Computerattacke auf Norsk Hydro Angreifer legten Alu-Konzern mit Erpressersoftware lahm

Der Aluminiumhersteller Norsk Hydro wurde Opfer eines Cyberangriffs mit Ransomware. Die Angreifer wollten den Konzern offenbar mit einer längst bekannten Schadsoftware erpressen.
Hauptquartier von Norsk Hydro

Hauptquartier von Norsk Hydro

Foto: AFP/ NTB Scanpix/ Terje Pedersen

Norwegens nationale Sicherheitsbehörde, die Norwegian National Security Authority, hat Details zu den IT-Problemen bei Norsk Hydro bekannt gegeben. Demnach ist das Unternehmen Opfer einer sogenannten Ransomware-Attacke mit einer Erpressersoftware namens LockerGoga geworden. Der Computerangriff beeinträchtigte sowohl die Produktion als auch den Büroalltag des Unternehmens.

Norsk Hydro ist einer der größten Aluminiumhersteller weltweit, das Unternehmen war nach eigenen Angaben in der Nacht zum Dienstag von Hackern angegriffen worden. In einer Pressekonferenz am Dienstagnachmittag stellte das Unternehmen auch selbst noch einmal klar, dass es sich um einen Ransomware-Angriff handelte.

Ransomware-Attacken kann man sich als digitale Erpressungsversuche vorstellen. Bekannte Erpressertrojaner, die im Zug von Ransomware-Wellen auch schon Computer in Krankenhäusern lahmlegten, sind beispielsweise Locky und WannaCry. Ransomware-Attacken können Firmen, aber auch Privatpersonen treffen - folgenreicher sind die Attacken oftmals in größeren Computernetzwerken.

Im Zuge der Attacken verschlüsselt eine Erpressersoftware alle Dateien oder zumindest bestimmte Dateitypen auf dem betroffenen Rechner. Meist in Form einer Textnachricht wird dann Lösegeld für einen digitalen Schlüssel gefordert, mit dem sich die Dateien wieder nutzbar machen lassen. Manche Ransomware kann sich in Netzwerken automatisch von einem Rechner zum nächsten verbreiten, manche Programme können dies aber auch nicht.

Es geht meist ums Geld

Bezahlt werden soll das Lösegeld oft in der Digitalwährung Bitcoin. Mitunter führt aber auch eine Zahlung nicht dazu, dass die Angreifer die Daten wieder freigeben. Ransomware-Machern geht es so zwar indirekt auch darum, Computersysteme lahmzulegen, eher treibt sie in der Regel aber die Aussicht auf Lösegeldzahlungen an.

Hinweis auf die Attacke im Norsk-Hydro-Hauptquartier

Hinweis auf die Attacke im Norsk-Hydro-Hauptquartier

Foto: REUTERS/ NTB Scanpix/ Terje Pedersen

Der IT-Sicherheitsexperte Kevin Beaumont kommentierte den Hinweis, im Fall von Norsk Hydro gehe es wohl um LockerGoga , auf Twitter. Beaumont schrieb dort unter anderem, dass die Software im Januar bereits dem französischen Unternehmen Altran Probleme bereitet habe.

Damals hatte unter anderem die Website "BleepingComputer"  über LockerGoga berichtet. Die Software scheine speziell für Attacken auf Unternehmen entwickelt worden zu sein, hieß es. Ein IT-Experte, den die Website zitierte, charakterisierte den LockerGoga-Code als schlampig und langsam. Die Software gebe sich kaum Mühe, eine Entdeckung zu vermeiden.

Offenbar schaffte es LockerGoga trotzdem, der Enttarnung durch viele bekannte Antivirenprogramme zu entgehen, wie Forscher des MalwareHunterTeams noch Anfang März festhielten .

In einer älteren LockerGoga-Erpressernachricht, die bei "BleepingComputer" zu sehen ist, wird eine Bitcoin-Zahlung verlangt. Zudem wird eine testweise Entschlüsselung einzelner Dateien in Aussicht gestellt. "Es gab eine erhebliche Schwachstelle im Sicherheitssystem Ihrer Firma", heißt es in der gezeigten Nachricht: "Sie sollten dankbar sein, dass die Lücke von seriösen Leuten und nicht von irgendwelchen Anfängern ausgenutzt wurde."

Kommunikation per Facebook

Norsk Hydro hatte am Dienstag zunächst betont, dass der Vorfall im Unternehmen keine Personen in Gefahr gebracht habe. Auch die Kraftwerke des Unternehmens würden normal laufen. Zur Kommunikation nutzte Norsk Hydro am Dienstag seinen Facebook-Kanal , die Website des Unternehmens war offline.

Die Probleme beim Aluminiumhersteller hatten Furcht vor einem Versorgungsengpass ausgelöst. Der Preis für das unter anderem im Automobil- und Flugzeugbau benötigte Industriemetall stieg am Dienstag um bis zu 1,2 Prozent auf ein Dreimonatshoch von 1944 Dollar je Tonne. Die Aktien von Norsk Hydro verloren bis zu 3,4 Prozent an Wert.

In der Pressekonferenz am Dienstagnachmittag sagte Norsk Hydros Chief Financial Officer (CFO) Eivind Kallevik, es sei noch nicht abzusehen, wann genau die Probleme gelöst seien. Auf die Frage, ob für das Unternehmen eine Lösegeldzahlung infrage komme, sagte Kallevik, die Strategie seiner Firma sei es, Sicherheitskopien der von den Angreifern verschlüsselten Daten wieder einzuspielen: "Wir haben gute Back-up-Lösungen." Anstelle von Computern kämen in manchen Teilen der Firma Tablets und Smartphones zum Einsatz - diese würden weiter funktionieren. Wer hinter dem Angriff stecke, sei dem Unternehmen bislang unklar.

Norsk Hydro ist in 50 Ländern aktiv. Von der Attacke seien Anlagen sowohl in Europa als auch in den USA betroffen, hatte Unternehmenssprecher Halvor Molland dem Norwegischen Rundfunk NRK gesagt. Die Situation sei sehr ernst. Einige Werke seien nach dem Angriff auf manuellen Betrieb umgestellt worden.

Angriffe mit Erpressungstrojanern hatten in der Vergangenheit bereits mehrfach für Schlagzeilen gesorgt. So gab es im Mai und im Juni 2017 zwei große Angriffswellen, bei denen unter anderem der Nivea-Hersteller Beiersdorf, die dänische Reederei Maersk, der Autobauer Renault und die Deutsche Bahn betroffen waren.

mit Material von Reuters und dpa
Die Wiedergabe wurde unterbrochen.