Frankenthal 
KSB nach Cyberattacke: Systeme Mitte Juni wieder hergestellt
KSB ist mit seinen Produktions- und Vertriebsstandorten „weltweit wieder komplett arbeitsfähig“ – das hat der Frankenthaler Pumpen- und Armaturenhersteller auf Anfrage der RHEINPFALZ mitgeteilt. Die Revision und Wiederinbetriebnahme der im April von einer Cyberattacke zwischenzeitlich lahmgelegten EDV-Infrastruktur laufe „nach Plan“, betont Wilfried Sauer, Leiter der Konzernkommunikation. Die Systeme würden wieder sukzessive hochgefahren. Bislang sei das ohne größere Störungen – sogenannte Hickups – geschehen. Wie schon kurz nach dem Angriff geschätzt, werden diese Arbeiten bis Mitte Juni dauern.
Zeitraubend sei insbesondere, diejenigen wieder ans KSB-Netzwerk zu bekommen, die sich dort per Schnittstelle über eine bestimmte Software einwählen. In diesen Fällen müsse jeder Fehlermeldung nachgegangen werden, bis die Nutzer wieder Zugang bekommen, beschreibt Sauer den sehr kleinteiligen Prozess. Aber: „Sicherheit geht vor“, betont der Unternehmenssprecher. Interne Kommunikationskanäle funktionierten schon seit Ende April wieder.
Getrennt vom Internet
Weiterhin getrennt ist der Frankenthaler Traditionsbetrieb allerdings vom Internet. Die besondere Vorsicht dabei, die Mitarbeiter wieder direkt ans Netz zu bringen, hat Wilfried Sauer zufolge einen ganz schlichten Grund: Letztlich habe aus dem Internet die Attacke auf KSB stattgefunden. Das Wichtigste sei insofern zu lernen, wie die Täter eingedrungen seien. Entsprechend würden die Systeme „gehärtet“, so der Sprecher. „Erst wenn das erledigt ist, geht es wieder ins Internet.“ Denn: Ob sich Spuren der Schadsoftware auf einzelnen Clients befinden, müsse bei jedem einzelnen vollständig untersucht werden.
Offen ist nach wie vor die Frage, wer die Cyberattacke verübt hat und woher sie gekommen ist. Fest steht nach Sauers Darstellung nur, dass KSB ganz gezielt im Fokus der Täter stand. Alle Erkenntnisse, die das Unternehmen innerhalb der geschilderten Prozesse gewinne, würden direkt an die Ermittlungsbehörden – Staatsanwaltschaft und Polizei – weitergereicht. Ob die Angreifer von Russland aus operiert haben, wo viele Angriffe auf Firmen der jüngsten Zeit ihren Ursprung haben, dazu kann Wilfried Sauer nichts sagen: „Wir wissen es nicht.“ Die Frage der Herkunft sei auch nicht so entscheidend. Denn: Es ist nicht sehr wahrscheinlich, dass einzelne Personen für die Tat in Regress genommen werden können. Der Angriff sei sehr gezielt und offenbar sorgfältig vorbereitet gewesen.
„Keine konkreten Hinweise“
Ihm lägen aktuell noch „keine konkreten Hinweise“ zum Ursprung, zum Zweck und zu den Verantwortlichen der Tat vor, sagt wiederum Hubert Ströber, Leiter der Staatsanwaltschaft Frankenthal. KSB-Chef Stephan Timmermann hatte in einem RHEINPFALZ-Interview Ende April gesagt, dass er von einer gezielten Attacke ausgehe, mit der Lösegeld von dem Maschinenbau-Unternehmen erpresst werden sollte.
Die andere Seite sind die wirtschaftlichen Folgen des Vorfalls, der kurz vor Ostern zu einem fast vollständigen weltweiten Produktionsstopp geführt hatte. Auch hier vermittelt Konzernsprecher Sauer Zuversicht: Der April sei wegen des Angriffs zwar „kein guter Monat“ gewesen. Im gesamten Unternehmen sei die Zuversicht aber groß, dass der Rückschlag bis Ende des Jahres aufgeholt werden kann. Zur Begrenzung des Schadens beigetragen habe die zügige und priorisierte Arbeit der etwa 100 IT-Experten bei KSB und auch bei externen Dienstleistern. Sauer hält fest: „Die haben einen extrem guten Job gemacht.“
Taskforce tagt regelmäßig
KSB sei auf verschiedenen Ebenen weiter mit den Nachwehen der Ereignisse beschäftigt. So tagt nach den Worten des Sprechers regelmäßig die Taskforce, der neben der Geschäftsleitung Vertreter aller weiteren Funktionsbereiche des Unternehmens angehören. Hier stünden strategische Aspekte im Vordergrund, während es in der Runde der Marktbereichs- und Regionalleiter mehr ums Operative gehe.
