Erpresser legen Netzsch lahm

Internet-Kriminelle haben der in Selb beheimateten Netzsch-Gruppe unabsehbaren Schaden zugefügt. Nach einer Attacke mit Schadsoftware hat das weltweit agierende Technologie-Unternehmen mit Sitz in Selb am Wochenende sein komplettes IT-Netzwerk herunterfahren müssen. Wie Yann Jeschke, Leiter der Unternehmenskommunikation, am Mittwoch auf Anfrage unserer Zeitung schilderte, wird es wohl noch bis in die kommende Woche dauern, bis alle Unternehmensteile von Netzsch mit ihren 3700 Mitarbeitern an 36 Standorten wieder normal arbeiten können.

Netzsch ist Opfer eine Attacke mit sogenannter Ransom-Ware geworden. Darunter versteht man eine Form der Erpressung, bei dem die Täter sich Daten von Unternehmen oder auch Privatpersonen verschlüsseln und so unzugänglich machen. Erst gegen die Zahlung eines Lösegelds wird eine Rückgängigmachung der Verschlüsselung angeboten. Zumeist wird die Zahlung in einer anonymisierten Internet-Währung wie Bitcoin angefordert. Solche Zahlungen können blitzschnell und weitgehend anonym in alle Welt gesendet werden.

Angaben über die Höhe der Lösegeldforderung wollte das Unternehmen nicht machen. Netzsch-Sprecher Jeschke versicherte jedoch, dass man nicht auf die Forderung der Kriminellen eingegangen sei. Das Unternehmen werde alle seine Daten aus den Sicherungskopien wiederherstellen, die man routinemäßig im Sinne einer hohen Datensicherheit anfertige.

Zudem sei die Attacke durch die eigene IT-Abteilung relativ früh entdeckt worden. Daraufhin sei am Freitagabend das gesamte Netzwerk der Netzsch-Gruppe heruntergefahren worden, um eine weitere Verbreitung der Schad-Software zu verhindern. Dennoch seien praktisch alle Unternehmensteile des breit aufgestellten Unternehmens betroffen. Davon ausgenommen ist NEDGEX, die Digitaleinheit der Netzsch-Gruppe. Ihre Server sind in räumlich getrennt untergebracht und gesondert gesichert.

Auf seiner Homepage hat das Unternehmen sofort alle seine Geschäftspartner darauf hingewiesen, dass es Opfer eines Hacker-Angriffs geworden ist. Selbst die Telefonanlage ist gegenwärtig noch lahmgelegt, da auch sie Teil des Firmennetzwerks ist.

Den Schaden könne man bislang noch nicht beziffern, sagte Unternehmenssprecher Jeschke am Mittwoch. Zum einen werde man erst in den kommenden Tagen vollständig übersehen, wie viele Daten verschlüsselt wurden. Zum anderen müsse man noch überprüfen, ob und welche Daten aus dem Firmennetzwerk abgeflossen seien. Der Schaden dürfte dennoch immens sein, da Netzsch gegenwärtig nur bereits vorliegende Aufträge abarbeiten kann - und auch dies nur, wenn die Fertigung sich nicht auf die Firmen-IT stützt. Für neue Aufträge ist das Unternehmen gegenwärtig nicht erreichbar.

Unbekannt ist derzeit auch, wie genau sich die Internet-Kriminellen Zugang zur Netzsch-EDV verschafft haben. Gegenwärtig gehe man von einer sogenannten Phishing-Attacke aus, sagte Jan Jeschke. Die Ermittlungen haben inzwischen Experten des bayerischen Landeskriminalamtes und der bei der Generalstaatsanwaltschaft Bayern angesiedelten Zentralstelle Cybercrime übernommen. Nähere Angaben zum Stand der Ermittlungen möchte die Generalstaatsanwaltschaft gegenwärtig aber nicht machen.

Bei "Phishing" handelt es zumeist um E-Mails, die den Adressaten dazu verführen sollen, bewusst oder unbewusst Links anzuklicken, über die dann das eigentliche Schadprogramm nachgeladen wird. Diese relativ alte Masche haben kriminelle Gruppierungen im Netz inzwischen zu einer großen Meisterschaft weiterentwickelt. Zum einen verwenden sie oft große Mühe bei der Ansprache der Opfer. An die Stelle plumper Massenmails mit vielen sprachlichen Fehlern sind oft kenntnisreiche Ansprachen bestimmter Mitarbeiter getreten. Mit großem Aufwand werden zum Beispiel Anmeldeformulare nachgebildet, die in den Zielfirmen gang und gäbe sind.

Um Privatopfer zu schädigen, werden die Anmeldeseiten von Banken detailgetreu nachgebaut. So fällt es immer schwerer, in der täglichen Routine am PC noch rechtzeitig Verdacht zu schöpfen.

Im Falle von Netzsch sei es noch unbekannt, wo genau die Angreifer sich Zugang verschafft hätten, sagte Jeschke. Sicher sei, dass sich die Schadsoftware bis zum Abschalten der EDV "von Server zu Server gehangelt" hätte.

Als einziges Mittel gegen solche Erpressungen aus dem Dunkel des Netzes - die auch Privatpersonen betreffen können - gilt die regelmäßige Anfertigung von Sicherheitskopien. Danach muss die Festplatte oder der USB-Stick mit der Sicherungskopie unbedingt vom Computer oder Netzwerk getrennt werden, um nicht ebenfalls angegriffen zu werden. Auch die regelmäßige Aktualisierung des Virenscanners wird empfohlen.

Vom Zahlen des Lösegeldes raten Experten ab, nicht nur, weil damit das organisierte Verbrechen gefördert wird. In etlichen Fällen sei es trotz Zahlung eines Lösegelds nicht zu einer Entschlüsselung gekommen. Außerdem mache man sich damit bei Tätern als gefügiges Opfer bekannt.