Benachrichtigung aktivierenDürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafftErlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviertWir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke
Anzeige
MDax-KonzernHacker legen Symrise lahm – warum der Fall besonders schwerwiegend ist
Eine erpresserische Attacke trifft den Dax-Anwärter. Während die Polizei ermittelt, steht die Produktion des Aromaspezialisten weitgehend still. Experten zeigen sich alarmiert.
Die Produkte des Duft- und Aromenherstellers finden sich in unzähligen Gütern des täglichen Bedarfs wie etwa Zahnpasta.
(Foto: Christian Burkert für Handelsblatt)
Düsseldorf Der niedersächsische MDax-Konzern Symrise ist Opfer einer schweren Attacke unbekannter Hacker geworden. Die Produktion in dem 2003 gegründeten Unternehmen in Holzminden steht weitgehend still. „Um die Folgen bewerten zu können und mögliche weitere Auswirkungen zu verhindern, hat das Unternehmen alle wesentlichen Systeme heruntergefahren“, teilte Symrise mit.
Der Konzern mit einem Börsenwert von zuletzt knapp zwölf Milliarden Euro, mehr als 10.000 Mitarbeitern und einem Jahresumsatz von über 3,4 Milliarden Euro gilt als aussichtsreicher Kandidat für den Aufstieg in den Leitindex Dax.
Nach Angaben von Symrise schleusten die Täter ein Virus in das Unternehmensnetzwerk ein. Symrise macht keine Angaben dazu, ob dadurch Daten verschlüsselt wurden, wie es bei solchen Angriffen üblich ist. „Nach derzeitigem Kenntnisstand handelt es sich um eine kriminelle Handlung mit erpresserischer Absicht“, sagte eine Sprecherin. Symrise arbeite mit dem Landeskriminalamt zusammen. Unbekannt ist, welche Forderungen die Hacker stellen.
Unklar ist bislang auch, welche Folgen der Angriff über das Unternehmen hinaus hat. Symrise stellt Düfte und Aromastoffe her. Ohne die Symrise-Zulieferungen kommt kaum ein Konsumgüterkonzern, Nahrungsmittelproduzent oder Kosmetikhersteller aus. Zu den Kunden gehören Danone, Coca-Cola, Henkel, Unilever, L’Oréal und Nestlé. Neben den Lieferungen für diese Unternehmen könnten auch deren Daten vom Angriff betroffen sein.
Aus Vorsicht Stillstand, so lautete die Botschaft der Konzernkommunikation von Symrise am Sonntagabend. Per WhatsApp erhielten die Mitarbeiter die Auskunft, dass Unbekannte das Unternehmen gekapert hatten. „Der Angriff hat zur Folge, dass große Teile der Unternehmensbereiche wie Produktionsstätten die Fertigung vorübergehend einstellen mussten, um die Auswirkungen des Virus bestmöglich analysieren zu können.“
Seitdem schwebt das ganze Unternehmen in Wartestellung. Wenn überhaupt, kann die Belegschaft von Symrise in dieser Woche nur sehr eingeschränkt arbeiten. Näheres sollen die Mitarbeiter von ihren Vorgesetzen erfahren, aber dies auch nur telefonisch oder per WhatsApp.
Firmeninterne Kommunikation eingeschränkt
„Betroffen von dem Hackerangriff ist auch unser Lotus-Notes-System. Daher können wir firmenintern nur eingeschränkt kommunizieren“, erklärte die Konzernkommunikation. „Wir bitten Sie daher, sich derzeit nicht in unsere Netzwerke einzuwählen beziehungsweise Ihre Firmengeräte nicht zu benutzen.“
Wirtschaft, Gesundheitswesen, Verwaltung, Bildung und Kultur – es gibt keinen gesellschaftlichen Bereich, der von Cybererpressern verschont wird. Die übliche Methode: Die Kriminellen verschicken E-Mails mit präparierten Rechnungen oder Bewerbungen und schleusen so schädliche Software ins System. Einmal im Netzwerk, kundschaften sie das Unternehmen aus. Dann verschlüsseln sie wichtige Daten, sodass das Unternehmen nicht mehr darauf zugreifen kann. Für die Entschlüsselung erpressen sie Lösegeld.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich alarmiert, dass bei den Angriffen eine „steigende Aggressivität und Professionalität“ zu beobachten sei. „Dabei werden Daten immer öfter nicht nur verschlüsselt, sondern auch von Cyberkriminellen kopiert und ausgeleitet“, warnt die Behörde – ein neues Druckmittel.
