So lief der Hackerangriff auf Nivea und Tesa

Beiersdorf-Chef Stefan Heidenreich muss sich mit dem schwersten Cyberangriff in der Unternehmensgeschichte auseinandersetzen © Roland Magunia | Roland Magunia

Hamburg. Es ist der schwerste Cyberangriff der Unternehmensgeschichte von Beiersdorf. Auch weltgrößte Reederei Maersk ist massiv betroffen.

Heute soll eigentlich ein großer Tag werden für Beiersdorf-Chef Stefan Heidenreich. Am Vormittag will der Vorstandsvorsitzende Details über den geplanten Konzernneubau des Nivea-Herstellers in Eimsbüttel vorstellen. Doch stattdessen wird er wohl ganz andere Fragen beantworten müssen: über den größten Hackerangriff, von dem der Konzern je getroffen wurde.

Am Mittwoch war an ein normales Arbeiten in dem DAX-Konzern kaum zu denken. „Ich kann Sie leider zu niemandem durchstellen“, sagte am Vormittag ein Mitarbeiter aus der Telefonzentrale. „Wir haben hier eine massive Störung. Aber Sie können gerne vorbeikommen, wenn Sie mit jemandem sprechen möchten.“

Die offizielle Bestätigung für die Cyberattacke konnte der Milliardenkonzern gegen Mittag nicht auf dem normalen Wege per E-Mail verschicken. Sie landete in Form einer SMS mit abfotografierter Stellungnahme beim Abendblatt. „Beiersdorf wurde Ziel eines Cyberangriffs, der zu einem Ausfall der IT- und Telefonsysteme geführt hat“, hieß es darin. Betroffen seien neben der Hamburger Zentrale auch die weltweiten Standorte. Es werde sichergestellt, dass die Auswirkungen auf Konsumenten, Kunden und Partner so gering wie möglich seien.

Hackerangriff: Standen Bänder still?

Trotz dieser beschwichtigenden Worte waren die Folgen der Attacke offenbar dramatisch. In der Produktion kam es nach den Worten von Konzernsprecherin Inken Hollmann-Peters aufgrund der massiven IT-Probleme zu Einschränkungen. Ob Bänder auch komplett stillstanden, konnte sie nicht sagen. In jedem Fall waren auch die Hamburger Werke, in denen Nivea-Cremes und Deodorants hergestellt werden, betroffen.

Neben Beiersdorf hatte auch die Konzerntochter Tesa mit den Auswirkungen der Cyberattacke zu kämpfen. „Die Produktion läuft seit Dienstagmittag nur eingeschränkt“, sagt Tesa-Sprecher Reinhart Martin. Es gebe die ersten Lieferengpässe. Dies betreffe alle Produkte des weltweit führenden Herstellers von Klebelösungen, vom klassischen Tesa-Film bis zur Spezialfolie.

Das Abendblatt beantwortet die wichtigsten Fragen zum Hackerangriff, der weit über Beiersdorf hinausging.

Wie groß sind die Auswirkungen?
Neben Beiersdorf sind von der jüngsten Attacke zahlreiche große Konzerne weltweit betroffen. Der Schwerpunkt lag am Dienstag zunächst auf Russland und der Ukraine und traf dort den Ölkonzern Rosneft sowie das zerstörte Kernkraftwerk in Tschernobyl, wo Messungen der Radiaktivität nur noch per Hand vorgenommen werden konnten. Das Problem weitete sich dann auf Konzerne wie den Nahrungsmittelhersteller Mondelez (Milka, Oreo), die französische Bank BNP Paribas und Firmen in Asien aus. Auch Töchter der Deutschen Post und der Metro in der Ukraine kämpften mit Schwierigkeiten.

