Cyber-Attacken: Cyber-Attacken: Nach Hacker-Angriff muss sich weltgrößtes Alu-Werk umgewöhnen

Rackwitz - Als sich die Computer in der Nachtschicht einfach abschalten, herrscht in der sächsischen Gießerei von Norsk Hydro noch Gelassenheit. Fehler in der EDV treten immer wieder mal auf. Doch in der Nacht zum 19. März fährt sich das System nicht nach wenigen Minuten wieder neu hoch. Die Monitore bleiben schwarz. „In den Morgenstunden wurde ich dann aus dem Bett geklingelt“, erzählt Geschäftsführer Thomas Stürzebecher. Etwas später meldet sich auch die Konzern-Zentrale aus dem rund 1 200 Kilometer entfernten norwegischen Oslo.

Der weltgrößte Aluminium-Hersteller ist Opfer eines Hacker-Angriffs geworden. Norsk Hydro ist in 50 Ländern aktiv - der Virus verbreitete sich im gesamten Unternehmensnetzwerk. Es handelt sich um eine der größten Cyberattacken, die bisher auf ein Unternehmen überhaupt verübt wurde.

Auch mehr als zwei Wochen danach kämpft das Unternehmen noch dagegen an. Die Skandinavier entschieden, darüber relativ offen zu kommunizieren. Das gewährt seltene Einblicke, wie gefährlich solche Angriffe sind.

In dem Ort Rackwitz vor den Toren Leipzigs betreibt der Konzern Hydro zwei Werke. In der Hydro Aluminium Gießerei werden jedes Jahr 95 000 Tonnen sogenannte Strangpressbolzen aus Aluminiumschrott produziert. Aus diesen stellt der Schwesterbetrieb Hydro Extrusion Deutschland am Standort unter anderem Teile für den Fahrzeug- und Maschinenbau her.

„Wir hatten noch Glück im Unglück“, sagt Gießerei-Betriebsleiter Stürzebecher. Die Steuerung des Schmelzofens finde in einem separaten System statt. „Wir mussten die Produktion daher nicht einstellen.“ Betroffen seien jedoch zentrale IT- und die Kommunikationssysteme. „Den Telefonbetrieb haben wir schnell auf unsere Handys umgestellt“, sagt der Geschäftsführer. Problematisch sei unter anderem die Abwicklung der Warenannahme und die Erhebung von Prozessdaten im Werk.

Vor den Toren des Werks stehen Lkw mit Aluminiumschrott, um auf die Waage zu fahren. Normalerweise werden die Daten mit wenigen Klicks am Computer elektronisch aufgenommen. Nun müssen aufwendig Lieferscheine per Hand ausgestellt werden. „Wir arbeiten wie vor 15 Jahren, alles wird auf Papier dokumentiert“, sagt Stürzebecher. „Wir hatten glücklicherweise noch Formulare in den Schränken, so dass dies schnell anlief.“ Das Wichtigste ist in seinen Augen, „dass es keine Unfälle gab und die Mitarbeiter zu keiner Zeit gefährdet waren“.

Beim Nachbarn Hydro Extrusion kam die Produktion dagegen zeitweise zum Erliegen. In der Nacht zum Dienstag stellten sich die großen Pressen ab, in der die Aluminiumteile hergestellt werden. Die Mitarbeiter der Frühschicht kamen noch ganz normal zur Arbeit, zogen sich in der Umkleide um - und standen dann vor den stummen Maschinen. Das Problem: Ohne das IT-Netzwerk fehlte den Pressen die Information, welche Aufträge sie ausführen sollten.

Was ist passiert? Norsk Hydro gibt an, Opfer einer sogenannten Ransomware-Attacke mit einer Erpressersoftware namens „LockerGoga“ geworden zu sein. Es handelt sich dabei um einen Lösegeld-Trojaner. „Das sind Programme, welche zum Beispiel alle im Zugriff befindlichen Netzlaufwerke oder Festplatten verschlüsseln. Der Betroffene wird dann über das Schadcode-Programm aufgerufen, Lösegeld für die Entschlüsselung der Daten zu zahlen“, erklärt Hendrik Nitz, Sicherheitsbeauftragter des IT-Dienstleisters Gisa aus Halle. Das Unternehmen bietet seinen Kunden Schutz vor Cyberattacken an. Das Lösegeld soll laut Nitz meist über die anonyme Kryptowährung Bitcoin gezahlt werden.