Die Täter drohen dabei, vertrauliche Daten der Unternehmen im Internet zu veröffentlichen. Das kann neben dem Reputationsschaden auch zu Strafzahlungen und Klagen führen. Virenspezialist Karsten Hahn vom Bochumer Unternehmen G-Data warnt vor solchen Folgen: „Die Daten liegen schon in den Händen von Kriminellen – man muss davon ausgehen, dass sie zu Geld gemacht werden.“
Die Hacker fühlen sich oft sicher, weil sie in Ländern leben, in denen der Fahndungsdruck nicht besonders hoch ist. Auf vielen Darknet-Plattformen heißt es explizit, dass mit der Schadsoftware keine russischen Ziele angegriffen werden dürften. Der Verdacht liegt nahe, dass die heimischen Sicherheitsbehörden in Russland nicht provoziert werden sollen.
Steile Lernkurve der Täter
In der IT-Sicherheitsszene beobachtet man eine steile Lernkurve der Angreifer: Große Gruppen wie Evil Corp., REvil oder Maze entwickeln ihre Technologien und Taktiken ständig weiter, sie agieren nach Einschätzung aus Branchenkreisen teilweise so professionell wie Geheimdienste.
Außerdem schließen sich die Täter zunehmend zu Syndikaten zusammen, die sich auf unterschiedliche Bereiche spezialisieren. Der Sammelbegriff für die Angriffe lautet „Ransomware“ – eine Kombination der englischen Worte Ransom (Erpressung) und Software.
Prominente Attacken
Symrise ist kein Einzelfall: In den vergangenen Jahren sind zahlreiche mehr oder weniger spektakuläre Hackerangriffe bekannt geworden. Einige Beispiele.
Der Computerwurm Stuxnet sorgte international für Schlagzeilen: Das Programm war darauf ausgelegt, Industriesteuerungen von Siemens zu manipulieren – und sollte dem iranischen Atomprogramm schwere Schäden zufügen. US-Medien vermuten Israel und die USA dahinter.
Es ist bis heute der größte bekannt gewordene Hack: Bei zwei Angriffen in den Jahren 2013 und 2014 erbeuteten unbekannte Täter die Daten von mehr als einer Milliarde Nutzern. Sie erlangten Zugriff auf Namen, E-Mail-Adressen, Telefonnummern, Sicherheitsfragen sowie Geburtsdaten und Passwörter.
Eine Hackergruppe kaperte die IT-Infrastruktur des Filmstudios Sony Pictures. Unter den 100 Terabyte an gestohlenen Daten befanden sich unveröffentlichte Filme, Gehaltslisten, E-Mail-Korrespondenzen und private Telefonnummern von Stars. Die US-Regierung warf Nordkorea vor, zentral beteiligt gewesen zu sein.
Das Thema beschäftigt die Politik bis heute: 2015 kam es zu einem massiven Hackerangriff auf den deutschen Bundestag. Die Täter schleusten Spionagesoftware auf die Computer in den Büros zahlreicher Abgeordneter ein. Die Bundesregierung vermutet Russland hinter dem Angriff, die Europäische Union hat deswegen kürzlich Sanktionen gegen das Land verhängt.
Im Präsidentschaftswahlkampf 2016 veröffentlichte Wikileaks interne E-Mails der Demokraten, die die Kandidatin Hillary Clinton schlecht aussehen ließen. Sie stammten aus einem Hackerangriff, hinter dem das amerikanische Heimatschutzministerium Russland vermutet.
Ein britischer Hacker nutzte eine Schwachstelle aus, um rund eine Million Router von Kunden der Deutschen Telekom lahmzulegen. Er wollte die Geräte in ein Botnetz integrieren, gestand er, als ihm in Köln der Prozess gemacht wurde – damit können Täter beispielsweise IT-Infrastrukturen lahmlegen.
Bei der Reederei lief der Betrieb nach einem Angriff mit Erpressungssoftware über Wochen nur notdürftig – angesichts eines Schadens von mehreren Hundert Millionen Dollar steht das Unternehmen stellvertretend für die Gefahr durch diese Betrugsmasche, die bis heute zahlreiche Organisationen trifft.
