Metabo wurde gehackt

Diskutiere Metabo wurde gehackt im Forum Werkzeug-Allerlei im Bereich Sonstige Foren - Wer derzeit auf Werkzeuge von Metabo wartet, muss sich noch etwas gedulden. Wie die Nürtinger Zeitung meldet, ist das Unternehmen Opfer eines...
H.-A. Losch

H.-A. Losch

Moderator
Registriert
11.01.2004
Beiträge
7.788
Ort
Stuttgart
Wohnort/Region
Stuttgart
Wer derzeit auf Werkzeuge von Metabo wartet, muss sich noch etwas gedulden. Wie die Nürtinger Zeitung meldet, ist das Unternehmen Opfer eines Hackerangriffs geworden. Siehe auch: Nürtinger Zeitung: Metabo wird Opfer von Hacker-Angriff.

Laut Zeitungsmeldung soll der Petya-Virus am Dienstag die gesamte IT von Metabo lahmgelegt haben. Mehr als 1000 Arbeitsplatzrechner und 350 Server sollen betroffen sein. Neben dem Ausfall der IT- und Kommunikationstechnik soll es auch zu Produktionsausfällen gekommen sein. Der Vertrieb ist derzeit nicht in der Lage Bestellungen aufzunehmen und Produkte zu versenden.

Auch unsere Ansprechpartner waren die letzten Tage für weitere Nachfragen telefonisch nicht zu erreichen. Eine Pressemitteilung liegt uns bisher nicht vor. Sie ging offensichtlich nur an die örtliche Tagezeitung.

In Nürtingen hofft man, nächste Woche wieder den normalen Betrieb aufnehmen zu können.

Mit dem Hackerangriff hat Metabo innerhalb kurzer Zeit die zweite Produktionsstörung zu verkraften. Anfang kam es in weiten Teilen Nürtingens zu einem über dreistündigen Stromausfall, von dem auch Metabo betroffen war. Siehe: Stuttgart Zeitung: Blackout in Nürtingen.
 
Selber schuld.
 
Begründung von mir:
- Webserver wegen internem Hack nicht erreichbar: Webserver steht in House.
- 1000 lt Zeitung fat Clients zu 350 Servern
- mal in die Ausbildungssparte und in die Stellenangebote bei Metabo geschaut, IT kommt da gar nicht vor
- wenn der 3 stündige Stromausfall die genannten Kosten verursachte könnte Metabo gerade an der Insolvenz vorbeischlittern

Schade wenn Unternehmen gross werden, aber die IT nicht sinnvoll mitwächst.
 
henniee schrieb:
Webserver wegen internem Hack nicht erreichbar: Webserver steht in House
Wissen oder Vermutung? ich hätte jetzt eher auf einen Dienstleister in Berlin getippt.
http://ipv4info.com/ip-address/s8bf139/151.252.41.138.html

Ich stell mir eher die Frage, warum ein Webserver wegen eines Windows (!) Trojaners nicht erreichbar sein sollte. Für metabo.com wird wohl nginx verwendet.

Interessant auch, wer dort noch so gehostet wird:
http://ipv4info.com/abc-nets/s0737ee/151.252.40.0-151.252.47.255.html

- 1000 lt Zeitung fat Clients zu 350 Servern
1350 Windows Geräte in kürzester Zeit infiziert. Das lässt mich auf ein sehr flaches Netz tippen. Ist der Trojaner mal Domain Admin ist es vorbei.

- mal in die Ausbildungssparte und in die Stellenangebote bei Metabo geschaut, IT kommt da gar nicht vor
Noch nicht :ducken:
 
Bevor hier weiter über voreilige Schuldzuweisungen diskutiert wird, hier der Text der offiziellen Pressemitteilung von Metabo, der in dem öffentlich zugänglichen Teil des Berichts der Nürtinger Zeitung nur teilweise wieder gegeben wurde.

Nach Hacker-Angriff arbeitet Metabo mit Hochdruck am Neustart der Systeme

Petya hat auch beim Elektrowerkzeug-Hersteller in Nürtingen zugeschlagen. Mehr als 1.000 Arbeitsplatzrechner und 350 Server sowie die gesamte Kommunikationstechnik sind betroffen.

