Ransomware

Pilz Automation: Das sagen Mitbewerber und Kunden über die Hackattacke

Mit dem Mittelständler Pilz wurde ausgerechnet ein Spezialist für sichere Automation Opfer von Industriehackern. Eine Chronologie der Ereignisse.

Von

Pilz-Chefs Thomas Pilz und Susanne Kunschert mit Mutter Renate: "Lieferfähigkeit über Wochen ausgesetzt"

Dieser Artikel erschien in Industriemagazin-Ausgabe 12/2019. 

Zugeknöpft. So gab sich Thomas Pilz in den vergangenen Wochen. Zur Jagd der Ermittler auf die Hintermänner schweigt er. Medienanfragen internationaler Blätter weist er zurück. Ermittlungstaktische Gründe schiebt er vor. Dann ein Abend im Wiener Technischen Museum Anfang November. 50 Jahre feiert die Vertriebsniederlassung von Pilz in Österreich, ausgerechnet jetzt, wo im Stammhaus in Ostfildern alles steht. Doch die Stimmung ist ausgelassen, auch dank der Musik:

Auf ein paar Takte aus Mozarts Figaro folgt der eine oder andere weitere Leckerbissen des Klassikfachs. Zu fortgeschrittener Stunde löst sich auch die Zunge des Pilz-Eigentümers. Sonnabend, 13. Oktober. Da war er mit seiner Tochter kreuzfidel im Musiktheater, erzählt Pilz den 200 Gästen. Dann ein Anruf eines Mitarbeiters der Nachtschicht: "Wir wurden gehackt". 

Kein blinder Alarm, wie sich bald herausstellen sollte. Mit einem Schlag verlieren etliche der 2.500 Pilz-Mitarbeiter den Zugriff auf das eigene Firmennetz, fast einen Monat steht beim Mittelständler die Produktion, das Herz des Industrieunternehmens, still. Misstrauisch macht Pilz schon Anfang des Jahres ein ungewöhnlicher Vorfall: „Die Zugangsdaten meines Internetaccounts waren im Internet einsehbar“, sagt er. 

White Paper zum Thema

Auf des Messers Schneide 

Vier Wochen nach der Cyberattacke auf Pilz bleibt die Frage: Wie konnte das in Safety- und Security-Fragen so glänzend aufgestellte Unternehmen an einer derart verwundbaren Stelle getroffen werden? Und wie verkraftet ein Traditionsbetrieb, der sich als Vorreiter der Digitalisierung sieht, einen solchen Schlag? Thomas Pilz hat, als seine Login-Daten in den Untiefen des Internets auftauchten, reagiert: Er ließ eine Security-Überprüfung nach VDMA-Richtlinien machen, kompromittierte Verbindungen durch Sicherheitsspezialisten gekappt. Ein Schlupfloch freilich blieb:

Ausgerechnet über einen Account in der Produktion fand das Schadprogramm des Cryptolockers BitPaymer, der Computer sperrt und Daten verschlüsselt, Zugriff ins Pilz-Netzwerk und verbreitete sich dort rasant. Die Maßnahmen von Pilz griffen dennoch: Über einen noch ungehackten Kanal (O-Ton Thomas Pilz: "Der letzte Account, den sie noch nicht hatten, ließ uns zurückkommen") wurden in Rekordzeit die über 2.000 Accounts von Pilz-Nutzern in die Cloud gespielt sowie Firmendaten mit einem Recovery-Tool gesäubert.

"Nach einer Woche stand dank Einsatz agiler Methoden ein voll funktionsfähiges Notmanagement", sagt Pilz. Der Agressor - von einer Geldforderung in zumindest sechsstelliger Euro-Höhe wird in Fachkreisen ausgegangen - warf das Digitalunternehmen dennoch in die 80er-Jahre zurück. Die Lieferfähigkeit von Pilz war wochenlang eingeschränkt, die Mitarbeiterkommunikation lief über Papier, Kugelschreiber, Whiteboards. Die Arbeitszeiterfassung wurde ausgesetzt, der Kontakt nach draußen erfolgte über eilends registrierte Gmail-Adressen. "Momentan geht nichts", sagt Pilz wenige Tage nach dem Übergriff.

