(openPR) Der norwegische Aluminiumhersteller Norsk Hydro ist Mitte März Opfer eines massiven Hackerangriffs mit gravierenden Folgen geworden: Die Aktie verlor über 3 Prozent an Wert und konnte den Verlust trotz Schwankungen bisher nicht wieder ausgleichen, die Produktion wurde massiv gestört. Das Problem ist laut Vorstand Eivind Kallevik bisher nicht abschließend behoben worden. Für den erfahrenen IT-Sicherheits- und Datenschutzexperten Dr. Jörn Voßbein ist der Fall ein Weckruf mit vielen Fragen für Unternehmen: „Ist das eigene Unternehmen optimal geschützt vor solchen kriminellen Cyber-Attacken? Was kann und muss in Unternehmen verbessert werden?“ Der Fall aus Norwegen erfordert eine genaue Betrachtung, um die richtigen Lehren zu ziehen.
Das betroffene Unternehmen Norsk Hydro ASA ist ein Unternehmen, das sich auf die Produktion von Aluminium spezialisiert hat. Mit Vertriebs- und Handelsaktivitäten entlang der gesamten Wertschöpfungskette ist der Konzern in über 50 Ländern weltweit aktiv. Über 36.000 Menschen sind bei Norsk Hydro beschäftigt.
Was war passiert? Den norwegischen Sicherheitsbehörden zufolge nutzten die Angreifer den Computervirus LockerGoga. Dieser verschlüsselt die Daten auf den Festplatten der angegriffenen Rechner, so dass kein Zugriff mehr besteht. Das notwendige Passwort für den Zugang zu ihren Daten erhalten die Opfer solcher sogenannter Ransomware meist erst nach einer Lösegeld-Zahlung (doch selbst bei Zahlung ist dies nicht sicher). Norsk Hydro musste teilweise die Produktion stoppen oder auf manuellen Betrieb umstellen. Das gesamte Ausmaß des Vorfalls ist nicht absehbar.
Wie kann man solchen Attacken vorbeugen? Tatsächlich können Unternehmen schon heute viel für die Datensicherheit tun und somit Prävention gegen Cyber-Kriminalität leisten. Der Aufbau eines Informationssicherheits-Managements ist ein wichtiger Baustein zu einer deutlich verbesserten IT-Sicherheit im Unternehmen. Dieses Vorgehensmodell kann sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) orientieren und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.
Was kann ich als Sofortmaßnahme tun? Ein in letzter Zeit immer wichtiger werdender Bereich ist die Schulung und Sensibilisierung der eigenen Belegschaft für das Thema IT-Sicherheit und der richtige Umgang mit ihr. Die Erfahrung zeigt, dass Vorgaben nur eingehalten werden, wenn die Mitarbeiter die Hintergründe verstehen. Andernfalls werden entweder bewusst Regeln umgangen, weil sie als „lästig“/unsinnig empfunden werden, oder es wird unbewusst aus mangelndem Wissen gegen Vorgaben verstoßen.
Der Fall Norsk Hydro werde hoffentlich eine Diskussion über die eigenen IT-Sicherheitsmaßnahmen in Gang setzen, an deren Ende dann Verbesserungen auch wirklich vorgenommen werden, so UIMC-Geschäftsführer Dr. Jörn Voßbein. „Nur darüber reden, bringt nichts und erleichtert den Cyber-Kriminellen ihr schmutziges Handwerk weiter zu betreiben – es müssen Taten folgen“, fordert Dr. Voßbein ein höheres Maß an IT-Sicherheit in Unternehmen, „was nicht nur börsennotierte Konzerne, sondern auch für den Mittelstand/für KMU gilt.“
