Startseite » Sicherheitstechnik »

Cyberangriff auf die Schmersal-Gruppe

Cyberangriff
Handlungsfähigkeit der Schmersal-Gruppe ist wieder hergestellt

Handlungsfähigkeit der Schmersal-Gruppe ist wieder hergestellt
Die geschäftsführenden Gesellschafter Heinz und Philip Schmersal (v.l.) Bild: Schmersal

(ik) Die Schmersal-Gruppe, ein international tätiger Anbieter im Bereich Maschinensicherheit mit Sitz in Wuppertal, hat nach einem massiven Cyberangriff die Produktion an ihren weltweiten Standorten wieder hochgefahren. Ende Mai hat Schmersal von offizieller Seite eine Warnung erhalten, dass Cyberkriminelle einen gezielten Angriff auf das Firmennetzwerk planen. Nach einer Verifikation des Anrufs trafen die IT-Verantwortlichen schnell eine Entscheidung von großer Tragweite: Sie schalteten das gesamte Firmennetzwerk ab.

Inhaltsverzeichnis

1. Identifikation und Isolation der Schadsoftware
2. Erfolgreiche Reaktivierung des ERP-Systems, des Zentrallagers sowie des Kommunikationsnetzwerks
3. Zusammenarbeit über Unternehmensgrenzen hinweg

Innerhalb von zehn Minuten war die Verbindung zum Internet getrennt und innerhalb von 90 Minuten die gesamte IT weltweit heruntergefahren. Nichts ging mehr, von der Telefonanlage über die gesamte ERP-System-Infrastruktur und die komplette Produktion bis zum vollautomatisierten Lager, an allen Standorten.

Identifikation und Isolation der Schadsoftware

Wie sich schnell herausstellte, war dies die einzig richtige Entscheidung, und sie kam zum exakt richtigen Zeitpunkt. IT-Forensiker konnten die aggressive Schadsoftware identifizieren und isolieren. Offenbar befand sich der Angreifer noch in einer Vorbereitungsphase, als die Systeme abgeschaltet wurden. Nun galt es, den Angreifer daran zu hindern, die Attacke zu vollenden. Daher mussten die Systeme zur Vorsicht abgeschaltet bleiben, bis sie final gesäubert werden konnten.

Der Offline-Zustand blieb eine ganze Reihe von Tagen bestehen: Die komplette Produktion ruhte, während Verwaltung und Vertrieb intensiv daran arbeiteten, Kunden, Lieferanten und andere Geschäftspartner zu informieren. „In solchen Situationen wird deutlich, wie abhängig ein Unternehmen heutzutage von der IT ist. Telefonieren, Mailen, Bestellungen annehmen: Für jeden Vorgang mussten wir alternative Kanäle finden. Wir haben deshalb mit großem Aufwand auf allen denkbaren Wegen den Kontakt zu unseren Kunden gesucht und sie auf dem Laufenden gehalten. Schließlich galt es, die Lieferketten unserer Kunden so wenig wie möglich zu beeinträchtigen“, sagt Philip Schmersal, geschäftsführender Gesellschafter.

Zeitgleich gab es sehr viel „Handarbeit“ zu erledigen: Da diese Schmersal-spezifische Schadsoftware zu Beginn von keinem Standard-Scanner erkannt wurde, musste jeder Rechner mit einer individuellen Reinigungsroutine bearbeitet werden. Parallel dazu wurden über Ersatz-Server die Kommunikation aufrechterhalten, tausende von E-Mails mit Bestellungen ausgedruckt und manuell bearbeitet sowie die Software-Programme wieder hochgefahren.

Erfolgreiche Reaktivierung des ERP-Systems, des Zentrallagers sowie des Kommunikationsnetzwerks

Nach einer Woche sehr intensiver Arbeit war das ERP-System und damit auch das Zentrallager in Wuppertal wieder lauffähig. Auch das weltweite Kommunikationsnetzwerk zwischen den immerhin sieben Produktionsstätten und 64 internationalen Landesgesellschaften und Handelsvertretungen wurde erfolgreich reaktiviert. Eine weitere Woche dauerte es, bis die Produktion an den deutschen Standorten in vollem Umfang ihre Arbeit aufnehmen konnte.

Philip Schmersal zu den Lessons learned des Zwischenfalls, der das Unternehmen in einen vierzehntägigen Ausnahmezustand brachte: „Zunächst haben wir Glück gehabt, dass wir gewarnt wurden und frühzeitig handeln konnten. Wirklich beeindruckt hat mich das Engagement der Belegschaft, die unabhängig von Arbeitszeiten und Abteilungszugehörigkeit selbst am Wochenende den Notbetrieb ohne Firmennetzwerk aufrechterhalten hat. Hier hat die Krisensituation klar gezeigt: Unser Firmenleitbild wird gelebt – wir agieren als eine Firma. Das haben die Mitarbeiter mit großem Einsatz in der Praxis umgesetzt und damit dazu beigetragen, dass wir – im Verhältnis zur Schwere der Attacke – doch schnell wieder handlungsfähig waren.“

Zusammenarbeit über Unternehmensgrenzen hinweg

Als sehr positiv haben die Verantwortlichen auch die gute Zusammenarbeit mit Nachbarunternehmen und Netzwerkpartnern aus der Region empfunden. „Nur mit der Nachbarschaftshilfe aus dem bergischen Mittelstand waren die erforderlichen umfangreichen Arbeiten an der IT-Infrastruktur überhaupt zu schaffen. Bedanken möchten wir uns auch bei einigen Unternehmen der Automatisierungsbranche, die schon Opfer solcher Attacken waren und uns in den vergangenen vierzehn Tagen ganz uneigennützig unterstützt haben. Den Kunden gebührt ebenfalls Dank für ihr Verständnis – und ganz besonders den Mitarbeitern für ihr großartiges Engagement in dieser schwierigen Phase“, erklärt Philip Schmersal.

Die Attacke hat gezeigt, dass der übliche Standardschutz mit Anti-Virus-Programmen und Firewall bei gezielten Angriffen mit bis dahin unbekannter Schadsoftware machtlos ist. Schmersal hat den einschlägigen Anbietern von Virenschutzprogrammen umgehend die Informationen über die Schadsoftware zur Verfügung gestellt. Die Anbieter haben ihren Schutz entsprechend erweitert, sodass dieses Virus höchstwahrscheinlich keinen Schaden mehr anrichten kann. Philip Schmersal: „Jedoch haben wir gelernt, dass die Unternehmens-IT im Mittelstand sich neu definieren muss – und wie schnell das Thema ´Security´ zur Chefsache wird.“


Kontakt:

K. A. Schmersal Holding GmbH & Co. KG
Möddinghofe 30
42279 Wuppertal
Telefon: +49 202 6474-0
E-Mail: info@schmersal.com
Website: www.schmersal.com

Systems Engineering im Fokus

Ingenieure bei der Teambesprechung

Mechanik, Elektrik und Software im Griff

Video-Tipp

Unterwegs zum Thema Metaverse auf der Hannover Messe...

Aktuelle Ausgabe
Titelbild KEM Konstruktion | Automation 3
Ausgabe
3.2024
LESEN
ABO
Newsletter

Abonnieren Sie unseren Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts
Webinare

Technisches Wissen aus erster Hand

Whitepaper
Whitepaper

Hier finden Sie aktuelle Whitepaper


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de