Vielleicht war es ein E-Mail-Anhang, vielleicht ein verhängnisvoller Link. Vermutlich reichte eine kleine Unachtsamkeit eines Mitarbeiters, um den Hackern die Tür zu öffnen zur Datenverarbeitung bei VDM Metals. Durch diese schlichen sich die Computerkriminellen zunächst leise ein, um wohl über längere Zeit unbemerkt den großen Angriff zu planen.
Dieser kam Anfang 2023. Als im Unternehmen der Tag beginnen sollte, verweigerten die Computer den Dienst. Hacker hatten sie für weite Teile des Unternehmens gesperrt. Eine Lösegeldforderung, zahlbar in „Bitcoins“, stand im Raum.
Der Produktionsbetrieb stand bei VDM über Wochen still
VDM brauchte Wochen, um sich in eigener Kraft aus dem Griff der Computerkriminellen zu befreien. Mehrere hundert Rechner wurden ausgetauscht, auf Servern der spanischen Konzernmutter Acerinox Parallelstrukturen zur gesperrten EDV aufgebaut.
Der eigentliche Betrieb beim Spezialisten für Metalllegierungen stand an den Standorten in Unna, Werdohl, Altena und Siegen weitgehend still, die Belegschaft ging zeitweilig in Kurzarbeit. Für den Februar wurde schließlich eine Produktionsleistung von 50 bis 60 Prozent kolportiert und erst für den März die Rückkehr zur Volllast – so war es von Insidern zu vernehmen, während dem Unternehmen selbst von der spanischen Konzernmutter eine Nachrichtensperre auferlegt worden war.
Die Hacker trafen VDM in einer Zeit wirtschaftlicher Stärke
Glück für VDM und die Belegschaft war, dass der Angriff das Unternehmen in einer Zeit wirtschaftlicher Stärke traf, in der der plötzliche Stillstand wegzustecken war. So soll es die Geschäftsführung auch gegenüber den Mitarbeitern selbst kommuniziert haben. Eine Video-Ansprache über die privaten Handys der Belegschaftsmitglieder diente seinerzeit als Nachrichtenkanal.
Computerkrieg oder doch einfach nur Gier?
Ein Jahr danach liegt noch immer vieles im Dunkeln, was den Angriff auf VDM Metals betrifft. Die Ermittlungen waren früh an die Staatsanwaltschaft in Köln übergeben worden. Dort gibt es die „Zentral- und Ansprechstelle Cybercrime NRW“, eine Einheit von Spezialisten für Computerkriminalität.
„Die Ermittlungen dauern weiter an“, heißt es nun als Zwischenstand von der „ZAC“ in Köln. Und: „Sie gestalten sich sehr umfangreich.“
Ermittelt werde weiterhin „gegen Unbekannt“, jedoch habe man eine konkrete Tätergruppierung ins Visier genommen. Ihr sei eine Vielzahl gleichgelagerter Angriffe zuzuschreiben, hieß es weiter.
Detailinformationen gibt die ZAC nicht preis – „aus ermittlungstaktischen Gründen“, wie sie erklärt. Sollte es sich um das Werk von Serientätern handeln, die in vielen Fällen Rechner gesperrt haben, um Zahlungen zu erwirken, wäre zumindest das Motiv klar: Gier.
Anfang 2023 standen auch andere Hypothesen im Raum. Quellen aus dem Umfeld des Unternehmens ließen darauf schließen, dass die Spur der Digital-Eindringlinge nach Russland zurückverfolgt werden könne. Der Angriff auf VDM Metals erfolgte relativ kurz nach Deutschlands Entscheidung, die Ukraine im Kampf gegen die russischen Invasoren mit Schützenpanzern des Typs Marder zu unterstützen.
Unabhängig von einer politischen Dimension des Angriffs dürfte ein Sitz der Hacker in Russland zumindest die Strafverfolgung erschweren. So weit allerdings sind die Experten in Köln auch gar nicht: Ein Sprecher der Staatsanwaltschaft Köln deutet nun an, dass die Ermittlungen „sicherlich noch einige Monate andauern werden“.
Lähmender Hackerangriff auf Unnaer Unternehmen: VDM will zu alter Stärke zurückfinden
Angriff im Dienste Putins?: Die Spur der VDM-Hacker führt nach Russland
Hackerangriff auf Unternehmen in Unna: Beschäftigte bangen um ihre Lohnzahlung