Cyberangriff auf Wilken Software Group

Wie die Wilken Software Group mitteilt, hat sie aus Sicherheitsgründen am 12. Oktober ihre Systeme heruntergefahren und auch das Kundenportal abgeschaltet. Zudem habe das TÜV-zertifizierte Rechenzentrum den Notfallplan ausgerufen.

Das Unternehmen ist aktuell weder über E-Mail noch andere internetbasierte Kanäle erreichbar. Die Internetseite des Unternehmens mit Mobilnummern verschiedener Ansprechpartner ist allerdings erreichbar. Auf der Internetseite sollen gegebenenfalls auch aktuelle Informationen bereitgestellt werden.

Nach Angaben des Software-Hauses haben erste Analysen ergeben, dass ausschließlich interne Systeme betroffen sind. In den Systemen der Kunden, die im Rechenzentrum von Wilken gehostet werden, seien bislang keine Anomalien festgestellt worden, heißt es weiter.

Noch sei das gesamte Ausmaß des Angriffs jedoch nicht absehbar, erklärte Dominik Schwärzel. "Wir haben jedoch die Hoffnung, dass die Systeme unserer Kunden nicht betroffen sind", so der CEO von Wilken. Sicherheitshalber sei nicht nur der Standort Ulm, der Sitz des Software-Hauses, heruntergefahren worden, sondern auch die anderen Wilken-Standorte wie etwa Greven.

Das Unternehmen habe sofort, nachdem es den Angriff bemerkt habe, Strafanzeige bei der Kriminalpolizei in Ulm gestellt und arbeite nun eng mit den entsprechenden Landesbehörden zusammen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei informiert worden. Darüber hinaus seien externe IT-Sicherheitsspezialisten hinzugezogen worden. Nach Angaben des Software-Hauses haben Cyber-Kriminelle einen sogenannten Ransomware-Angriff auf Wilken ausgeführt. Für nähere Informationen war das Unternehmen kurzfristig nicht zu erreichen.

Wilken hat ein ERP-System sowie weitere spezifische Software-Lösungen für die Energiewirtschaft entwickelt und ist außerdem noch in den Sektoren Gesundheit und Soziales sowie Tourismus und Kultur tätig.

Angriff mit Ransomware, um Lösegeld zu erpressen

Vor fast genau einem Jahr, in der Nacht vom 10. auf den 11. November 2021, wurde schon einmal ein IT-Unternehmen im Umfeld der Energiewirtschaft Opfer eines Ransomware-Angriffes. Damals hatte die mittlerweile aufgelöste Conti-Gruppe im Rechenzentrum der Kisters-Gruppe Verschlüsselungsprozesse ausgelöst. Auch Kisters hatte alle Systeme unverzüglich heruntergefahren. Wie Vorstand Klaus Kisters kürzlich im Gespräch mit E&M erläuterte, gab das Unternehmen dem Erpressungsversuch nicht nach. Die Hacker hatten damals laut Kisters sowohl Systeme verschlüsselt als auch Daten abgezogen. "Den Ermittlern zufolge sind bis heute jedoch keinerlei Kundendaten im Darknet aufgetaucht und kein Kunde hat bis heute überhaupt eine Kompromittierung aufgrund des Vorfalls bei Kisters festgestellt", sagte der Vorstand im August dieses Jahres im Interview.

Der Lösegeldforderung nachzugeben, war keine Option für das Unternehmen. Stattdessen wurden alle Systeme vollständig neu aufgebaut. Die Ermittler hätten dringend dazu geraten, die Anwendungsprogramme komplett neu aufzusetzen, denn auch Backups könnten von Hackern kompromittiert werden. "Zusätzlich haben unsere mehr als 300 Entwickler ihren Quellcode der letzten drei Monate im Vier-Augen-Prinzip geprüft, um das Risiko einer Supply-Chain-Attacke durch unsere Software möglichst auszuschließen", erläuterte Kisters.

Die Zusammenarbeit mit den Ermittlern, beispielsweise den Spezialisten der Zentralen Ansprechstelle für Cybercrime (ZAC) der Polizei, bezeichnet der Vorstand als "sehr angenehm, vertrauensvoll und professionell". Und mit dem vom BSI qualifizierten APT-Response-Dienstleister (Advanced Persistent Threat) habe man ebenfalls sehr gute Erfahrungen gemacht. Angesichts der umfangreichen Ermittlungen und Wiederaufbaumaßnahmen habe sich auch bewährt, einen eigenen Chief Information Security Officer im Haus zu haben.

Im Gegensatz zu vielen anderen Opfern von Hacker-Angriffen, hatte die Kisters AG – wie nun auch Wilken – die Attacke öffentlich gemacht. "Uns war klar, dass es einige Zeit dauern wird, bis wir wieder Software produzieren können. Darüber die Kunden im Unklaren zu lassen und irgendwelche Ausreden wie 'technische Probleme' vorzuschieben und floskelhaft um etwas Geduld zu bitten, kam für uns nicht infrage", sagt Klaus Kisters über die Motivation, offen zu kommunizieren. Schließlich gehe es um das Vertrauen der Kunden.

Nach mehreren Sieben-Tage-Arbeitswochen hatte die Kisters Gruppe bis Weihnachten 2021 die vollständige Kommunikationsfähigkeit wieder hergestellt. Im März 2022 teilte das Unternehmen schließlich mit, die Softwareproduktion wieder aufgenommen zu haben.