Der Automobilzulieferer Gedia ist Opfer einer Cyber-Attacke geworden. Hacker legten den Betrieb des weltweit tätigen Unternehmens lahm.
Gemäß der Angaben von Polizei und Staatsanwaltschaft ist Cybercrime in Deutschland auf dem Vormarsch. Allein die 55.000 registrierten Fälle pro Jahr in Berlin legen davon Zeugnis ab. Von Online-Erpressungen sind auch immer mehr mittelständische Unternehmen betroffen. Wie die Wirtschaftswoche berichtet hat, traf es kürzlich den Automobilzulieferer Gedia.
Gedia gehackt
Bei der Gedia Automotive Group sind im Saarland über 4.300 Mitarbeiter/innen in acht Produktionsstätten beschäftigt. Produziert werden Karosseriepressteile sowie Schweißbaugruppen für die Automobilindustrie. Der Automobilzulieferer ist mit seinen Produktionswerken in Polen, Ungarn, Spanien, China, Indien, USA und Mexiko weltweit vertreten. Gedia beliefert große europäische Autohersteller genauso, wie Ford und General Motors.
Ransomware Sodinokibi sorgte für Datenverschlüsselung
Am 21. Januar 2020 kam es bei Gedia zu einer Infektion mit der Ransomware Sodinokibi. Der Angriff erfolgte in der Nacht von Montag zu Dienstag auf die Zentrale der Gedia Automotive Gruppe in Attendorn-Ennest (Sauerland). Die Schadsoftware gelangte vermutlich über eine Mitarbeiter-E-Mail in das betriebseigene Netzwerk. Gemäß Vertriebsleiter Markus Hammer haben die Sicherheitssysteme des Unternehmens die Attacke sehr schnell bemerkt. Die Verantwortlichen hätten sich aufgrund des Angriffumfanges zur Abschaltung aller IT-Systeme entschieden und auch zeitnahe externe Experten hinzugezogen. Da alle Standorte an die zentrale IT-Struktur im Sauerland angeschlossen sind, konnte man Auswirkungen auch auf die weiteren Gedia-Standorte nicht vermeiden. Gedia hat desweiteren die Staatsanwaltschaft eingeschaltet.
Gedia leitete Notfall-Maßnahmen ein
Der Automobilzulieferer teilte mit: „Ein Notfallplan stellt Produktion, Materialversorgung und die Abwicklung der Kundenbelieferung sicher. Die kritischen Systeme laufen“. Allerdings kam es zum Stillstand in der Verwaltung in Attendorn. Hier bedeutet die Schadsoftware Zwangsurlaub für rund 350 Mitarbeiter, da große Teile nicht arbeitsfähig sind. Die Fehlzeiten will man über Gleitzeitregelungen und Mehrarbeit nachfolgend ausgleichen.
Cyberkriminelle verlangen Lösegeld von Gedia
Als Teil der Cyber-Attacke wurden sämtliche Computer einschließlich aller Netzwerke verschlüsselt. Zudem haben sich die Cybergangster 50 Gigabyte an internen Daten kopiert. Darunter befinden sich Zeichnungen, Daten von Mitarbeitern und Kunden etc.
Nach Informationen der Wirtschaftswoche (Beitrag versteckt hinter einer Paywall) steckt hinter dem Hackangriff eine Gruppe, die unter dem Pseudonym UNKN agiert. Unter diesem Namen stellten die Hacker in zwei russischsprachigen Internetforen bereits erste Daten, wie Mitarbeiter-Passwörter, darunter auch das von Gedia-Chef Markus Schaumburg, ein. Sie drohten in Folge mit den Veröffentlichungen immer sensibleren Daten, sollte das Unternehmen nicht innerhalb von sieben Tagen das verlangte Lösegeld zahlen. In dem Bekennerschreiben hieß es: „Was Sie nicht kaufen, veröffentlichen wir kostenlos“.
„Was Sie nicht kaufen, veröffentlichen wir kostenlos!“
Am 1. Februar meldeten sich die Hacker erneut. In einem der benutzten Onlineforen kündigten sie die Veröffentlichung eines weiteren Datensatzes an. UNKN gab bekannt, dass sie die Daten schrittweise verbreiten würden. Im letzten Schritt wolle man „die Finanzdaten der Mitarbeiter, ihre persönlichen Daten und die Ihrer Kunden“ offenlegen.
Am 14.02 eröffentlichten die Cyberkriminellen einen weiteren Datensatz. Er enthielt heikle, interne Angaben zu Steuerzahlungen, Verträgen und Firmenkonten. Aber auch Baupläne für Autoteile oder Projektpläne für die Zusammenarbeit mit namhaften deutschen und internationalen Autobauern waren dabei. Der Datenlink entielt den Hinweis: „Ein weiteres Archiv. Wir verwenden den Rest [der Daten] wie vorgesehen“. Offensichtlich ist keine Zahlung seitens Gedia erfolgt.
Vorgehen der Hacker existenzgefährdend für Mittelständler
Vertriebsleiter Markus Hammer informierte die Vertriebspartner zeitnahe über die gegebene Situation. Unternehmensseitig schätzte man ein, bei den Hackern handle es sich „um hochprofessionelle Kriminelle, die durchaus strukturiert vorgehen“. Hammer beurteilt die Lage als existenzbedrohend: „Wenn es einen richtig hart trifft, kann das besonders im Mittelstand an die Existenz gehen“.
Man geht davon aus, dass alles erst nach Monaten wieder planmäßig funktionieren wird.
Kölner Staatsanwaltschaft ermittelt
Nun ist es Sache der Polizei, die Täter zu ermitteln. Der für den Fall zuständige Dr. Christoph Hebbecker von der Staatsanwaltschaft Köln (ZAC NRW) will jedoch zu diesem Zeitpunkt noch keine Details preisgeben. Schließlich wolle man den Tätern dadurch keine Vorteile verschaffen.
Tarnkappe.info