgsam abgewägt“, sagt Boeder, „aber wir haben die klare Wertvorstellung, dass man auf Erpressung nicht eingehen soll“. Daher habe das Unternehmen mit den Tätern nicht verhandelt.

Beschluss des Krisenstabs

Der Hersteller von Sieb-, Digital- und Tampondruckfarben sowie Kreativ- und Hobbyfarben beliefert unter anderem die Automobilindustrie, stellt Farben für Kreditkarten und Smartphones her. Der Krisenstab beschließt, die Systeme und Dateien aus eigener Kraft wiederherzustellen. Ohne Bestands- oder Produktionsdaten behelfen sich die Mitarbeiter tagelang mit Papierlisten und Kopien, um die dringendsten Aufträge auf den Weg zu bringen. „Die Bereitschaft in der gesamten Belegschaft zu improvisieren und mit anzupacken war überwältigend“, erklärt der Geschäftsführende Gesellschafter bei Marabu, Rolf Simon.

Die Entscheidung, mit dem Cyberangriff an die Öffentlichkeit zu gehen, ist ungewöhnlich. Obwohl das Bundeskriminalamt (BKA), das auch in der Firmenzentrale in Tamm ermittelt, für 2018 von rund 87 000 bundesweiten Fällen von Cyberkriminalität ausgeht, werden die Schäden für Unternehmen auf über 100 Milliarden Euro geschätzt. Doch viele Unternehmen fürchten laut BKA den Vertrauensverlust von Kunden und Partnern und würden Cyberangriffe daher selten anzeigen.

Marabu hat einen anderen Weg gewählt. York Boeder betont, dass das Unternehmen in der Krise von den Erfahrungen anderer Unternehmen profitiert habe. Es sei daher nur fair, dieses Wissen nun auch an andere Betroffene weiterzugeben. Das Unternehmen möchte ein Signal setzen gegen die Erpressung im Netz. Boeder rät betroffenen Unternehmen, sich auch in der akuten Krise die Zeit zu nehmen und zu überlegen, ob es einen analogen Plan B für die wichtigsten Versorgungswege geben kann.

„Bei uns ist es zum Glück gut gegangen“, sagt York. Auch wenn der finanzielle Schaden für die Firma dadurch nicht unbedingt geringer ausgefallen sei, hält Boeder dies für den richtigen Weg: Wenn sich niemand mehr erpressen lasse, hätten Erpresser keine Chance mehr. Die Firma hat die Täter angezeigt, das BKA hat Rechner und Server für die Suche nach dem oder den Tätern beschlagnahmt. Ob sie gefasst werden, lässt sich nicht sagen. Mittlerweile haben die elf internen EDV-Experten und die sieben Externen große Fortschritte gemacht, berichtet Würtemberger. Am Standort in Tamm und Bietigheim-Bissingen laufen die Systeme weitestgehend wieder normal. Bei den 15 Landesgesellschaften in den USA, Europa, Südamerika und Asien sieht es anders aus, hier laufe die EDV nach wie vor noch nicht. Marabu hofft bis Ende der Woche auf einen Fortschritt. China sei das einzige Land, das aufgrund der rigiden Kontrollen im Internet nicht von dem Angriff betroffen sei, berichtet Boeder.

Mithilfe einer israelischen Software werden die verschlüsselten Originaldateien nun wiederhergestellt. „Das funktioniert gut“, sagt Würtemberg, „aber es dauert einige Zeit.“ Am Ende werde sich der Datenverlust auf wenige Tage beschränken, ist er optimistisch.

Systeme entkoppeln

Auch wenn es keine hundertprozentige Sicherheit gibt, sollen nun identifizierte Sicherheitslücken geschlossen werden, Systeme entkoppelt und die Automatisierung beim Abschalten von Servern verbessert werden. „Die Belastung der letzten Tage war für die internen und externen Mitarbeiter immens.“ Bis zum Jahresende werde die Produktion wieder in geregelten Bahnen laufen, die Neustrukturierung der IT werde ein Projekt für das Jahr 2020. „Wir sind gestärkt aus der Krise herausgegangen“, ist sich Boeder sicher. Er hofft, dass sich ein solcher Black Friday (Schwarzer Freitag) wie in diesem Jahr nicht mehr wiederholt.

 
 
- Anzeige -