Wiesmoorer Bauunternehmen Cyber-Attacke legt Server von Bohlen & Doyen lahm
Nach einer Attacke mit Schadsoftware sind die digitalen Systeme bei Bohlen & Doyen und der Mutterfirma platt. Intern wird an der Daten-Wiederherstellung gearbeitet, Ermittlungen laufen.
Wiesmoor - Es war am Mittwochmorgen, dass Mitarbeitern beim Wiesmoorer Bauunternehmen Bohlen & Doyen sowie bei der Muttergesellschaft Friedrich Vorwerk (Tostedt, Kreis Harburg) der Schreck in die Glieder fuhr: Nichts ging mehr beim Zugriff auf Daten von den firmeneigenen Servern. Das Unternehmen war Opfer eines Cyber-Angriffs geworden. Eine Schadsoftware hatte aus noch ungeklärter Ursache das zentrale EDV-System der Firmengruppe gekapert. In Windeseile mussten weitere Anlagen heruntergefahren und ausgeschaltet werden – und statt sich um neue Aufträge und Projekte zu kümmern, saßen die Geschäftsführer plötzlich stunden- und tagelang in Krisensitzungen fest. Ziemlich genau ein halbes Jahr nachdem das Oldenburger Bauunternehmen Ludwig Freytag von einem vergleichbaren Angriff getroffen wurde, hat es nun die Vorwerk-Gruppe getroffen. Entsprechende Informationen unserer Redaktion bestätigte Firmenchef Thorben Kleinfeldt auf Nachfrage.
Was und warum
Darum geht es: Das Wiesmoorer Bauunternehmen Bohlen & Doyen ist Ziel eines Cyber-Angriffs geworden.
Vor allem interessant für: alle, die sich im Internet bewegen, und insbesondere Firmeninhaber, die ihre Daten und Geschäftsgeheimnisse vor fremden Zugriffen schützen wollen
Deshalb berichten wir: Unsere Redaktion hatte Hinweise darauf bekommen, dass Bohlen & Doyen wegen eines Cyber-Angriffs keinen Zugriff seine Server mehr hatte. Den Autor erreichen Sie unter: o.cordsen@zgo.de
Ludwig-Freytag-Chef Johannes van der Linde hatte im Mai gesagt, dass die Attacke gegen sein Unternehmen „ziemlich eindeutig aus Russland stammt“. Hat es sich beim Cyber-Angriff auf die Vorwerk-Gruppe somit möglicherweise auch um einen politischen Angriff – eventuell ebenfalls aus Russland – gehandelt auf ein in der kritischen Infrastruktur tätiges Unternehmen? Oder könnte es sich um einen Erpressungsversuch handeln, bei dem Wirtschaftskriminelle Systeme kapern und Lösegeld zur Freischaltung verlangen? „Für möglich halten wir beides, aber wir können uns dazu noch nicht äußern“, sagte Firmenchef Thorben Kleinfeldt auf Nachfrage.
„Wohl mit einem blauen Auge davongekommen“
Das Landeskriminalamt ermittelt in der Sache. Die für Cyberkriminalität zuständige Zentralstelle der Staatsanwaltschaft Verden/Aller war für eine Stellungnahme nicht zu erreichen. Die Vorwerk-Gruppe sowie insbesondere Bohlen & Doyen sind unter anderem im Pipeline- und Rohleitungsbau tätig und etwa federführend beteiligt am Bau der Leitung vom neuen LNG-Terminal in Wilhelmshaven zu den Kavernen in Etzel (Gemeinde Friedeburg). „Unsere Produktion und die Arbeiten an Bau-Projekten insgesamt waren vom Cyber-Angriff nicht betroffen“, sagt Kleinfeldt, „ansonsten sind wir wohl mit einem blauen Auge davongekommen, es sieht zumindest positiv aus – so ärgerlich das Ganze auch grundsätzlich ist.“
Das bedeutet: „Unsere Sicherungssysteme waren von dem Angriff glücklicherweise nicht betroffen. Wir haben unsere eigenen Anlagen schnellstmöglich runtergefahren, damit sich nichts weiter verbreiten kann. Gemeinsam mit externen Spezialisten, etwa EDV-Forensikern, sind wir nun seit Tagen dabei, die Systeme wieder herzustellen. Bislang sieht es so aus, dass wir unsere Daten quasi lückenlos zurückbekommen, auch wenn das Zeit und Geld kostet“, so Kleinfeldt. „Wir gehen dabei sehr vorsichtig und umsichtig vor, haben das System immer noch nicht wieder hochgefahren, auch aus Sicherheitsgründen. Wir schalten Module nur Schritt für Schritt zu, um jedes Mal ganz genau zu prüfen, ob und in welchem Maß dort eventuell noch Schadsoftware aktiv ist, die wir erst ausschalten müssen.“ Für Mail-Kommunikation im operativen Geschäft sei man, wo nötig, auf Austauschmöglichkeiten außerhalb der eigenen Server ausgewichen, auch die Möglichkeiten zu geschützter Direktkommunikation via Smartphone sei ungeachtet des Angriffs ja weiter möglich. „In Summe haben wir zumindest richtig reagiert, auch mit dem schnellen Abschalten unserer eigenen Systeme, das uns jetzt ermöglicht, alles wiederherzustellen und neu aufzusetzen“, sagt Kleinfeldt.
