Norsk Hydro zeigt sich nach dem Riesenhack vorsichtig optimistisch

Der Aluminiumkonzern gab ein Status-Update. Aber auch ein Name eines Cyber-Security-Partners fällt.
 
Am Tag zwei nach einer erfolgreichen Ransomware-Attacke mit wohl globalen Konsequenzen, musste der Industriekonzern Norsk Hydro bis in den späten Nachmittag primär via Facebook kommunizieren, die Website war bis etwa 16 Uhr down.
 
In einem Post hiess es: "Das technische Team von Hydro hat mit externer Unterstützung die Ursache der Probleme erkannt und arbeitet derzeit an der Validierung des Plans und des Prozesses."
 
In einem globalen Webcast dankte CFO Eivind Kallevik zuerst allen 35'000 Mitarbeitenden in 40 Ländern für die Mitarbeit und Mehrarbeit. Es war offenbar der gesamte Konzern von der Attacke betroffen. Kallevik präzisierte, es sei schwer gewesen das Kernproblem zu finden. Nun sei dieses klar und man könne mit einem abgesicherten Neustart mehrerer der heruntergefahrenen IT-Systeme beginnen. Er sagte den Medien und Bankenvertretern in einem Nebensatz, man betrachte es als andauernde Attacke.
 
Man habe nach Entdeckung des Hacks alle Bauxit-, Aluminium- und Kraftwerke isolieren und alternative Bestellwege für Kunden etablieren müssen. In zwei von fünf Geschäftsfeldern konnte man die Werke bis anhin noch nicht mit Produktionssystemen verbinden, was die Produktion zumindest bremst oder in einigen Werken stoppt. Betroffen seien Werke in USA und Europa.
 
In einem Geschäftsfeld laufe die Produktion am Tag zwei nach dem Hack normal, in einem weiteren zwar normal, aber mit Unterstützung durch manuelle Arbeit. Durch den Neustart einzelner IT-Systeme will der Konzern nun Kundenbestellungen exportieren und bearbeiten.
 
Da es inzwischen bestätigt ist, dass Ransomware bei Hydro eingeschleust wurde, stellten Medien Fragen nach den Forderungen der Angreifer: "Wir haben keine spezifischen Geldforderungen erhalten. Wir haben kein Lösegeld bezahlt. Unser Plan ist es, mit den gesäuberten Systemen wieder live zu gehen und die Datenbasis mit Backups wiederherzustellen", so der CFO.
 
Zu technischen Fragen, Kritik an der IT-Architektur des Konzerns oder zur Herkunft der Angreifer nahm er keine Stellung und verwies auf die polizeilichen Ermittlungen. Ein Journalist fragte nach den Cybersecurity-Contractors von Hydro, insbesondere nannte er den Namen Fujitsu.
 
Dies nicht ohne Grund. Das Unternehmen hatte Anfangs 2017 stolz einen sechsjährigen Vertragsabschluss mit Hydro gemeldet: "Mit der aktuellen Vereinbarung verfügt das Unternehmen über einen effektiven und effizienten 24/7-Schutz. Durch Aktivitäten des Fujitsu Computer Security Incident Response Teams (CSIRT) und Services wie Fujitsu Security Information and Event Management (SIEM) sowie dem Authentifizierungssystem Fujitsu PalmSecure kann der Konzern die zahlreichen Cyber-Risiken für das operative Geschäft wirksam minimieren. Zudem ist eine umfassende Compliance ebenso gesichert wie die Integrität sensibler Unternehmensdaten und des gesamten geistigen Eigentums der Firma," hiess es in der damaligen Medienmitteilung von Fujitsu.
 
CFO Kallevik antwortete vage und hielt sich bedeckt: "Wir haben mehrere Contractors für Cybersecurity und Fujitsu ist seit langem ein Vertragspartner. Ich werde zu Cybersecurity nichts kommentieren."
 
Er ergänzte, man habe nun mehrere Firmen zur Bewältigung des Hacks engagiert, wollte aber ebenfalls keine Namen nennen.
 
Nicht zuletzt musste er zum Thema Cyberversicherung Auskunft geben: "Wir haben eine gute und starke Cyberversicherungspolice mit bekannten internationalen Versicherungen", so Kallevik knapp. "Sie deckt auch Betriebsausfälle." (Marcel Gamma)