In Deutschland hat es Cyberangriffe auf zwei weitere Unternehmen gegeben: Hacker attackierten das in Hamburg beheimatete Tanklogistikunternehmen Oiltanking sowie den Flughafen- und Gebäudedienstleister Wisag in Frankfurt. Während dort der operative Betrieb auf Ersatzsysteme umgestellt werden konnte und einer Mitteilung des Unternehmens zufolge „maßgebliche Störungen“ im Betrieb „nicht zu verzeichnen“ waren, sind die Probleme bei dem Betreiber von Öl- und Benzintanks offenbar größer.

Das Unternehmen Oiltanking ist eines der größten Mitglieder im Unabhängigen Tanklagerverband und betreibt in Deutschland 11 der insgesamt 108 Tanklager in dem Verband. Die größten Lager des Unternehmens stehen in Hamburg, weitere befinden sich entlang des Rheins, in Frankfurt, Gera und Berlin. An den Standorten ist nach dem Angriff offenbar die Software ausgefallen, welche die automatische Befüllung von Tankwagen und anderen Transportern steuert.

Tankwagen können nicht befüllt werden

Einer Mitteilung des Unternehmens zufolge arbeiten die Oiltanking-Terminals „mit eingeschränkter Kapazität“. Das Unternehmen habe den Hackerangriff am Samstag bemerkt und einen Fall von höherer Gewalt („force majeure“) ausgerufen. Gleiches habe das Schwesterunternehmen Mabanaft getan. Beide gehören zum Konzern Marquard & Bahls, der im Jahr 2020 mit rund 6200 Mitarbeitern einen Umsatz von 10,5 Milliarden Euro erwirtschaftete.

„Ich würde das Problem im Moment vor allem im Bereich der Tankwagen sehen“, sagte Frank Schaper, Geschäftsführer des Verbands. Durch die verbreitete vollautomatische Tankwagenbefüllung gebe es dort den höchsten Automatisierungsgrad, der kaum durch manuelles Befüllen ersetzt werden könne. Schaper versicherte aber, dass die Mineralölversorgung Deutschlands durch den Angriff nicht gefährdet sei. Gewohnte Logistik-Ketten hätten umgestellt werden müssen, das sei aber weitgehend schon geschehen. Die Auswirkungen seien beispielsweise „nicht dramatischer“ als die des Rhein-Niedrigwassers im Jahr 2018.

Zu den Kunden von Oiltanking gehören auch die Tankstellen von Shell. „Wir sind am Wochenende von Oiltanking informiert worden, dass es eine Cyberattacke gegeben hat“, sagte eine Shell-Sprecherin dazu. „Mögliche Auswirkungen auf unsere Versorgungsketten können zum gegenwärtigen Zeitpunkt über alternative Ladepunkte ausgeglichen werden.“

Fachleute vermuten Ransomware-Angriff

Wie genau der Angriff auf Oiltanking abgelaufen ist, ist nach Einschätzung von Fachleuten noch unklar. Aus Sicht von Tim Berghoff, Sprecher des Bochumer Cybersicherheitsunternehmens G-Data, spricht aber einiges für einen Erpressungstrojaner, in Fachkreisen „Ransomware“ genannt. „Ransomware ist der Klassiker, wenn es darum geht, ein Unternehmenssystem so schnell wie möglich lahmzulegen“, sagt Berghoff der F.A.Z.: „Das ist ein Angriffsszenario, das wir in der Vergangenheit schon oft gesehen haben.“

Bei einem Ransomware-Angriff verschlüsselt ein Schadprogramm die Systeme des Opfers, sodass das Unternehmen sie nur wieder freigeben kann, wenn die Angreifer ihm nach Zahlung eines Lösegelds den passenden Schlüssel dafür geben. Eine solche Zahlung sei für Unternehmen in so einem Fall aber meist gar nicht mal das Teuerste, sagt Berghoff: „Der Produktionsausfall ist am Ende einer der größten Posten auf der Rechnung.“

Das Schadprogramm könne auf verschiedene Art und Weise in die Systeme von Oiltanking geraten sein. „Der übliche Weg ist eine E-Mail mit einem präparierten Anhang, die ein Mitarbeiter im guten Glauben öffnet.“ Es könne aber auch sein, dass die Angreifer bekannte Schwachstellen ausnutzten, wie die in der verbreiteten Java-Bibliothek Log4j oder in Microsofts E-Mail-Architektur Exchange Server. „Obwohl es Patches gibt, die diese Sicherheitslücken schließen, gibt es gerade im Mittelstand immer noch zahlreiche Unternehmen, die die Updates bislang aufgeschoben haben.“

Erpressungsversuch auch bei Wisag

Auch beim Dienstleister Wisag hat es einen Erpressungsversuch gegeben. Das Unternehmen teilte mit, es sei kontaktiert worden, habe aber Verhandlungen mit den Tätern abgelehnt und stattdessen die Polizei eingeschaltet. „Die Wisag ist nicht erpressbar und leistet keine Zahlungen an Kriminelle“, erklärte Vorstand Michael Wisser am Dienstag.

Der Angriff dort war am vergangenen Donnerstag aufgefallen. Daraufhin seien sämtliche Systeme des Konzerns offline genommen worden, hieß es vom Unternehmen. „Die Notfallpläne der Wisag haben gegriffen, der operative Betrieb wurde sofort auf Ersatzsysteme umgestellt“, sagte eine Sprecherin. Inzwischen seien die wesentlichen Funktionen wieder hergestellt worden. Es werde auch untersucht, ob und welche Daten von Wisag-Servern gegebenenfalls kopiert worden seien. Mit Blick auf die laufenden Ermittlungen könne man derzeit keine weiteren Angaben zu Ursachen und Auswirkungen des Vorfalls machen.

Das im Jahr 1965 gegründete Unternehmen Wisag wickelt etwa an mehreren großen deutschen Flughäfen die Gepäckabfertigung ab. Zudem bietet es Reinigungs- und andere Gebäudedienstleistungen an. Nach eigenen Angaben beschäftigt es mehrere zehntausend Menschen in Deutschland, Österreich, der Schweiz, Luxemburg und Polen.