Cyberangriff auf großen Benzinlieferanten »Die Terminals arbeiten nur mit begrenzter Leistung«

Ein Hackerangriff stört seit Samstag die Systeme eines Kraftstoffzulieferers. Nach SPIEGEL-Informationen zählt das Unternehmen zur kritischen Infrastruktur. Unklar ist bislang, was die Täter genau wollen.
Belieferung einer Shell-Tankstelle

Belieferung einer Shell-Tankstelle

Foto: Frank Hoermann / SVEN SIMON / picture alliance

Der Mineralöllieferant Oiltanking Deutschland GmbH kämpft auch am Dienstag noch mit den Folgen eines Hackerangriffs. »Die Terminals arbeiten nur mit begrenzter Leistung«, erklärte das Unternehmen mit Bezug auf seine Abfüllanlagen. Dort werden Tankwagen befüllt, die Tankstellen beliefern.

Zu dem Cyberangriff sei es bereits am Samstag gekommen, wie die Firma am Dienstag mitteilte. Laut dem »Handelsblatt« hatte das Unternehmen Geschäftspartnern mitgeteilt, dass die Be- und Entladesysteme der Firma betroffen seien, weshalb Tankwagen nicht befüllt werden können.

Benzinversorgung nicht gefährdet

Zu den Kunden des Unternehmens gehört auch die Tankstellenkette Shell. Eine Shell-Sprecherin erklärte am Dienstag, dass man statt Oiltanking-Anlagen gegenwärtig »alternative Versorgungspunkte« nutze. Mögliche Auswirkungen auf die Versorgungskette könnten so ausgeglichen werden.

Das Risiko eines Komplettausfalls der Treibstoffversorgung in Deutschland besteht nach Branchengaben nicht. Das liege auch daran, dass auf dem Markt insgesamt 26 Unternehmen aktiv seien. Der Geschäftsführer des Unabhängigen Tanklagerverbands, Frank Schaper, sagte dem »Handelsblatt«: »Die Versorgung der Bundesrepublik Deutschland mit Kraft-, Heiz- oder Brennstoffen ist durch den Angriff nicht gefährdet.«

Neben Oiltanking ist auch das Schwesterunternehmen Mabanaft von dem Hackerangriff betroffen. Beide Firmen sind Töchter des Hamburger Mineralölkonzerns Marquard & Bahls, der mit rund 6200 Mitarbeitern im Jahr 2020 einen Umsatz von 10,5 Milliarden Euro erwirtschaftete.

»Ernst, aber nicht gravierend«

Mabanaft und in Teilen auch Oiltanking fallen in Deutschland unter die sogenannte Kritis-Verordnung, wie ein Sprecher des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) dem SPIEGEL bestätigte. Diese Regelung verpflichtet Unternehmen der sogenannten kritischen Infrastruktur (Kritis), Hackerangriffe an das BSI zu melden. Das BSI bestätigte den Vorfall und erklärte, mit dem Unternehmen in Kontakt zu sein. Ob die Firma den Vorfall, wie gesetzlich vorgeschrieben, gemeldet hat, blieb zunächst unklar.

BSI-Präsident Arne Schönbohm hatte am Dienstag auf einem IT-Sicherheitskongress seiner Behörde zu dem Angriff gesagt: »Ich halte den Vorgang natürlich für ernst, aber nicht für gravierend.« Das angegriffene Dispositionssystem verteile rund 1,6 Millionen Tonnen Heizöl und 2,1 Millionen Tonnen Kraftstoff im Jahr. »Das klingt sehr viel.« Es seien 233 Tankstellen vor allem in Norddeutschland betroffen. Das seien aber lediglich 1,7 Prozent der Tankstellen in Deutschland, sagte der BSI-Chef.

Experten fürchten Erpressungsangriff

Experten fürchten, dass hinter der Cyberattacke auf Oiltanking Kriminelle stecken könnten, die Lösegeld fordern. »Vermutlich handelt es sich hier um einen Ransomware-Angriff«, sagte Rüdiger Trost von der IT-Sicherheitsfirma F-Secure. Bei solchen Attacken mit sogenannten Erpressungstrojanern fordern Cyberkriminelle von ihren Opfern ein Lösegeld für die Freigabe von deren Daten. Bei Unternehmen der kritischen Infrastruktur werden in solchen Fällen teils hohe Lösegeldzahlungen gefordert.

Im vergangenen Jahr schaltete der führende US-Kraftstoffpipeline-Betreiber Colonial Pipeline nach einem Ransomware-Angriff sein gesamtes Netz ab. Colonial Pipeline gab damals an, den Hackern fast fünf Millionen Dollar gezahlt zu haben, um wieder Zugang zu ihren Systemen zu erhalten.

BSI-Präsident Schöhnbohm warnte die deutsche Wirtschaft davor, bei Cyberattacken Lösegelder zu zahlen. »Das haben wir doch auch in der realen Welt festgestellt: Wenn Lösegelder bezahlt werden, dann heizt man die Industrie (der Cyberkriminellen) nur an.« Das habe man bei der »Entführungsindustrie« in Lateinamerika und bei den Aktionen von Piraten am Horn von Afrika gesehen. Daher komme er zu der Erkenntnis: »Man darf Ransomware nicht bezahlen.«

Das BSI und auch das Unternehmen wollten sich nicht dazu äußern, ob es sich um eine Ransomware-Attacke handelt. Ein Firmensprecher teilte lediglich mit, dass man mit Hochdruck daran arbeite, das Problem zu lösen und das Ausmaß des Angriffs zu erfassen. Dabei arbeite das Unternehmen auch mit externen Spezialisten und den Behörden zusammen. Außerdem betonte das Unternehmen, dass nur die deutschen Betriebe von Oiltanking und Mabanaft betroffen seien, die Systeme der gleichnamigen internationalen Tochterfirmen funktionierten einwandfrei.

hpp/dpa/reuters