Ob es bei Hydro eine solche Forderung gibt, ist bisher nicht mitgeteilt worden. Die Norweger versuchten zunächst, den Schaden zu begrenzen. Den Mitarbeitern wurde als erstes untersagt, sich in das interne System einzuloggen. Mit handgeschriebenen Schildern teilte das Unternehmen an den Standorten mit: „Hydro ist einem Cyberangriff ausgesetzt. Logge dich nicht ins Netzwerk ein, bis ein neuer Bescheid kommt.“

Auch die Firmen-Homepage war zunächst nicht erreichbar. Auf dieser werden inzwischen auch die Kunden gewarnt: „Passen Sie besonders auf, wenn Sie in dieser Zeit E-Mails von Hydro erhalten. Zum Beispiel sollten Sie wissen, dass Hydro unter keinen Umständen Partner bitten wird, andere Bankkonten zu benutzen.“

Wie der Virus ins System gelangte, ist offenbar weiter unklar. IT-Sicherheitsexperte Nitz sagt: „In der Regel versucht ein Angreifer, durch fingierte E-Mails dem Betroffenen dazu zu bringen, einen Anhang oder Link zu öffnen.“

Der Empfänger denkt laut Nitz, er komme auf eine Website oder liest ein PDF-Dokument. In Wahrheit werde die Kommunikationsbeziehung ausgenutzt und ein Schadcode aufgespielt. Nach Angaben von Nitz gibt es gegen fast alle solche Trojaner einen wirksamen Schutz. „Drei bis vier Tage nach Bekanntwerden von neuen Trojanern können diese automatisch gefiltert und geblockt werden“, so der IT-Experte. Es bleibt dennoch ein kritisches Zeitfenster bei neuen Varianten.

Norsk Hydro wurde im Jahr 1905 im norwegischen Notodden gegründet und ist heute mit mehr als 34 000 Mitarbeitern in 50 Ländern der größte Aluminium-Hersteller der Welt. Das Unternehmen erwirtschaftet einen Umsatz von mehr als elf Milliarden Euro. Seit 1997 gehört auch der Leichtmetall-Standort Rackwitz zu dem Unternehmen. In dem Industriekomplex arbeiteten in der DDR rund 2 000 Mitarbeiter. In der Hydro-Gießerei sind heute 65 Mitarbeiter tätig, im Presswerk etwa 220. Um die Werke haben sich weitere Firmen angesiedelt. Am Standort insgesamt arbeiten etwa 500 Beschäftigte.

Ransomware (vom englischen „ransom“ für „Lösegeld“), auch Erpressungstrojaner genannt, ist weit verbreitet. Laut Sicherheitsexperten gibt es über 100 000 verschiedene Varianten. Das erste Virus dieser Art war 1989 der Schädling „Aids Trojan Disk“, der mit Hilfe einer infizierten Diskette Daten verschlüsselte. Einer der ersten Angreifer, der Ransomware zur Verbreitung über das Internet einsetzte, ist der Trojaner „Troj_Pgpcoder.a“, für dessen Entschlüsselung mehrere hundert US-Dollar gefordert wurden. Im polizeilichen Kriminalitätsbericht von Sachsen-Anhalt von 2011 wird ein Fall beispielhaft erwähnt. Ein Täter hatte 831 Computer in Sachsen-Anhalt mit der Erpressungssoftware infiziert.

Stürzebecher erzählt, dass auch bei Hydro die Mitarbeiter regelmäßig Schulungen erhalten, in denen sie vor solchen Schad-E-Mails gewarnt werden. „Durch unsere zentrale IT fühlten wir uns aber geschützt“, so der Betriebsleiter. In diesem Fall hat sie jedoch versagt.

Das zentrale Kommunikationssystem war sogar eher ein Nachteil, weil sich der Virus im Firmennetzwerk ausbreiten konnte. Laut Norsk Hydro laufen die Produktionsanlagen wie Alu-Hütten und Kraftwerke normal weiter. Doch wenn die Produktionsanlagen nicht wissen, welche Waren und welche Mengen sie herstellen sollen, gerät das System dennoch ins Stocken.

Die Attacke auf Norsk Hydo ist besonders spektakulär, solche Angriffe sind aber längst keine Seltenheit mehr. Das Bundesamt für Sicherheit in der Informationstechnik schätzt, dass allein Verschlüsselungstrojaner im Jahr 2017 weltweit einen Schaden von etwa sieben Milliarden Euro angerichtet haben. Bereits im Jahr 2016 waren mehrere deutsche Krankenhäuser wie gelähmt. Die Klinken hatten sich die digitalen Viren „Tesla-Crypt“ und „Locky“ eingefangen. Elektronische Krankenakten waren beispielsweise nicht mehr einsehbar.

Bei Hydro wird nun fieberhaft an einer Lösung des Problems gearbeitet. Doch auch nach mehr als zwei Wochen sind zentrale IT-Systeme noch nicht einsatzbereit. Das Unternehmen verfügt zwar über Sicherheitskopien der verschlüsselten Daten. „Diese neu in das System aufzuspielen, ist kein Problem“, erläutert Stürzebecher. Alles würde relativ schnell wieder ins Laufen kommen. Doch bevor nicht zweifelsfrei feststeht, wie der Virus ins System gelangte, besteht laut dem Hydro-Manager die Gefahr eines zweiten Angriffs.

Normalität wird in die sächsische Gießerei so schnell ohnehin nicht einkehren. „All die Daten, die wir jetzt schriftlich erheben, müssen wieder digitalisiert werden“, sagt der Werkschef. Das werde für die Verwaltung viel Arbeit. Stürzebecher ist jedoch auch stolz auf seine Mannschaft: „Wir improvisieren viel und keiner schaut am Ende auf die Uhr, wenn es mal länger dauert.“