Der norwegische Konzern Norsk, einer der größten Aluminium-Hersteller weltweit, ist am 19. März zum Ziel einer großflächigen Cyberattacke geworden. Am vergangenen Dienstag meldet sich der Konzern zuerst über Facebook und andere Nachrichtenkanälen, da die eigenen Webserver auch betroffen waren:
IT-systems in most business areas are impacted and Hydro is switching to manual operations as far as possible. Hydro is working to contain and neutralize the attack, but does not yet know the full extent of the situation. (Q: hydro.com / Kopie)
Einen Tag später wurde darüber informiert, dass die Ursache des Problems identifiziert worden sei und man dabei sei die betroffenen und ursächlichen Systeme zu isolieren, während die Produktionssysteme weiterhin manuell betrieben werden. Eine knappe Woche später, am 26.3. waren laut Pressemitteilung nahezu alle Systeme wieder hergestellt, obgleich es mit einigen wenigen Produktionszweigen noch Schwierigkeiten geben soll. Zu den Ursachen der Attacke gibt es bislang wenige öffentliche Informationen:
“The malicious virus attack caused many of Hydro’s IT-systems to be shut down, not because they were infected but to contain the virus and prevent it from spreading further. Although the situation is progressing from day to day, it remains unclear how long it will take to restore stable I- operations. We need to cure the infected parts of our network, before reopening the healthy parts,” says head of information systems Jo De Vliegher. (Q: hydro.com / Kopie)
Diese Angaben deuten darauf hin, dass die IT-Systeme des Konzern großflächig mit einer Schadsoftware infiziert wurden, die sich bis zum 19.3. verdeckt in den IT-Systemen verborgen haben muss um zeitgleich (entweder per „eingebautem Timer“ oder externe Steuerung per C&C-Infrastruktur) ausgelöst zu werden. Da bei einem derart großen, weltweit agierenden Unternehmen davon auszugehen ist, dass IT-Systeme unterschiedlichster Hersteller und mit diversen Betriebssystemen und Software-Versionsständen eingesetzt werden, müsste die Schadsoftware sehr breitflächig und universell in der Lage gewesen sein um eine derartig hohe Sättigung innerhalb der Konzern-IT-Systeme zu erzielen. Da sich der Konzern trotz der damit einhergehenden finanziellen und produktiven Einbußen entschlossen hat auch mutmaßlich nicht-betroffene Systeme als Vorsichtsmaßnahme vom Netz zu nehmen deutet ferner darauf hin, dass die Schadsoftware maßgeschneidert und nicht mit Standard-Sicherungsmaßnahmen aufgespürt werden kann. Der Konzern hat den Vorfall demzufolge auch an nationale Sicherheitsbehörden gemeldet:
Hydro has reported the sophisticated cyber attack to Norway’s National Investigation Service (Kripos) and is cooperating with relevant authorities, including the Norwegian National Security Authority (NSM). (Q: Hydro.com / Kopie)
Hinsichtlich der potentiellen Schäden rechnet der Konzern einer ersten Schätzung zufolge mit Schäden in Höhe von 300 bis 350 Millionen norwegische Kronen (30 bis 35 Millionen Euro):
It is premature to give any precise or detailed overview of the financial impact at this point. Based on a high-level evaluation, the preliminary estimated financial impact for the first full week following the cyber attack is around NOK 300-350 million, the majority stemming from lost margins and volumes in the Extruded Solutions business area. (Q: Hydro.com / Kopie)
Über den mutmaßlichen Ursprung der Attacke oder die Intention hinter dem Angriff ist bislang nichts verlautbart worden.