Wir wissen längst, sobald es um einen Hacker-Angriff geht, sind nicht zwangsläufig nur die “Kleinen” betroffen. Diesmal traf es den Riesen “Stadler Rail”, führenden Hersteller von Schienenfahrzeugen. Höchstwahrscheinlich sind nicht nur wertvolle Daten abhanden gekommen, auch die Erpressung scheint noch nicht endgültig vom Tisch. Wir blicken ein wenig tiefer und erkunden potenzielle Zusammenhänge zwischen Erfolg und Angriffsfläche.
Der Fall Stadler
Das Unternehmen hat es selbst veröffentlicht: Über eine hauseigene Pressemitteilung wurde bekannt, dass der Konzern mit Schadsoftware angegriffen wurde. Nur wenige Tage ist es her, dass interne Überwachungsdienste den Hacker-Angriff feststellten. Zudem kommuniziert Stadler eine damit einhergehende Erpressung. Auch von einem potenziellen Datenabfluss ist die Rede. Nähere Details – zur Höhe des Lösegelds, Hintergründe der Täterschaft oder genaues Ausmass des Datendiebstahls – sind nicht publik.
Stadler scheint mit seiner Reaktion alles richtig gemacht zu haben: Von Einleitung sofortiger Sicherheitsmassnahmen über Einbeziehung externer Spezialisten bis hin zu strafrechtlicher Anzeige wurde alles schon erledigt. Der Betrieb läuft wieder wie gewohnt, heisst es.
Stadler Rail
Vor über 75 Jahren etablierte sich Stadler als Hersteller von Schienenfahrzeugen und schrieb damit global Erfolgsgeschichte. Was in der Schweiz, vielmehr in Zürich, begann, ist mittlerweile mit vielen Standorten international vertreten. Stadler setzt (gemäss Selbstpräsentation auf deren Internetauftritt) auf modernste Technologie mit klarem Fokus auf Rentabilität und Zuverlässigkeit.
Hacker-Angriff absehbar?
Anfang des Jahres wurden ein paar Unruhen unter den Stadler Aktionären laut. Wo es anfangs boomte, ging der Kurs in letzter Zeit unerwartet wieder runter. Wir wollen der Ursache auf den Grund gehen. Die Auftragslage war ausserordentlich gut: allein im ersten Quartal gelang es Stadler, neue Order im Wert von rund 1,4 Milliarden Franken einzuholen. Unter anderem bestellte das englische Newcastle 42 neue Züge. Zugehörige Instandhaltungsverträge und Neubauten von Zugdepots sollen über 800 Millionen Franken wert sein.
Das ging den Aktionären vielleicht alles ein wenig zu schnell? Jedenfalls wurden die Börsen-Investitionen vorsichtiger. Die Investoren mögen sich an dieser Stelle fragen, wie rasant Innovation vonstatten gehen darf, ohne gleichzeitig allzu riskant zu sein. Ob Stadler in seinem forschen Wachstum zu wenig Fokus auf Cyber-Sicherheit gesetzt hat, ist eine rein theoretische Frage.
Keine Angst vor “Public Shaming”
In mindestens einem Punkt gehen wir mit Stadler allerdings absolut konform: Es war richtig, Hacker-Angriff und Erpressung publik zu machen. Viel zu oft erleben wir, wie Opfer sich aus Scham zurückziehen. Damit gehen uns nicht nur wertvolle Erfahrungswerte verloren, auch das wirtschaftliche Vertrauen in den Geschäftskontakt kann darunter leiden.
Obwohl Stadlers Kunden sich jetzt aller Wahrscheinlichkeit nach grosse Sorgen machen, inwiefern ihre eigenen Daten betroffen sind, bezieht der Konzern klare Stellung. Die Pressemitteilung soll dabei keine “Entschuldigung” sein. Im Inhalt wird laut, dass der Angriff professioneller Natur war. Letztendlich dürfen wir also nicht einmal Marktführer verurteilen: egal, welch ausgefeilte Strategie wir an den Tag legen, die Angriffsfläche wächst automatisch mit.
Trojaner hinter Hacker-Angriff?
Aufgrund der enthaltenen Erpressung können wir fast davon ausgehen, dass sich ein Trojaner hinter besagter Schadsoftware verbirgt. Trojanische Pferde fressen sich durch das betroffene System und verschlüsseln nicht selten sowohl ihre Spuren als auch alle Daten, mit denen sie auf ihrem Weg in Berührung kommen. Manche Trojaner-Familien bringen die Möglichkeit mit, “Nachrichten” der Hacker mitzuliefern. Statt der gewohnten Programmfunktionalität erscheinen dann Meldungen mit beispielsweise entsprechenden Erpressungs-Mitteilungen.
Im Falle Stadler drohten die Hacker mit der Veröffentlichung vertraulicher Daten. Ihren Angriff wollten sie nur unter der Bedingung einstellen, dass das Opfer einen hohen Geldbetrag leistet.
Die richtige Strategie bei Hacker-Angriff
Wie angedeutet, gehen wir in mehreren Belangen mit Stadlers Reaktion konform. Es kommt nicht zwangsläufig auf ein tiefgreifendes Verständnis über die Hintergründe von Hackern an – meistens, aber nicht immer, geht es um niedere finanzielle Motive. Manchmal geschehen Angriffe grundlos und ab und zu ist es der Neid, der Kriminelle zu ihren Taten motiviert.
Sie müssen weder genauso erfolgreich noch ähnlich gut situiert wie Stadler sein, um im Falle eines Hacker-Angriffs fachgerecht zu reagieren.
- Schnell, aber gezielt: Setzen Sie auf Ihr Business Continuity Management (BCM), wenn Sie selbst Opfer eines Angriffs sind. Genauer heisst das, dass Sie Systeme zwar herunterfahren müssen, um die Attacken beziehungsweise deren Fortschreiten kurzfristig zu unterbinden, aber anschliessend Schritt für Schritt und unter Beachtung zusätzlicher Sicherheitsmassnahmen wieder in Betrieb nehmen.
- Stadler konnte dank umfangreicher Backups seine Systeme recht zügig wiederherstellen. Hier gilt, besser Vorsicht als Nachsicht – es ist nie zu spät, in Datensicherungen zu investieren.
- Es ist zwar eine Wiederholung, wenn wir sagen “keine Angst vor Public Shaming”, aber wir können es nicht oft genug betonen. Informieren Sie Ihre Mitarbeiter und Ihre Geschäftskontakte. Sie werden sehen, dass sich das gegenseitige Vertrauen auszahlt.
- Darüber hinaus können wir nur langfristig vor neuen Untaten sicher sein, wenn einige Täter dingfest gemacht werden. Erstatten Sie strafrechtliche Anzeige und lassen sich von den Behörden im akuten Fall helfen.
- Sie haben alle Massnahmen beherzigt? Dann gibt es auch keinen Grund, auf eine Erpressung einzugehen. Denken Sie bitte daran, dass Sie Straftäter andernfalls finanziell fördern.
- Weitere Strategien und Empfehlungen zum korrekten Umgang bei Hacker-Angriffen finden Sie (unter anderem) in diesem Blog-Beitrag.