Hydro-Hack: Hatte Industriekonzern Überwachungs­sensoren abgeschaltet?

Norsk Hydro, einer der weltweit grössten Aluminiumhersteller, meldete, dass ein zentraler Geschäftsbereich nach der erfolgreichen und weitreichenden Ransomwareattacke auf das Unternehmen nach wie vor nur zu 50 Prozent arbeitet. "Man arbeitet hart daran, in den kommenden Tagen weitere Neustarts zu ermöglichen, was die weitere Belieferung von Kunden ermöglichen würde“, sagte Hydro über den Bereich, der Aluminiumbarren in Komponenten für Automobilhersteller, Bauunternehmen und andere veredelt.Die Anlagen und die IT-Systeme wurden nach dem Angriff, der am Montag begann, heruntergefahren, während die riesigen Schmelzhütten des norwegischen Konzerns teilweise manuell betrieben werden. Die vier weiteren Geschäftsbereiche arbeiten aktuell wieder mehrheitlich normal. Die IT-Systeme werden schrittweise wieder hochgefahren und mit Backups wird der Datenstand vor dem Hack wiederhergestellt. "Experten von Microsoftund andere IT-Security-Partner sind eingeflogen, um Hydro dabei zu unterstützen, geschäftskritische Systeme wieder in den Normalbetrieb zu bringen", sagt Jo De Vliegher, Leiter Informationssysteme, in einer Mitteilung von Norsk Hydro. Die norwegische Newssite 'digi.no' fasst einen Aspekt zusammen, der ein Loch in der Überwachung kritischer Infrastruktur bei Grossunternehmen in Norwegen ausleuchtet. Offenbar sind die Netzwerke von systemkritischen Unternehmen üblicherweise an ein Überwachungssystem der nationalen Sicherheitsbehörde NSM angeschlossen.Normalerweise gelte dies auch für Norsk Hydro, jedoch war bei der Attacke der Sensor von Hydro nicht eingeschaltet, sagt Håkon Bergsjø, Leiter des Cyber-Centers von NSM, NorCERT, gegenüber Medien. Also habe NorCERT den Angriff erst nach der Alarmierung durch Norsk Hydro bemerken können. Der Kommunikationsdirektor von Hydro, Halvor Molland, antwortet, Hydro kommentiere keine Details zu den Systemen. "Es war eine bewusste Entscheidung von unserer Seite. Wir hatten andere Warnsysteme im Einsatz", sagte CFO Eivind Kallevik an einer Medienkonferenz.In der Betriebszentrale von NorCERT wird der Datenfluss einer Reihe von systemkritischen Unternehmen in Norwegen laut Medien seit dem Jahr 2000 systematisch überwacht. In diesem Netzwerk kann die Behörde Angriffe oder Einbruchsversuche in die digitale Infrastruktur dieser Unternehmen erkennen. Im Jahr 2017 zeigten die Sensoren laut 'digi.no' und anderen norwegischen Medien 20'000 verdächtige Datenströme, darunter 5'000 echte Bedrohungen. (mag)