Nürtingen, 29. Juni 2017: Ein extrem aggressiver Hacker-Angriff hat die gesamte IT des Nürtinger Elektrowerkzeug-Herstellers Metabo lahmgelegt. Nachdem am Dienstag, 27. Juni, das Virus Petya in das System des Unternehmens eingeschleust wurde, infizierte dieser in kürzester Zeit mehr als 1.000 Arbeitsplatzrechner und 350 Server und verursachte einen Ausfall der Informations- und Kommunikationstechnik. In der Verwaltung und in der Produktion kann derzeit nicht gearbeitet werden, die Mitarbeiter sind von außen nur über Mobiltelefone erreichbar. Auch die Auslieferung der Elektrowerkzeuge ist aktuell nicht möglich. Metabo arbeitet mit Hochdruck zusammen mit internationalen Spezialisten und den Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI) daran, die Systeme wiederherzustellen.

„Dieses Virus ist aggressiver als alles, was es weltweit bisher gab“, sagt Horst W. Garbrecht, Vorstandsvorsitzender von Metabo. „Wenn es einmal ins System eingedrungen ist, kann es sich sogar in virengeschützten Umgebungen fortpflanzen, in denen die gesamte Software auf dem neuesten Stand ist. Unser IT-Team um Thomas Rinas leistet zusammen mit den internationalen Experten, die gestern in Nürtingen eingetroffen sind, hervorragende Arbeit. Wir haben zwischenzeitlich einen Weg gefunden, wie die Systeme wieder zugänglich gemacht werden können. Das wird wegen der großen Datenmengen und der Vielzahl der betroffenen Server und Systeme aber natürlich Zeit brauchen. Weil wir alle Rechner vom Netz genommen haben, müssen alle 1.350 Systeme einzeln und vor Ort komplett neu aufgesetzt werden. Oberste Priorität haben die Bereiche Produktion und Logistik, damit wir unsere Kunden so schnell wie möglich wieder beliefern können. Der Angriff trifft uns zur absoluten Unzeit, weil die Nachfrage nach Metabo-Produkten weltweit extrem hoch ist und unsere gesamte internationale Produktions- und Logistikkette eigentlich auf Hochtouren arbeiten müsste, um die hohe Nachfrage zu decken.“

Petya hat nach bisherigen Erkenntnissen zunächst Behörden und Konzerne in Russland und der Ukraine befallen, sich dann aber schnell auf weitere Länder ausgedehnt. In das System von Metabo gelangte er nach den bisherigen Erkenntnissen über eine ukrainische Software, die von vielen ukrainischen Unternehmen genutzt wird und von der dortigen Metabo-Tochtergesellschaft für Abrechnungszwecke eingesetzt wurde. Außer Metabo sind Medienberichten zufolge auch eine ganze Reihe anderer namhafter deutscher Unternehmen betroffen. „Unsere Systeme waren durch die Bank auf dem neuesten Stand und mit allen Sicherheitspatches von Microsoft und anderen Softwareanbietern ausgestattet“, betont Finanzvorstand Eric Oellerer. „Selbst einige Notebooks, die erst am Dienstagmorgen neu aufgesetzt wurden, wurden von dem Virus befallen. Im Nachgang müssen wir uns also wie alle international agierenden Unternehmen noch intensiver mit der Frage auseinandersetzen, wie wir uns noch besser vor solchen Angriffen schützen können. Das ausschließliche Vertrauen auf aktuelle Virensoftware scheint offenbar nicht mehr auszureichen.“ Die genauen Kosten des Hacker-Angriffs für das Unternehmen lassen sich laut Oellerer erst beziffern, wenn die Systeme alle wieder funktionieren. „Aber wir rechnen aufgrund der tagelangen Produktions- und Lieferunterbrechung mit einem Schaden in Höhe von mindestens mehreren Millionen Euro.“
Die Nürtinger Zeitung berichtet in der Vollversion des Artikels noch, dass derzeit nur in Bereichen gearbeitet werden könne, die nicht auf die IT angewiesen sind, zum Beispiel die Grießerei. Die anderen Mitarbeiter seinen nach Hause geschickt worden.

Gearbeitet werden könne derzeit nur in Bereichen, die nicht zwingend auf Datenverarbeitung angewiesen sind, zum Beispiel in der Gießerei. Die anderen Mitarbeiter wurden nach Hause geschickt. Es gebe jedoch eine Sondergenehmigung, bereits am Sonntag wieder mit der Arbeitsvorbereitung zu beginnen.

Laut Metabo-Personalchef Wolfgang Hertel würden die Mitarbeiter mit großem Verständnis reagieren. Für die Ausfallzeiten wurde eine 50:50-Regelung getroffen. Eine Hälfte der Ausfallzeit aufs Zeitkonto der Mitarbeiter, die anderen Hälfte übernimmt das Unternehmen.
 
Womit auch mal wieder klar ist, dass Virenscanner nur nichts bringen, sondern eher die Gefahr im System erhöhen.

Immerhin scheinen sie Experten zugezogen zu haben, sehr gute Entscheidung.

