Am 30. Juni 2022 teilte der deutsche Baustoffhersteller Knauf mit, man sei am Tag zuvor Opfer eines Cyberangriffs geworden. "Unser Cybersystem hat sofort auf den Angriff reagiert, und es ist ihm gelungen, den Vorfall zu isolieren", hiess es weiter. Teile der Systeme seien aber aus Sicherheitsgründen abgeschaltet worden, was sich auf Bestellungen und Lieferungen auswirken könne.
Knauf beschäftigt weltweit rund 40'000 Mitarbeitende und erzielte 2021 einen Umsatz von 12,5 Milliarden Euro. In der Schweiz hat der Baustoffriese keine Fertigungsstätte, vertreibt aber seine Produkte über eine eigene Niederlassung in Reinach (BL) und Aussenstellen in der Westschweiz und im Tessin.
Geleaktes Datenpaket ist über 500 Gigabyte gross
Über die Art des Angriffs machte der Konzern bisher keine genaueren Angaben. Doch jetzt scheint klar, dass es sich um Ransomware handelt. Die Bande Black Basta hat die Attacke für sich beansprucht und auf ihrer Seite im Darkweb Daten veröffentlicht, die angeblich bei Knauf erbeutet wurden.
Wie ein Blick von inside-it.ch zeigt, handelt es sich um ein insgesamt über 500 Gigabyte grosses Datenpaket, laut Black Basta 100% der gestohlenen Daten. Die als Beweis für die Echtheit durch die Cyberkriminellen beigefügten Screenshots zeigen Passwörter der HR-Abteilung, Kopien von Ausweisen und Kreditkarten, US-Sozialversicherungsnummern und Arbeitsverträge aus Dänemark.
Frühere Opfer: Baloise Group und Genfer Agrargenossenschaft
Die Bande Black Basta tritt seit dem Frühjahr 2022 verstärkt in Erscheinung. Die Kriminellen beanspruchten unter anderem bereits Angriffe
auf Systeme der Baloise Group in Deutschland und auf die Genfer Agrargenossenschaft Laiteries Réunies für sich. Laut Berichten soll Black Basta auch hinter der Attacke
auf den Autovermieter Sixt stecken – hat daraus aber bis anhin keine Daten veröffentlicht.
Knauf selbst hat sich bis jetzt noch nicht zum Datenleak geäussert. Der Konzern scheint aber nach wie vor mit der Aufarbeitung des Cyberangriffs beschäftigt zu sein. In einer Mitteilung auf der Schweizer Website heisst es: "Derzeit arbeiten wir weiterhin mit Hochdruck daran, die üblichen Betriebsabläufe wiederherzustellen und sind dabei auf einem guten Weg."
Viele der Systeme sowie die E-Mail-Kommunikation seien wieder voll funktionsfähig, "weitere Bereiche werden derzeit wieder hochgefahren". Knauf bedauere die Umstände, "die dieser Angriff womöglich in unseren Lieferprozessen mit sich bringt", und arbeite "weiterhin unermüdlich an der Behebung der letzten Themen".