Während die Kriminellen die Ransomware früher so weit wie möglich verbreiteten, gehen sie heute gezielt vor. „Die Täter bauen einen Angriff über Monate hinweg auf“, schildert IT-Experte Hahn. Ziel sei es, das Unternehmensnetzwerk unter Kontrolle zu bringen und wichtige Daten auszuleiten – auch, um die finanzielle Leistungsfähigkeit auszukundschaften. „Erst zum Schluss kommt die Ransomware.“ Aus Sicht der Kriminellen begehen die Cybererpresser das perfekte Verbrechen: Die Verschlüsselung von Daten schafft Dringlichkeit, die Bezahlung mit Bitcoin oder anderen Kryptowährungen Anonymität.
„Heutzutage werden eher große Angriffe gefahren“, berichtete Michael Sauermann, Partner bei der Wirtschaftsprüfungsgesellschaft KPMG, kürzlich auf einer Handelsblatt-Tagung. Die Forderung könne sich auf zwei- bis dreistellige Millionenbeträge belaufen. In IT-Kreisen ist zu hören, dass viele Unternehmen zahlen – aus Angst, dass der Betrieb lange stillsteht.
Dass es in der Coronakrise zu vielen Vorfällen kommt, ist kein Zufall. Wenn viele Mitarbeiter von zu Hause aus arbeiten, steige die Durchlässigkeit eines IT-Systems – und damit auch die Möglichkeiten, es anzugreifen, sagt Thomas Schumacher, IT-Sicherheitsexperte bei der Unternehmensberatung Accenture: „Das Geschäftsmodell für Ransomware und die Möglichkeiten für Cyberangriffe verbreitern sich gerade.“
Auch Symrise scheint an solche Profis geraten zu sein. In IT-Sicherheitskreisen geht man davon aus, dass die kriminelle Gruppe TA 505 mit der Ransomware Clop hinter dem Angriff steckt – das sei „mit ziemlich hoher Wahrscheinlichkeit“ so, erklärte ein Insider gegenüber dem Handelsblatt. Die Bande gilt als sehr aktiv und zielt vor allem auf große Unternehmen ab, sie wird im russischsprachigen Raum vermutet.
Das Landeskriminalamt und die zuständige Polizeiinspektion Hameln-Pyrmont halten sich dazu bedeckt: Sie teilen lediglich mit, „die Gruppierung TA 505 wird nach Recherchen der ZAC hinter diversen Ransomware-Attacken vermutet“. Im konkreten Fall bei Symrise allerdings können „aus ermittlungstaktischen Gründen keine weiteren Angaben/Bestätigungen gemacht werden“.
Aktienkurs gibt leicht nach
Der Aktienkurs von Symrise gab nach Bekanntwerden der Attacke leicht nach. „Für mich wäre ein Hackerangriff allerdings kein Grund, aus einer Aktie rauszugehen“, meinte Analyst Thorsten Strauß von der NordLB, Experte für Chemieunternehmen. Symrise könnte auch deshalb ein lohnendes Ziel für Hacker sein, weil das Geschäft brummt. Das Holzmindener Unternehmen kam ohne Kurzarbeit und Staatshilfen durch die Coronakrise.
Aromen-Analyse bei Symrise
Wichtige Systeme liegen nach der Cyberattacke lahm.
(Foto: Christian Burkert für Handelsblatt)
Symrise ist ein weltweit führender Hersteller von Duft- und Aromastoffen. Die Kunden stammen aus der Parfum-, Kosmetik- und Nahrungsmittelindustrie. So zeichnete Henkel Symrise wiederholt als besten Lieferanten aus, Unilever eröffnete mit den Deutschen ein gemeinsames Forschungszentrum in den Niederlanden. Analyst Strauß: „Das Geschäftsmodell von Symrise ist einfach überzeugend.“
Der Umsatz stieg in den ersten sechs Monaten des Jahres 2020 um 7,6 Prozent auf 1,8 Milliarden Euro. Der Gewinn (Ebitda) des Unternehmens legte um 11,9 Prozent auf 393 Millionen Euro zu. Damit verbesserte sich die Ebitda-Rendite von 20,8 auf 21,6 Prozent. Das Unternehmen ist hochprofitabel.
Symrise arbeitet nun daran, zumindest erste Systeme zeitnah wieder hochzufahren. Im Ringen darum, wie die Folgen der Attacke behoben werden können, wird das Unternehmen derzeit auch von der Zentralen Ansprechstelle für Cybercrime für die niedersächsische Wirtschaft, kurz ZAC, unterstützt.
