Der Münchner Mittelständler Krauss Maffei ist Opfer eines massiven Cyber-Angriffs geworden. Im Verdacht stehen sowohl nordkoreanische wie auch russische Hacker.

München – Der Münchner Maschinenbauer Krauss Maffei kämpft seit mehreren Wochen mit den Folgen eines Hackerangriffs. Die Angreifer hätten mittlerweile auch Lösegeld gefordert, bestätigte Firmensprecher Uli Pecher. Ob das 2016 von chinesischen Investoren übernommene Unternehmen gezahlt hat, sagte er nicht.

Hauptziel des Angriffs sei die Münchner Zentrale gewesen, wo die Produktion immer noch beeinträchtigt ist. Auch einige kleinere Standorte bundesweit seien betroffen gewesen, nicht jedoch weitere große Fertigungen in Hannover, der Schweiz und den USA. Stillschweigen herrscht auch hinsichtlich Schadensumfängen oder den Ursprüngen des Angriffs. Auch mit Hilfe externer IT-Forensiker untersuchen bei Krauss Maffei derzeit drei Expertenteams unter anderem, ob ein unter dem Namen Emotet seit 2014 in der Szene bekannter Trojaner dafür gesorgt hat, dass der Maschinenbauer am 21. November am Zentralstandort München-Allach mit seinen 1800 Beschäftigten alle IT-System herunterfahren musste. Emotet verbreitet sich über geöffnete E-Mail-Anhänge. Inzwischen sei man auf dem „Weg zum Normalzustand“, die Fertigung werde hochgefahren. Wichtige Dateien würden zum Laufen gebracht.

Auch Krankenhaus Fürstenfeldbruck betroffen

Etwa zeitgleich mit Krauss Maffei wurde auch das Krankenhaus in Fürstenfeldbruck von Computerviren befallen. Dort halten es Experten mittlerweile für wahrscheinlich, dass Emotet verantwortlich ist. „Bei Krauss Maffei eher nicht“, sagte ein Insider. Noch seien die umfangreichen Prüfungen aber nicht abgeschlossen. Beim Münchner Mittelständler weise indes vieles auf einen nicht gezielten Angriff mit Standard-Schadsoftware hin.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von zwei aktuellen Cyber-Angriffsfällen, ohne Namen zu nennen. Damit könnten Krauss Maffei und das Klinikum Fürstenfeldbruck gemeint sein.

Über eine eigene Plattform unterstützt das Bundesamt Mittelständler bei der Bewältigung von Cyber-Attacken. Ermittlungen aufgenommen hat auch die Zentralstelle Cybercrime Bayern in Bamberg. Auch sie schweigt.

Nordkoreanische Hacker beteiligt?

Gerüchte, wonach hinter dem Angriff nordkoreanische Kriminelle stecken und ihre Geldforderung auf die Kryptowährung Bitcoin lautet, konnte bislang keine seriöse Quelle bestätigen. Ebenfalls keine Bestätigung gibt es für den Verdacht, dass russische Hacker hinter dem Angriff stecken könnten. Der Cyber-Angriff erfolgte just während des Nato-Manövers in Norwegen, was einen Insider zu der Vermutung bringt, dass das eigentliche Ziel der fast namensgleiche Rüstungskonzern Krauss Maffei Wegmann gewesen sein könnte, der ganz in der Nähe seine Zentrale hat. „Da wollten sie eigentlich rein, um während des Nato-Manövers zu zeigen, was sie draufhaben“, so der Informant.

Die Krauss-Maffei-Gruppe mit mehr als 5000 Mitarbeitern zählt nach eigenen Angaben zu den weltweit führenden Herstellern von Maschinen und Anlagen zur Produktion und Verarbeitung von Kunststoff und Gummi. 2016 wurde die Gruppe vom chinesischen Konzern China National Chemical Corporation (ChemChina) übernommen. Der Maschinenbauer ist nicht zu verwechseln mit dem Rüstungsunternehmen und Panzerbauer Krauss-Maffei Wegmann (KMW).

Höhe der Lösegeldforderung unbekannt

Wie hoch die Lösegeldforderung war, ist nicht bekannt. Da bei Krauss Maffei auch gut zwei Wochen nach dem Angriff noch nicht wieder alles rundläuft und auch unklar ist, ob das vor Weihnachten noch geschafft wird, liegt nahe, dass die Münchner nicht gezahlt haben. Ein Cyber-Experte: „Es gibt Anzeichen dafür, dass es tatsächlich viel schlimmer hätte kommen können.“

Experten warnen seit Langem vor verstärkten Cyber-Angriffen auf IT und Datenbestände von Unternehmen. Wird wie im Fall Krauss Maffei dabei ein Betrieb weitgehend lahmgelegt, folgt in der Regel ein Erpressungsversuch.

Markus Christiandl und Thomas Magenheim-Hörmann

