Ein Kommentar von Michael Rüttinger

Hackerangriff auf Traktorenhersteller Fendt – Warum?

| Blog
Symbolbild Hackerangriff Fendt / Traktor
Hackerangriff auf AGCO/Fendt - Symbolbild: InsaPictures - pixabay.com / mohamed_hassan - pixabay.com / IT-Networks

Wenn das Traktorenwerk still steht…

Am Donnerstag, den 05.05.2022 wurde der Allgäuer Landmaschinenhersteller AGCO/Fendt Opfer eines Hackerangriffs. Durch einen Verschlüsselungstrojaner wurde der Betrieb innerhalb der Firmengruppe regelrecht lahmgelegt. Seit Tagen kann das Werk nichts produzieren, Lieferungen können weder empfangen noch verschickt werden. Mehrere tausend Beschäftigte harren zu Hause aus, bis sie wieder an ihre Arbeitsplätze gerufen werden.

Der Fall hat aufgrund seiner Größe mittlerweile auch überregional Schlagzeilen gemacht. Auch bei Google kommt bei Eingabe von „Fendt“ bereits jetzt schon der vorgeschlagene Zusatz „Hackerangriff“.

Google Suchvorschlag: Fendt Hackerangriff

Auch wir verfolgen die Nachrichten natürlich interessiert – schließlich kann ein Hackerangriff auch jeden unserer Kunden treffen und lahmlegen.

Oder doch nicht?

Auch an unserem Standort Rödental hat es vor einiger Zeit ein großes Unternehmen erwischt und über Tage weg lahmgelegt.
Zeit, sich etwas Gedanken zu machen, warum ein Hackerangriff mit einem Verschlüsselungstrojaner so viel Schaden anrichten kann. Und warum wir glauben, dass unsere Kunden davor bestmöglich geschützt sind.

Wie kommt der Trojaner in mein Unternehmen?

Angriffe mit Schadsoftware können über verschiedene Wege ins eigene Haus kommen. Die gängigsten sind per Mail, bspw. über falsche Bewerbungsmails oder Telefonrechnungen. In diesen Angriffs-Szenarien erschleicht sich der Hacker bzw. seine Software entsprechende Berechtigungen im System, indem der Nutzer auf eine schadhafte Datei klickt und den Virus damit ausführt.

Andere Wege sind Sicherheitslücken in von außen erreichbaren Systemen, bspw. Mailserver, welche dem Trojaner den Weg ins eigene Netz ungewollt öffnen. Microsoft Exchange Server hatten vor einigen Monaten eine entsprechende Lücke und ließen die Ausführung von Schadcode von außen zu.

Wie bekommt ein Trojaner kritische System-Berechtigung?

Der Trojaner kann umso mehr Schaden anrichten, je mehr Zugriffsrechte er im Netzwerk erlangt. Ein üblicher Weg hierzu ist, bekannte Sicherheitslücken in Software auszunutzen. Durch diese kann er administrative Rechte bekommen und entsprechenden Zugriff auf das System – selbst wenn der ursächliche Benutzer keine Admin-Rechte hat.

Welchen Schaden richtet der Trojaner an?

Es gibt verschiedene Arten von Viren bzw. Trojanern. Die ursprüngliche Art von Virus basierte auf einfacher Zerstörung aller Daten, auf die der Virus Zugriff erlangte.

In den letzten Jahren entdeckten die Programmierer von Viren allerdings, dass man mit derlei Tätigkeit auch Geld verdienen kann. Somit kam der Ansatz der „Lösegeldforderung“ auf. Viren zerstören Daten nicht mehr, sondern verschlüsseln sie. Durch Zahlung des Lösegeldes wurde die Verschlüsselung gelöst und alle Daten waren wieder da.

Ein derartiger Verschlüsselungstrojaner hat aktuell wohl auch die Firma Fendt erwischt. Alle Daten auf deren Servern wurden unbrauchbar gemacht.

Wo bitte ist das Backup?

Ja, das ist die Kernfrage, die wir uns hier stellen müssen. Einen 100%igen Schutz vor dem Befall mit einem Verschlüsselungstrojaner oder Virus gibt es nicht. Umso wichtiger ist, dass ich meine Daten im Falle einer Zerstörung wieder herstellen kann. Dabei ist es eigentlich irrelevant, ob die Zerstörung durch einen Virus oder vielleicht einen sonstigen Hardware-Defekt / Feuer etc. ausgelöst wurde.
Meine Datensicherung muss so konzipiert sein, dass sie diese Fälle abdeckt.

Wir hatten, seitdem es diese Art von Viren gibt, bisher lediglich 2 Kunden, welche von Verschlüsselungs-Trojanern befallen wurden. In beiden Fällen verschlüsselte der Virus alle Dateien, die er erreichen konnte. Doch er erreichte aufgrund von etablierten Schutzmechanismen nie das Backup. Daher konnten in beiden Fällen alle Daten sofort und schnell wiederhergestellt werden.
Warum das aktuell bei Fendt nicht möglich scheint, können wir nicht sagen. Die aktuell noch offenen Ermittlungen erlauben keinen tieferen Einblick in das Geschehen. Vielleicht gab es keine Sicherheitssperre zwischen Daten und Backup oder das Backup war defekt oder nicht vollständig – wir wissen es nicht.

Jedenfalls kann sich vermutlich jeder ausmalen, welchen wirtschaftlichen Schaden dieser Virus aktuell bei Fendt auslöst.

Warum fühlen wir von IT-NETWORKS uns hingegen sicher?