Hoffentlich überlebt das Metabo finanziell.
 
henniee schrieb:
- mal in die Ausbildungssparte und in die Stellenangebote bei Metabo geschaut, IT kommt da gar nicht vor
Ich arbeite in einer viel größeren Firma und da wird auch keine IT ausgebildet..

PS.
 
@ps: und wie abhängig ist der Betrieb von IT? Produzierend oder einfach nur größer?
 
@Henniiee
Produzierend.
Böse Zungen reden, angesichts der ausufernden Bürokratie, immer wieder von einer Papierfabrik mit angehängter Automobilproduktion. :rotfl:

PS
 
Alfred schrieb:
lt. Spiegel war der Virus in einem Update eines ukrainischen Buchhaltungsprogrammes versteckt.

Ja, das wurde auch in der Pressemitteilung von Metabo erwähnt.

Das ist schon ein fieses Ding und ich kann mir schon vorstellen, dass das nicht wie andere solcher Würmer (WannaCry), nur zum Geld erpressen gebaut wurde.

Hier noch ein paar Details (englisch):
http://www.theregister.co.uk/2017/06/28/petya_notpetya_ransomware/

The malware uses a bunch of tools to move through a network, infecting machines as it goes. It uses a tweaked build of open-source Mimikatz to extract network administrator credentials out of the machine's running memory. It uses these details to connect to and execute commands on other machines using PsExec and WMIC to infect them. It can either scan subnets for devices or, if it's running on a domain controller, use the DHCP service to identify known hosts.
It also uses a modified version of the NSA's stolen and leaked EternalBlue SMB exploit, previously used by WannaCry, plus the agency's stolen and leaked EternalRomance SMB exploit, to infect other systems by injecting malicious code into them. These cyber-weapons attack vulnerabilities were patched by Microsoft earlier this year, so the credential theft is usually more successful, at least at places that are on top of their Windows updates.
 
Also irgendwie mag ich das nicht ganz glauben, dass die NSA so gaaanz zufällig die Hintertür gefunden und ein Exploit dazu entwickelt hat... :glaskugel:
Mein Bauchgefühl sagt mir vielmehr, dass das eine durch NSA von Winzigweich geforderte Hintertür war! Wie kann es denn sein, dass man so ganz zufällig vom eigenen Rechner aus Adminrechte bekommt und auf dem fremden Rechner alles tun und lassen kann ohne dass der Andere etwas bemerkt? :zunge:

PS
 
Unabhängig davon wie sie entstanden sind, ist es eine absolute Frechheit solche Lücken vorzuhalten. Wenn man Lücken findet gehören sie gestopft, also mit Frist dem Hersteller mitgeteilt und dann für alle und jeden veröffentlicht. Alles andere ist nur verwerflich. Darf man sich nicht wundern wenn genau so etwas dabei rauskommt.
 
powersupply schrieb:
Mein Bauchgefühl sagt mir vielmehr, dass das eine durch NSA von Winzigweich geforderte Hintertür war!
Das gehört für mich durchaus in den Bereich des Möglichen
Wie kann es denn sein, dass man so ganz zufällig vom eigenen Rechner aus Adminrechte bekommt und auf dem fremden Rechner alles tun und lassen kann ohne dass der Andere etwas bemerkt?
Das ist durchaus möglich. Entweder gibt es einen lokalen Admin oder aus einer Domain (nicht zwingend Domain Admin). Hat der sich mal angemeldet gibt es eine lokale Passwortkopie.Diese wird nun vom Trojaner so lange bearbeitet, bis er Erfolg hat. Dann schaut er im Netz mal nach $Admin Freigaben und verucht auf diese zuzugreifen. So geht das Spiel dann immer weiter.
Windows kriegt das Rumprobieren in der Regel mit (wenn das Auditing nicht vom Admin deaktiviert wurde) und protokolliert das.

Wenn man das überwacht gibt es durchaus Tools die den Angriff erkennen, IDS/IPS und SIEM sind passende Schlagworte dazu.

Nur am Rande, auch Linux ist für sowas durchaus anfällig:
https://www.pcwelt.de/a/sambacry-jetzt-hat-linux-auch-sein-wannacry,3446902
 
offensichtlich ging es hier auch nicht um die finanzielle Abzocke sondern um das Lahmlegen, beginnender Cyberkrieg.
Die Ukraine bietet Hosts an, auch interessant für Seiten die die westliche Staatsmacht nicht erreicht.
Die Buchhaltungssoftware war dann vermutlich nicht von SAP :lol:
Nicht alles verschuldet die NSA, es gibt aber sicher sozialistische Hände zwischen Herstellern und NSA.
 