Die beim LKA seit 2011 angesiedelte Abteilung berät Wirtschaftsunternehmen präventiv und im Schadensfall, speziell einem Cyberangriff – ohne allerdings bei einer aktiven Bereinigung der Systeme zu helfen. Diese „ist immer durch firmeneigenes IT-Personal oder ein externes Unternehmen zu leisten“, so das LKA auf Nachfrage.
1 Kommentar zu "MDax-Konzern: Hacker legen Symrise lahm – warum der Fall besonders schwerwiegend ist"
Das Kommentieren dieses Artikels wurde deaktiviert.
Herr Arjun Mehta
If you let traditional IT departments to look after IT security, then such disasters are bound to happen. Most IT departments are only good in managing day to day operations and people there mostly work in silos and generally are not updated and even reluctant to understand and adopt new technologies.
IT security and Anti Hacking is a very specialised and dynamic subject which requires specialist and evolved resources who evaluate threat both on a strategic and day to day basis. Traditional IT on the other hand is typically content with an annual "Security Audit" and do not have the understanding and the expertise do deal with security threats which emanate hackers who are criminal and also State led, as we have seen with recent cases.
CEOs need to understand this and intervene and make the necessary organisational changes
Wenn Sie traditionelle IT-Abteilungen sich um die IT-Sicherheit kümmern lassen, dann sind solche Katastrophen vorprogrammiert. Die meisten IT-Abteilungen sind nur gut darin, den täglichen Betrieb zu managen, und die Leute dort arbeiten meist in Silos und sind im Allgemeinen nicht auf dem neuesten Stand und sogar zögerlich, neue Technologien zu verstehen und zu übernehmen.
IT-Sicherheit und Anti-Hacking ist ein sehr spezialisiertes und dynamisches Thema, das spezialisierte und weiterentwickelte Ressourcen erfordert, die Bedrohungen sowohl auf strategischer als auch auf täglicher Basis bewerten. Traditionelle IT-Abteilungen hingegen begnügen sich in der Regel mit einem jährlichen "Security Audit" und haben nicht das Verständnis und die Expertise, um mit Sicherheitsbedrohungen umzugehen, die von kriminellen und auch staatlich gesteuerten Hackern ausgehen, wie wir in den letzten Fällen gesehen haben.
CEOs müssen dies verstehen und eingreifen und die notwendigen organisatorischen Änderungen vornehmen
Das Kommentieren dieses Artikels wurde deaktiviert.
If you let traditional IT departments to look after IT security, then such disasters are bound to happen. Most IT departments are only good in managing day to day operations and people there mostly work in silos and generally are not updated and even reluctant to understand and adopt new technologies.
IT security and Anti Hacking is a very specialised and dynamic subject which requires specialist and evolved resources who evaluate threat both on a strategic and day to day basis. Traditional IT on the other hand is typically content with an annual "Security Audit" and do not have the understanding and the expertise do deal with security threats which emanate hackers who are criminal and also State led, as we have seen with recent cases.
CEOs need to understand this and intervene and make the necessary organisational changes
Wenn Sie traditionelle IT-Abteilungen sich um die IT-Sicherheit kümmern lassen, dann sind solche Katastrophen vorprogrammiert. Die meisten IT-Abteilungen sind nur gut darin, den täglichen Betrieb zu managen, und die Leute dort arbeiten meist in Silos und sind im Allgemeinen nicht auf dem neuesten Stand und sogar zögerlich, neue Technologien zu verstehen und zu übernehmen.
IT-Sicherheit und Anti-Hacking ist ein sehr spezialisiertes und dynamisches Thema, das spezialisierte und weiterentwickelte Ressourcen erfordert, die Bedrohungen sowohl auf strategischer als auch auf täglicher Basis bewerten. Traditionelle IT-Abteilungen hingegen begnügen sich in der Regel mit einem jährlichen "Security Audit" und haben nicht das Verständnis und die Expertise, um mit Sicherheitsbedrohungen umzugehen, die von kriminellen und auch staatlich gesteuerten Hackern ausgehen, wie wir in den letzten Fällen gesehen haben.
CEOs müssen dies verstehen und eingreifen und die notwendigen organisatorischen Änderungen vornehmen