Foto: PALFINGER

PALFINGER: Der Umgang mit dem Hackerangriff

Cybersecurity ist vergleichbar mit der Burg „Helms Klamm“ im Herr-der-Ringe-Film: Riesige Steinmauern können das Burginnere vor Angriffen schützen. Es gibt aber auch in der stärksten Trutzburg immer irgendwo eine Schwachstelle (im Falle von Helms Klamm ein Abwasserkanal), den Angreifer:innen finden und von dort aus in die Burg gelangen können.

Diesen Vergleich zieht Alexander Wörndl-Aichriedler, Vice President Global ICT bei PALFINGER. Das internationale Technologie- und Maschinenbauunternehmen wurde Anfang 2021 Opfer einer Ransomware-Attacke. Ransomware ist eine Schadsoftware mit der Hacker:innen Daten verschlüsseln, Passwörter ändern und/oder Berechtigungen ändern, um den Zugriff auf Daten zu verhindern, mit dem Ziel Lösegeld einzufordern.

Da Produktionsanlagen wie bei PALFINGER immer vernetzter werden, können die Auswirkungen eines Hackerangriffs schwerwiegend sein. Die Anzahl der Partnerunternehmen, die extern zugreifen, steigt, weil sie zum Beispiel Wartungen durchführen oder Systeme überwachen. „Das öffnet potenzielle neue Einfallstore für Hacker:innen“, sagt Alexander Wörndl-Aichriedler. Aber auch die Produkte von PALFINGER, die Kräne, sind smart und vernetzt. „Ein Angreifer könnte sich Zugriff auf einen Kran verschaffen und ihn damit lenken, das könnte massive negative Auswirkungen haben.“ Die Zugänge zu vernetzten Systemen müssen daher so sicher als möglich gemacht werden.

Alexander Wörndl-Aichriedler, Vice President Global ICT bei PALFINGER (Foto: PALFINGER)

Angriffe sind gezielt und geplant

Doch auch bei großen Security-Anstrengungen gibt es keine hundertprozentige Sicherheit. „Die Frage ist, wie viel Aufwand betrieben wird, eine Schwachstelle im System zu finden“, erklärt Alexander Wörndl-Aichriedler. Denn bei einer Ransomware-Attacke greifen Hacker:innen nicht zufällig Unternehmen an, sondern suchen gezielt nach dem Abwasserkanal in Helms Klamm.

Dringen Angreifer:innen in ein System ein, legen sie auch nicht sofort los, sondern schauen sich erstmal um und verschaffen sich einen Überblick über die IT-Umgebung: wo sind Rechenzentren, welche Netzwerke und sensiblen Daten gibt es? So ein Angriff wird ca. 2 bis 6 Monate im Vorhinein geplant.

Auch der Zeitpunkt des Angriffs ist kein zufälliger. In den meisten Fällen handelt es sich um ein sensibles Datum, um Unternehmen zum Zahlen des Lösegelds zu zwingen. Im Fall von PALFINGER war das ein Samstag, Ende Jänner: der Jahresabschluss und die Gehaltszahlungen fielen an. Üblicherweise sind die Unternehmen am Wochenende auch nicht stark besetzt.

Die Bombe wurde gezündet

Daten wurden verschlüsselt, zentrale Systeme waren betroffen – mit Auswirkungen auf viele PALFINGER-Werke auf der ganzen Welt. Der Großteil der Produktion stand somit still.

Wie reagiert man auf so einen Angriff? „Zuallererst versuchten wir die Ausbreitung der Attacke einzudämmen bzw. zu verhindern, indem wir die Verbindung zu anderen Systemen und Standorten kappten“, so Alexander Wörndl-Aichriedler. Danach verschafften sich die IT-Mitarbeiter:innen von PALFINGER einen Überblick über den Schaden. „Ransomware-Attacken haben eines gemeinsam: sie greifen Basisdienste an. Diese haben wir Schritt für Schritt wieder hochgefahren“. Nach zwei Tagen funktionierte zum Beispiel das Verschicken und Empfangen von E-Mails wieder.

Trotzdem entschied sich PALFINGER dazu, das Lösegeld zu bezahlen. „Das war vor allem eine kommerzielle Überlegung: wie lange dauert es Daten aus Backup-Systemen wiederherzustellen? Es war eine Abwägung zwischen einem potentiellen Datenverlust oder einer möglichen Entschlüsselung mithilfe der Hacker:innen“. Dabei handelte es sich um Datenmengen im 100sten Terrabyte-Bereich: Konstruktionsdaten, Bestellungen, Rechnungen, die fakturiert wurden und vieles mehr. Aber auch die Entschlüsselungsprozesse sind aufwändig und gehen nicht von heute auf morgen. PALFINGER wählte einen gemischten Ansatz mit Entschlüsselung, Widerherstellung aus dem Backup und kompletten Neuaufsetzen. Daten sind bei diesem gewählten Ansatz keine verloren gegangen.