Nach mehr als einer Woche Produktionsausfall
Metabo liefert wieder aus
Eine Woche nach dem Hacker-Angriff hat Metabo die wichtigsten Systeme wieder in Betrieb genommen – Auslieferung und Produktion haben wieder begonnen – Rückstände werden mit zusätzlichen Schichten so schnell wie möglich aufgeholt

Nürtingen, 4. Juli 2017: Sieben Tage, nachdem der extrem aggressive Virus Petya die gesamte IT des Nürtinger Elektrowerkzeug-Herstellers Metabo lahmgelegt hatte, konnte das Unternehmen inzwischen die wichtigsten Server und Systeme wieder in Betrieb nehmen. Aufträge können wieder angenommen werden, Produktion und Auslieferung haben wieder begonnen, und spätestens morgen soll die Produktion wieder zu 100 Prozent arbeiten. „Eine solche Ausnahme-situation ist eine extreme Herausforderung für alle von diesem Virus betroffenen Unternehmen. Wir sind deshalb sehr froh, dass wir jetzt mit großen Schritten auf die Normalität zusteuern“, sagt Horst W. Garbrecht, Vorstandsvorsitzender von Metabo. „Wir konnten die Daten auf unseren Servern zurückholen und schalten nun nach und nach alle Bereiche wieder an. Dabei haben wir klare Prioritäten gesetzt, die wir jetzt planmäßig abarbeiten.“ Absoluten Vorrang haben nach wie vor die operativen Bereiche Produktion und Logistik. Die einzelnen Nichtproduktionsbereiche und auch die internationalen Tochtergesellschaften werden parallel stufenweise wieder an das Netzwerk angeschlossen. „Wir rechnen damit, dass 80 Prozent der Kernfunktionen bis zum Wochenende wiederhergestellt sein wer-den“, sagt Finanzvorstand Eric Oellerer. „Aber es wird noch ein paar Tage dauern, bis alle Mitarbeiter wieder wie gewohnt erreichbar sind.“
Kundenanfragen, die während des Systemausfalls eingegangen sind, wurden quasi an den Systemgrenzen geparkt und werden jetzt sukzessive bearbeitet. „Nun geht es darum, die Rückstände, die durch den Produktionsausfall entstanden sind, so schnell wie möglich wieder aufzuholen. Zu diesem Zweck erarbeiten Geschäftsleitung und Betriebsrat aktuell gemeinsam einen Plan, um die Kapazitäten durch zusätzliche Schichten, Wochenendarbeit sowie Ferien- und Leihkräfte aufzustocken. Die Nachfrage nach Metabo-Produkten ist weltweit ext-rem hoch. Doch wir sind zuversichtlich, diesen Rückstand schnell wieder aufholen zu können“, so Garbrecht. In den kommenden Wochen wird die Produktion in Engpassbereichen im Vier-Schicht-Betrieb arbeiten statt in den üblichen drei Schichten. „Unsere Kunden haben in vielen Gesprächen bisher großes Verständnis gezeigt, worüber wir sehr froh sind und wofür wir uns bedanken möchten. Die gesamte Metabo-Mannschaft ist extrem motiviert, die Versorgung unserer Kun-den schnellstmöglich wieder zu sichern“, betont Garbrecht.
Seit dem Eindringen des Virus hat ein Team aus internationalen Spezialisten und Metabo-Fachleuten um IT-Leiter Thomas Rinas rund um die Uhr an der Restauration der Systeme gearbeitet. „Ich bin extrem beeindruckt von der Leistung unserer Mitarbeiter und Partner und möchte an dieser Stelle einen ganz herzlichen Dank an alle aussprechen, die hier für Metabo im Einsatz sind – bis hin zur Kantine, die das Team selbst am Wochenende vom Frühstück bis zum Abendessen mit frischen Mahlzeiten und Obst versorgt hat, damit alle bei Kräften bleiben“, sagt Garbrecht. „Wir danken aber auch den Mitarbeitern, die in den vergangenen Tagen zuhause gewartet haben, für ihre Geduld und ihr Vertrauen. Eine solche Situation der Unsicherheit schürt natürlich immer auch Ängste. Deshalb können wir gut nachvollziehen, dass es für viele unangenehm war, zuhause zu sitzen und nichts tun zu können.“
 
Danke ... und schön, dass es wieder aufwärts geht. :top:
 
Und zur Klugscheisserei im zweiten posting gibt es auch noch Interessantes: Klick. Das Leben ist nicht immer so simpel, wie man es sich im Kopf strickt.
 
Thema: Metabo wurde gehackt

Ähnliche Themen

Zurück
Oben