System war zuvor immer wieder getestet worden
Wohl noch bis in die kommende Woche hinein werde zumindest die Finanzbuchhaltung seines Unternehmens noch nicht wieder arbeiten können. „Für unsere Lohnbuchhaltung nutzen wir ein anderes System, die Lohnzahlungen sind insofern nicht betroffen“, so Kleinfeldt. Parallel laufen für die Vorwerk-Gruppe und Bohlen & Doyen nun Erwägungen, wie man sich noch besser wappnen kann, um vergleichbaren Attacken noch weniger Angriffsfläche zu bieten.
Grundsätzlich habe man seit Jahren stark ins Thema EDV-Sicherheit investiert und messe dem Thema große Bedeutung zu. „Wir haben all unsere Systeme immer wieder Angriffen und Belastungstests ausgesetzt, um mögliche Sicherheitslücken ausfindig zu machen und zu schließen – zu 100 Prozent schützen kann man sich leider nie. Denn es kann trotz Firewalls und regelmäßigen Viren-Scans immer mal sein, dass beispielsweise Beschäftigte einen falschen Klick bei einer mit Schadsoftware infizierten Mail machen, versehentlich einen verseuchten Anhang öffnen oder ähnliches“, sagt Kleinfeld. „Wir werden da aber nun sicherlich noch weiter investieren und weitere Schritte ergreifen“, sagt Kleinfeldt.
Gefährdungslage laut Behörde „so hoch wie nie“
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) spitzt sich „die bereits zuvor angespannte Lage“ bei digitalen Angriffen weiter zu. „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, heißt es im Jahresbericht der Behörde. „Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten“, so das BSI. Innenministerin Nancy Faeser (SPD) wird in dem Bericht mit den Worten zitiert: „Angesichts des russischen Angriffskrieges gegen die Ukraine sehen wir, wie eng äußere und innere Sicherheit miteinander zusammenhängen. Das gilt gerade für die Cyber-Sicherheit. Bedrohungen aus dem Cyber-Raum machen an keiner Grenze halt.“ Denn es kam auch in Deutschland zu Kollateralschäden und Cyber-Angriffen im Kontext des russischen Angriffskriegs gegen die Ukraine.
Der Auricher Windkraftanlagen-Hersteller Enercon etwa war im Frühjahr indirekt betroffen: Ein mutmaßlich russischer Hacker-Angriff auf einen Satelliten-Internet-Anbieter hatte zeitgleich mit dem Einmarsch in die Ukraine Ende Februar als mutmaßlich ungeplanter Kollateralschaden dazu geführt, dass auch Modems in rund 5800 Windkraftanlagen an entlegenen Standorten unbrauchbar wurden. Sie waren über diesen Satelliten-Dienst ans Netz angeschlossen, um sie fernwarten zu können. Auch wenn dies keine Enercon-eigene Sicherheitstechnik betraf und die Anlagen selbst weiter Strom produzierten und steuerbar waren, bedeutete es für das Unternehmen zusätzlichen Aufwand, weil der Auricher Konzern mithalf, neue Modems des Dienstleisters in Tausenden Anlagen zu installieren.
Bo-Do will weg vom Erdgas und selbst Wasserstoff erzeugen