Wie schon geschrieben, gibt es keinen perfekten Schutz gegen den Befall von Schadsoftware. Damit muss man sich abfinden. Doch man kann bereits in der Prophylaxe vieles tun, was den Schutz auf ein hohes Niveau hebt:

  1. Aktueller Virenschutz auf PCs und Server
  2. Verfügbare Sicherheitsupdates für das Betriebssystem und genutzte Software zeitnah einspielen
  3. Sensibilisierung der Mitarbeiter
  4. Sicherheitsmaßnahmen für den Fall des Befalls

Die vier aufgeführten Punkte setzen wir bei all unseren Kunden ein. Wir achten darauf, dass alle Aspekte bestmöglich ausgeführt werden, alle Systeme auf einem aktuellen Stand sind, Sicherheitsupdates zeitnah eingespielt werden und die Backups auch wirklich funktionieren.

Der „Fall des Befalls“

Ist es doch mal passiert und der Virus wütet im System, hängt alles davon ab, ob die von uns eingebauten Sicherheitsbarrieren greifen.

Konkret bedeutet das, dass der Virus keinen Zugriff auf die Datensicherungen bekommen darf.
Wir konzipieren unsere Sicherungen generell zweistufig. Eine Inhouse-Sicherung und eine Offsite-Sicherung. Letztere wird ohne physische Verbindung zum Firmennetz gelagert. Mindestens auf diese Sicherung hat der Virus keinen Zugriff.

Auch die Primärsicherung wird (wenn möglich) durch geeignete Maßnahmen abgeschottet, so dass weder normale Nutzer noch Admins auf regulärem Weg Zugriff darauf bekommen.

In den meisten Fällen läuft es dann auf eine Rücksicherung des Backups hinaus. Damit kann der Betrieb innerhalb von wenigen Stunden wiederaufgenommen werden. Tagelange Ausfälle von einer Dauer wie aktuell bei Fendt sind nicht zu erwarten.

Haben wir Angst vor dem Fendt-Ausfall?

Ganz klar: Nein. Wir wissen, dass wir das Bestmögliche getan haben, eine umfassende Sicherheit mit einem sinnvollen Rahmen aufzubauen. Wenn wir dieses Niveau auch behalten, sind wir bestmöglich geschützt.

Produkte, welche hier hauptsächlich zu Tragen kommen sind unser Server- und PC-Schutz sowie die von uns verwendeten Backup-Geräte – und natürlich unser Know-How.

Haben Sie Angst vor einem Ausfall? 😨

Falls Sie sich nicht sicher sind, ob Ihr Unternehmen sinnvoll gegen Angriffe dieser Art geschützt ist, kontaktieren Sie uns gerne unter den folgenden Kontaktmöglichkeiten für ein unverbindliches Beratungsgespräch.

Informative Links:


Zur Ehrenrettung der Fendt-IT

Dieser Kommentar soll nicht die IT-Abteilung von Fendt pauschalisiert für unfähig erklären. Auch dort sitzen vermutlich fähige und erfahrene Mitarbeiter. Es gibt immer Situationen, in denen man sein Bestes getan hat und trotzdem erwischt wird. Auch diese Option soll hier nicht ausgeschlossen werden, zumal aktuell noch nicht alle Fakten auf dem Tisch liegen. Eine denkbare Situation dieser Art wäre bspw. ein Virus, der als „Schläfer“ bereits länger im System aktiv war und erst zu einem speziellen Zeitpunkt aktiviert wird. Dieser Schläfer würde nach dem Rückspielen einer Sicherung vermutlich wieder aktiv werden. Aber auch hiergegen gibt es passende Gegenmaßnahmen, sofern man sie vorher ergriffen hat (nachher geht kaum noch).

Letzten Endes fragt man sich aber beim Nachverfolgen der Nachrichten und der Tatsache, dass ein Wiederanlauf des Betriebs nach so vielen Tagen aktuell immer noch nicht stattgefunden hat, wie es so weit kommen konnte und stellt fest, dass uns unsere Kunden so etwas vermutlich nicht verzeihen würden.

Update 18.05.2022:

Datenschutz?? Ach was!

In der „Allgäuer Zeitung“, Ausgabe 18.05.2022, wird über den Wideranlauf bei Fendt berichtet. Nach immerhin fast 2 Wochen können zumindest weite Teile der Firma wieder produzieren.
Besonders interessant (oder besser fraglich) fanden wir eine im Artikel zitierte Aussage von Fendt. Dort sagt man, es sei zu einem „Datenverlust“ gekommen, was wohl so interpretiert werden muss, dass die Hacker Daten/Dateien von Fendt entwendet haben. Aber, so geht die Aussage weiter, der Datenschutz (DSGVO) wäre hier gar nicht betroffen, da Fendt kein Endkundengeschäft betreibt. So steht die Aussage im Raum.
Wir finden das deshalb fraglich, weil der Datenschutz natürlich nicht nur auf Endkunden abzielt sondern auf jegliche „natürliche Person“, womit ebenso eigene Mitarbeiter wie auch die Mitarbeiter von Partner-Firmen gemeint sind. Das hat Fendt wohl übersehen?
Liebe Fendt’s. Entweder habt Ihr das echt unglücklich formuliert oder Ihr müsst Eure Datenschutzbeauftragten mal dringend auf Nachschulung schicken. Wir bieten uns gerne an :-)


Gründer, Geschäftsführer

Teilen:
Verwaltung
Stockäcker 10
96472 Rödental
Tel: 09563 / 7263210

Servicebüro Rödental

Oeslauer Str. 46
96472 Rödental
Tel: 09563 / 726252-0
Fax: 09563 / 726252-90

Servicebüro Nürnberg

Zerzabelshofstr. 93
90480 Nürnberg
Tel: 0911 / 9407232
Fax: 0911 / 9407201

Servicebüro Allgäu

Vilstalstr. 4
87459 Pfronten
Tel: 08363 / 9292687
USt-ID: DE300846151
Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!