Security vs. Betriebsfreundlichkeit

Welche Konsequenzen zog PALFINGER aus dem Hackerangriff? „An der Cybersecurity-Strategie hat sich nichts geändert. Der Hackerangriff hat die Prozesse nur noch mehr beschleunigt, indem früher finanzielle Mittel für weitere Maßnahmen frei gemacht wurden“, sagt Alexander Wörndl-Aichriedler. Er vergleicht den Prozess mit einem Pendel, das einmal Richtung Security und einmal Richtung Betriebsfreundlichkeit ausschlägt. Fakt ist, mehr Security-Maßnahmen machen Prozesse langsamer und komplizierter, sie sind aufwändig und kostenintensiv. Doch aktuell schlägt das Pendel Richtung Security aus.

Anderen Unternehmen rät er, das Thema nicht auf die leichte Schulter zu nehmen. Man solle auf externe Partner:innen vertrauen, die die IT-Umgebung regelmäßig kontrollieren und Schwachstellen aufzeigen. Und falls es doch zu einem Angriff kommt: Transparenz. Viele Unternehmen verschweigen Cyberangriffe, weil sie nicht zugeben wollen, Opfer eines Angriffs geworden zu sein, die Gründe dafür mögen vielfältig sein. PALFINGER hat sich für einen anderen Weg entschieden und erntet dafür viel Zuspruch. Alexander Wörndl-Aichriedler und seine Kolleg:innen berichten auf vielen Security-Veranstaltungen darüber. Damit auch andere Unternehmen ihre Abwasserkanäle besser schützen können.

Wann soll man Lösegeld bezahlen und wann nicht?

„Ob ein Unternehmen das Lösegeld bezahlen soll oder nicht, hängt vom konkreten Fall ab“, sagt der IT-Experte Dominik Engel von der Fachhochschule Salzburg. Die Kosten-Nutzen-Rechnung sprach im Falle PALFINGERs dafür. Doch es sollte immer die Ultima Ratio sein: „Wenn es andere (ökonomisch) sinnvolle Möglichkeiten gibt, wie das Zurückgreifen auf Backup-Systeme, sollte man die zuerst ausreizen.“ Denn das Bezahlen von Lösegeld stärkt das Geschäftsmodell der Hacker:innen. Dominik Engel ist aber der Meinung, dass man den Unternehmen diesen ethischen Aspekt nicht umhängen kann, denn: „Zuallererst müssen sie den eigenen Betrieb aufrechterhalten.“

Eine Frage, die bei Dominik Engel immer wieder aufschlägt, ist, ob Unternehmen sich bereits mit Kryptowährung eindecken sollen, um im Falle eines Angriffs schnell bezahlen zu können (denn Lösegeld wird üblicherweise mit zum Beispiel Bitcoins bezahlt). „Nein, auf keinen Fall. Das lädt Hacker:innen ja geradezu ein, das Unternehmen anzugreifen.“

Gepostet am 24.02.2022

Die FH Vorarlberg hat eine Testumgebung entwickelt, in der Workshop-Teilnehmer:innen die Möglichkeit bekommen, anhand von verschieden konfigurierter, möglichst realen IT- und OT-Infrastrukturen reale Angriffe selbst durchzuführen, Angriffe zu erkennen, Abwehrmaßnahmen zu implementieren und richtig auf Angriffe zu reagieren. So können Monitoring- und Abwehrmaßnahmen geübt werden.

Der Workshop dauert 3 Tage und ist kostenpflichtig. Bei Interesse am Cyber Range Training wenden Sie sich an info@fhv.at. Mehr Informationen zum Training finden Sie hier.

Ähnliche Beiträge

Salzburger Innovationsgeist: Karl Wagner

Karl Wagner ist Geschäftsführer der CUBES GmbH, einer innovativen Produktionsfirma von Formen für Bauteile von Flugzeugen und Autos. Im Interview erklärt Karl Wagner, was es für Innovation braucht, wie wichtig das Arbeitsumfeld dafür ist und welche Rolle Förderungen bei Innovation spielen.

Leitlinien für inklusiven Tourismus

Menschen mit Behinderungen einen besseren Zugang zu natürlichen Umgebungen: Digitale und analoge Maßnahmen für inklusiven Tourismus verbessern den Zugang für alle und tragen auch zur regionalen Entwicklung bei. Zentrale Leitlinien zum kostenlosen Download.

GetTheLight: Lichtplanung im digitalen Raum

Der digitale Marktplatz GetTheLight holt Lichtplanung in den digitalen Raum: die Planung mit einem professionellen Lichtdesign, die Suche und Bestellung nach passenden Leuchten und die Buchung eines Montagetermins. Mit dem Rundum-Paket ist GetTheLight innovativer Vorreiter in der Branche.