Wenig ist bislang aus gesicherter Quelle zu erfahren über den Hackerangriff, der bei VDM Metals seit Wochen die Produktion lähmt. Das Unternehmen reagierte auf Anfragen zunächst gar nicht, ließ sich erst auf Nachfrage entlocken, dass man nichts zu dem Sachverhalt sagen werde. Polizei und Staatsanwaltschaft bestätigen zwar Kenntnis, belassen es aber dabei.
„Ich kann derzeit lediglich mitteilen, dass der von Ihnen in Bezug genommene Sachverhalt hier bekannt ist“, heißt es auch von der Zentral- und Ansprechstelle Cybercrime NRW (ZAC) auf eine Anfrage unserer Redaktion. Die ZAC führt nun die Ermittlungen im Fall VDM. Doch auch sie gibt sich bedeckt: „Weiterführende Angaben zum Sachstand kann ich derzeit nicht machen“, erklärt ein Sprecher der Einrichtung.
Die ZAC ist eine Dienststelle unter dem Dach der Staatsanwaltschaft in Köln. Ihr obliege „die Verfahrensführung in herausgehobenen Verfahren im Bereich der Cyberkriminalität“, heißt es aus der Pressestelle. Sie ist die ranghöchste Ermittlungseinheit für Hackerangriffe im Bundesland Nordrhein-Westfalen.
Allein diese Zuständigkeit und die Geheimhaltungsstufe mögen ein Beleg dafür sein, dass sich VDM nicht bloß irgendeinen lästigen Computervirus eingefangen hat. Nun allerdings dringen Informationen nach außen, die den Angriff auf VDM in einen besonders gefährlichen Zusammenhang rücken: den Krieg in der Ukraine.
Hacker schlugen kurz nach Marder-Zusage zu
Demnach habe sich zu dem Angriff ein Hackerkollektiv bekannt, das von Kanada und Russland aus tätig ist, kolportiert zumindest ein Insider. Und: Dass der Angriff am 8. Januar nur kurz nach der Entscheidung Deutschlands für eine Lieferung von Marder-Schützenpanzern an die Ukraine erfolgt ist, sei möglicherweise auch kein Zufall.
Wie stichhaltig dieser Verdacht ist, ist völlig unklar. Generell gibt es tatsächlich russische Hackerangriffe auf deutsche Unternehmen und Behörden. Dabei kommt es immer wieder auch zu einer Zunahme im zeitlichen Zusammenhang mit politischen Entscheidungen, die in Moskau auf Missbilligung stoßen. Zuletzt kam es kurz nach der Entscheidung für eine Lieferung des Kampfpanzers Leopard 2 zu einer Häufung von sogenannten DDoS-Angriffen, bei denen eine Internetseite durch eine große Zahl automatisierter Zugriffe lahmgelegt wird. Dazu bekannte sich eine prorussische Hackergruppe namens „Killnet“.
Lösegeldforderung in Bitcoin
Das Vorgehen der Hacker bei VDM scheint allerdings einem anderen Schema zu folgen, das sonst eher für Spionage und Erpressung genutzt wird. Dem Vernehmen nach war es den Hackern gelungen, eine Schadsoftware in das Rechnersystem von VDM einzuschleusen, die zunächst Daten nach außen abgeführt und dann Rechner blockiert hat. Der Virus nutzt ein Modul von Microsoft, das eigentlich der Sicherheit auf tragbaren Computern im Fall eines Diebstahls dienen soll. Den Hackern war es gelungen, die Zugangspasswörter der Rechner zu ändern, sodass die eigentlichen Nutzer sie nicht mehr in Betrieb nehmen konnten.
Üblicherweise gehen solche Verschlüsselungen mit einer Lösegeldforderung einher. Den Opfern wird angeboten, die Rechner wieder freizugeben, wenn eine Zahlung geleistet wird. Üblicherweise soll sie in der Kryptowährung „Bitcoin“ vorgenommen werden, dem Hauptzahlungsmittel im „Darknet“.
Welche Motive die Hacker tatsächlich verfolgen, welche Forderungen sie an VDM stellen und ob das Unternehmen darauf eingeht – all dies wird vom Unternehmen derzeit nicht kommuniziert. Erkennbar ist, dass der Hackerangriff über mehrere Wochen hin den Betrieb des Unternehmens gelähmt hat. Zumindest die Sorge der Belegschaft vor Lohnverzug scheint aber vom Tisch. Dem Vernehmen nach hat das Unternehmen Abschlagszahlungen zugesichert. Und auch der Betrieb soll in den nächsten Tagen wieder anlaufen.
