Zweistelliger Millionenbetrag

So lief die Cyberattacke bei Eberspächer

Im vergangenen Jahr wurde der Zulieferer Eberspächer Opfer einer Cyberattacke. Erstmals sprach Geschäftsführer Martin Peters vor Journalisten etwas detaillierter über die schwierige Zeit – und lobte dabei auch die Rolle der deutschen Polizei und des FBI.

Foto: DPA / Robin Utrecht / Robin Utrecht

Eine osteuropäische Gruppe, die sich der Ransomware BlackMatter bediente, steckte hinter dem Angriff auf Eberspächer.

Fast neun Monate ist es nun her, dass der Eberspächer-Konzern Opfer einer groß angelegten Cyberattacke. Erst jetzt können die letzten Auswirkungen in den weltweit 80 Standorten des Unternehmens komplett beseitigt werden. Die IT-Systeme wurden noch sicherer aufgestellt. Der Angriff habe das Unternehmen einen "mittleren zweistelligen Millionenbetrag gekostet", verriet Eberspächer-Chef Martin Peters einem kleinen Kreis an Journalisten. Dieser dürfte wohl zwischen 40 und 60 Millionen Euro liegen.

Es war der 24. Oktober 2021, als die IT-Monitoring Systeme von Eberspächer verdächtige Aktvitäten registrierten. Mit Hilfe einer so genannten Ransomware hatten die Täter Zugriff auf die Systeme erhalten. Um eine mögliche Ausbreitung des Angriffs sowohl innerhalb des Unternehmens als auch nach extern zu verhindern, schaltete Eberspächer sämtliche Netzwerke und Server ab. Zu diesem Zeitpunkt war ein Teil der Daten aber bereits abgegriffen und verschlüsselt. Mitarbeiter waren für Wochen weder telefonisch noch per Mail erreichbar. "Natürlich geht es bei solchen Erpressungen um Lösegeld", sagt Peters. Wie hoch die Forderungen waren und ob letztlich Lösegeld geflossen ist, will er nicht verraten. Aber: "Ich kann nur sagen, wir lassen uns nicht erpressen."

Osteuropäische Gruppe hinter dem Angriff

Sofort nach Bekanntwerden sei Anzeige erstattet worden und die Polizei eingeschaltet worden. Diese habe hervorragende Arbeit geleistet und auch eng mit dem amerikanischen FBI zusammengearbeitet. "Wir hatten das Glück, dass der örtliche Polizeipräsident Cyberkriminalität sehr ernst nimmt und die Behörden gut aufgestellt sind", so Peters. Grund dafür ist ein konkreter Fall. Ziemlich genau zwei Jahre zuvor war mit dem Automatisierungsspezialisten Pilz aus Ostfildern bei Stuttgart schon einmal ein schwäbischer Mittelständler Opfer eines Hackerangriffs geworden. Danach habe die Polizei deutlich aufgerüstet. "Die waren wirklich sehr gut vernetzt", so Peters.

Wie heute bekannt ist, war für den Angriff eine osteuropäische Gruppe verantwortlich, die sich einer Ransomware namens BlackMatter bediente. BlackMatter fußt auf einem Ransomware-as-a-Service (RaaS)-Modell, bei dem der "harte Kern" der Gang von den Erlösen seiner Mitglieder profitiert. Ziel der Angriffe sind vor allem große Unternehmen. Da es zuvor bereits mit einem Vorgängerprogramm einen Angriff auf die Colonial Pipeline in den USA gegeben hatte, waren die amerikanischen Behörden betreits aktiv geworden und konnten die deutsche Polizei bei den Ermittlungen unterstützen. Die Gruppe soll sich nach Medienberichten inzwischen aufgelöst haben – nicht zuletzt, weil viele ihrer Mitglieder offenbar verhaftet wurden.

Mehr zum Thema
Fünf C halten Eberspächer in Atem
Hackerangriff legt IT von Eberspächer lahm
"Kein Fahrzeug konnte nicht gebaut werden"

Für Eberspächer sei zunächst vor allem darum gegangen, die Produktion in den 50 Werken abzusichern und die Kunden weiter zu bedienen. Eberspächer arbeitet für fast alle großen Fahrzeughersteller, sowohl im Pkw- als auch Nutzfahrzeugbereich. "Kein Fahrzeug konnte wegen uns nicht gebaut werden", sagt Peters nicht ohne Stolz. So hätten viele Mitarbeiter in den ersten Wochen praktisch rund um die Uhr gearbeitet, um die Bänder am Laufen zu halten. "Das hat uns als Belegschaft extrem zusammengeschweißt und war eine tolle Erfaherung", erinnert er sich. Vor allem das zusätzlich benötigte Personal hätte enorme Kosten verursacht, da diese praktisch alle Prozesse der IT hätten ersetzen und analog bearbeiten müssen. 

Nach einer gewissenhaften Prüfung war die IT-Infrastruktur über Wochen und Monate hinweg wieder schrittweise in Betrieb gegangen. Ein Forensik-Team habe geprüft, welche Bereiche des Netzwerkes betroffen waren und die Daten gesäubert. Dabei wurden Teile des Netzes und der Struktur parallel neu und noch sicherer aufgebaut. Zwar seien die IT-Systeme mittlerweile fast überall optimiert worden. Doch für Peters ist klar, dass es eine absolute absolute Sicherheit vor solchen Angriffen nicht geben kann. "Wenn man sieht, wie viel wir als Unternehmen in datengetriebene Prozesse und Geschäftsmodelle investieren, dann kann einem doch etwas bang werden."

Aus dem Datencenter:

Die 100 umsatzstärksten Zulieferer weltweit 2021

FÜR SIE EMPFOHLEN
Online-Autohändler Cazoo steht vor Insolvenz
Lesen Sie auch:
Cazoo-Transporter
Online-Autohändler Cazoo steht vor Insolvenz
Reifenhandel
Reifenhandel: mehr Umsatz und weniger Gewinn
Ola Källenius Maybach SUV
Mercedes-Chef Källenius verdient mehr als Zipse und Blume
Ola Källenius
So verteidigt Källenius den Verkauf der Mercedes-Niederlassungen
Junge Menschen im Auto
Streiks machen Autos attraktiver
Informationsvorsprung Newsletter
Jetzt Newsletter bestellen