Endenwollender Spaß 

"Sich darüber lustig zu machen ist sicher falsch", meint der Österreich-Geschäftsführer eines deutschen Industrieelektronikunternehmens. 145 Meldungen zu maßgeblichen Sicherheitsvorfällen gab es in Deutschland laut Bundeskriminalamt alleine im Vorjahr - die Dunkelziffer sei noch weit höher, heißt es in der Branche. High-level-Ziele, also solche, bei denen sich schöne Sümmchen herauspressen ließen, würden vermehrt in den Fokus der Angreifer gelangen. Die Industrieausstatter und Security-Lösungsanbieter wissen das: "So sehr wir unsere Aufwändungen für sichere Systeme auch hinauffahren, so wenig haben wir die Garantie, nicht doch von einem russischen Staatshacker penetriert zu werden", sagt ein IT-Mann.

Unternehmen würden Angreifern immer ein Hintertürchen offen lassen, meint ein Chef einer Cybersecurity-Firma. Im Darknet ließen sich Namens- oder Login-Daten "so manchen heimischen Managers recherchieren", sagt er. 

Die Herkunft der Hintermänner solcher Übergriffe ließe sich dabei nur schwer ausforschen, da auch im Source-Code „absichtlich falsche Spuren - etwa kyrillische Zeichen - gelegt werden können", sagt ein IT-Manager eines heimischen Produktionsbetriebs. Ein Grund, warum Alois Kobler, Chef der Leondinger IT-Software-Security-Firma Blueshield, zu "old-school-Methoden" rät: Selbst wer sein Rechenzentrum spiegelt, habe keinen Garant, virenfrei zu bleiben. Das gute alte Bandlaufwerk dagegen erfülle oftmals seinen Zweck als "letzte Lebensversicherung", sagt er.  

"Warum zahlt er nicht?"

Aber wäre, wie ein Chef einer Automatisierungstechnikfirma zu einem Gedankenexperiment anhebt, geradewegs wieder Lieferfähigkeit hergestellt gewesen, wenn Thomas Pilz ohne Diskussion gezahlt hätte? Security-Experten bezweifeln das. Auch das „Glaubwürdigkeitsproblem“, das „Pilz-Verkäufer, die sichere Clients vertreiben“, nun seiner Einschätzung auf Jahre anhaften würde, sieht ein leitender Manager eines Maschinenbauers, der zu den Abnehmern von Pilz-Modulen zählt, aber auch Pilz-Dienstleistungen nachfragt, in keiner Weise. „Im Gegenteil“, sagt er. "Endlich spricht mal einer offen die Gefahrenlage an", sagt er. Zudem wechselt man nicht so ohne weiteres ein Sicherheitskonzept gegen ein neues aus. Maschinenbauer müssten dazu die Extrameile gehen. 

Tatsächlich schloss Pilz - man schaltete frühzeitig die Staatsanwalt und das Bundesamt für Sicherheit in der Informationstechnik ein - von vornherein aus, klein beizugeben. Man werde kein Geld an Erpresser zahlen, sagt Pilz unmittelbar nach dem Angriff. Das brachte ihm Sympathien ein, denn Hacker haben so ihre eigene Vorstellung von Arbeitsethos. IT-Security-Mann Alois Kobler kennt die Chuzpe, mit der die Erpresser zuweilen auftreten: "Da gibt es Wizard-geführten Support für die Bitcoin-Überweisung, wie er nutzerfreundlicher nicht sein könnte", sagt er. Die Chance, dass vom bereitwillig zahlenden Opfer fortan abgelassen werde, erachten Branchenexperten wie er freilich als gering.  

Angriff als Verteidigung 

Kann Pilz - nachdem der Angriff und die systemischen Schwachstellen im Unternehmen publik gemacht wurden - jetzt aber zur Tagesordnung übergehen? "Ich denke, die Persönlichkeiten an der Spitze des Unternehmens sind stark genug, die Story rund um sichere Lösungen für Unternehmen jetzt um ein neues Kapitel zu erweitern", meint ein Experte. "Ein Stück weit liegt die Deutungshoheit jetzt bei Pilz", attestiert er. Renate Pilz formte den Mittelständler nach dem Tod ihres Mannes zum globalen Konzern, kürzlich übergab sie das Unternehmen (Umsatz 2018: 345 Millionen Euro) in die Hände ihrer Kinder Thomas und Susanne, die heute die Doppelspitze bilden. Dass die beiden derart gefordert sind, hätte sich Renate Pilz wohl nicht träumen lassen. Thomas Pilz: "Um ein Haar wäre Pilz heute ein Museumsfall".

Dieser Artikel erschien in Industriemagazin-Ausgabe 12/2019. 

Verwandte tecfindr-Einträge