Ist die Schifffahrt betroffen?
Schwer erwischt hat es die weltgrößte Reederei Moller-Maersk. Sowohl die Website als auch die Unternehmenssoftware waren am Mittwochmittag noch außer Betrieb. „Wir haben das Problem eingegrenzt und arbeiten an einer Wiederherstellung der Systeme mit IT-Partnern und globalen Internet-Sicherheits-Agenturen“, teilte das Un­ter­nehmen mit. Betroffen seien insgesamt 17 Hafenterminals von Maersk, vor allem in Schweden, den USA, aber auch Rotterdam, sowie die Container-Linienreederei Maersk Line. Die Schiffe (mehr als 600) seien aber in Fahrt, die Kommunikation mit den Besatzungen funktioniere. An Land gab es allerdings erhebliche Probleme. Davon war auch das Hamburger Büro mit seinen rund 250 Mitarbeitern betroffen. Nach einem Totalausfall der Systeme am Dienstag funktionierte am Mittwoch zumindest die Telefonanlage wieder.

Mit welcher Schadsoftware wurden die Unternehmen attackiert?
Beiersdorf hat sich nicht näher zu der Art der Attacke geäußert. Andere Konzerne berichten, dass sie Opfer einer Variante der Erpressungssoftware Petya geworden sind. Diese setzt Rechner außer Gefecht, indem sie deren Festplatten verschlüsselt. Die Betroffenen bekommen dann nur wieder Zugang zu ihren Computern, wenn sie eine Art Lösegeld an die Erpresser zahlen. In diesem Fall verlangten die Angreifer 300 Dollar in der Cyberwährung Bitcoin. „Es spricht viel dafür, dass sich die Schadsoftware über ein Update für eine Steuer- und Buchhaltungssoftware verbreitet hat, die Unternehmen bei Geschäften mit der Ukraine verwenden“, sagte der IT-Sicherheitsexperte Dirk Kretzschmar. Er ist Geschäftsführer der TÜV-Nord-Tochter TÜViT, die Firmen in Fragen der IT-Sicherheit berät.

Wollten die Angreifer die Konzerne wirklich erpressen?
„Aufgrund der besonderen Art des Angriffs kann man davon ausgehen, dass die Hacker eher die Sicherheitslücken austesten wollten, als wirklich Geld zu erpressen“, sagt Experte Kretzschmar. Dafür spreche unter anderem die niedrige geforderte Summe. Auch andere Experten sprachen davon, dass die Bezahlfunktion bei der neuen Attacke krude gestaltet worden sei. Das Lösegeld sollte auf ein einziges Konto gehen, die zahlenden Opfer sollten sich per E-Mail zu erkennen geben. Nachdem der ­E-Mail-Anbieter Posteo die genannte Adresse aus dem Verkehr gezogen hatte, war es für die Betroffenen völlig sinnlos, Lösegeld zu zahlen. Bis Mittwochmittag gingen nur etwas mehr als 40 Zahlungen auf dem Bitcoin-Konto ein.

Waren die betroffenen Firmen leichtsinnig?
Einigen Experten zufolge nutzte das Virus zum Teil dieselbe Windows-Sicherheitslücke wie das Schadprogramm Wannacry, das vor einigen Monaten schon große Unternehmen wie die Deutsche Bahn getroffen hatte. Diese Lücke wurde von Microsoft durch ein Update geschlossen. Insofern wäre der jetzige Befall vermeidbar gewesen. Ein Sprecher des Chaos Computer Clubs erklärte allerdings, das Virus habe auch andere Lücken ausgenutzt. „Das ist der Grund, warum sich dieses Virus auch auf Windows-10-Systemen weiterverbreiten kann, sich durch große Netzwerke fräst und quasi alles mitnimmt, was er irgendwie runterreißen kann.“

Wie können sich Privatleute schützen ?
„Private Anwender sollten sicherstellen, dass sie immer das neueste Sicherheitsupdate auf ihren Rechnern installiert haben“, sagt Sicherheitsfachmann Kretzschmar. „Außerdem sollte man ein regelmäßiges Back-up aller Daten erstellen. Am besten auf einer externen Festplatte.“