Interview 
Cyberangriff auf KSB: „Extrem hohe Professionalität“
Herr Timmermann, weiß man schon, wer hinter den Angriffen steckt und wie die Täter in das Firmennetzwerk von KSB eindringen konnten?
Weder noch. Was wir wissen ist, dass unsere umfangreichen Schutzmaßnahmen mit einer extrem hohen Professionalität ausgehebelt wurden. Das ist sehr gezielt und nicht nur mit einem, sondern mindestens mit drei Werkzeugen erfolgt. Das waren keine Standardattacken.
Was vermuten Ihre Experten: Wer ist überhaupt zu solch einem Angriff in der Lage?
Diese Frage wird am meisten gestellt. Sie interessiert im Moment aber am allerwenigsten. Jetzt geht es nur darum, herauszufinden, was die Hacker wie angerichtet und wo sie ihre Spuren hinterlassen haben. Bemerkt haben wir die Attacke Montag vor einer Woche. Da ist aufgefallen, das bei bestimmten Einwahlprozessen etwas nicht stimmt, und dabei wurde festgestellt, dass erste Angriffsversuche bereits im Februar erfolgt sind. Das Ganze ist also nicht über Nacht passiert, sondern sehr geschickt eingeschleust worden. Die Aufarbeitung, wer und wie, das wird am Ende stehen.
Wo im Netzwerk haben Sie bisher Hinweise auf die Hacker gefunden?
KSB hat weltweit mehrere Hundert Server. Auf rund einem Dutzend davon haben die Täter Spuren hinterlassen. Da unsere Software weltweit Produktionsprozesse steuert und Informationskanäle wie Outlook und Skype bedient, die alle miteinander verflochten sind, führt das letztlich dazu, dass das Gesamtsystem betroffen ist und abgeschaltet werden musste.
Lässt sich schon abschätzen, wie hoch der wirtschaftliche Schaden für den KSB-Konzern ist?
Nein. Über 80 Landesgesellschaften weltweit sind in irgendeiner Weise von der Cyberattacke betroffen. Ganz extrem natürlich die Produktionsgesellschaften. Aber das zieht sich in alle Bereiche: Sie können nichts mehr auslagern, weil Sie nicht wissen, wo die Sachen sind. Sie können keine Zeichnungen aufrufen, keine Programme herunterladen. Und selbst, wenn Sie etwas fertig haben, können sie es nicht versenden, weil die Verzollung nicht mehr funktioniert. Das tangiert wirklich die ganze Kette. Wir haben mehr oder minder weltweit die Fabriken für zehn Tage zum Stillstand gebracht. Diese Zeit werden wir jetzt in der Produktion aufholen müssen.
Es sind also nicht nur die drei deutschen Standorte vom Produktionsstopp betroffen?
Nein. Es gibt in manchen Werken noch Insellösungen. Diese Werke können noch eine Zeitlang weiterarbeiten. Aber irgendwann werden alle zum Stillstand kommen. Die deutschen Werke hängen komplett an diesem Produktionsplanungssystem. Deshalb waren wir vergangene Woche auch sehr schnell an dem Punkt angelangt, die gesamte Firma komplett vom Internet abzukoppeln. Eine Entscheidung mit weitreichenden Konsequenzen, die aber aus heutiger Sicht völlig richtig war.
Was kostet ein Tag Produktionsausfall den Konzern?
Lassen Sie es mich so sagen: Wir arbeiten elf Monate, um unsere gesamten Kosten zu decken, und im zwölften Monat fließt alles, was nicht variable Kosten wie Lohn und Material ist, in das Ergebnis ein. Sprich: Wenn wir einen Monat Produktion verlieren, haben wir das Jahresergebnis auf Null gesetzt. Das ist der Schaden.
Ist KSB dagegen versichert?
Ja.
Und in welcher Höhe?
Etwa zehn Millionen Euro.
Die Auftragsbücher sind voll. Bedroht der Produktionsstopp konkret Lieferfristen und Aufträge?
Selbstverständlich. Dort, wo eng terminiert wurde, muss entweder aufgeholt oder dem Kunden eine Verzögerung angemeldet werden. Wir fahren unter hoher Auslastung. Es wird deshalb keinen Auftrag geben, der nicht irgendwie von den Folgen des Cyberangriffs tangiert ist.
Nicht zuletzt im Zusammenhang mit dem Krieg in der Ukraine wurde vor einer massiven Zunahme von Hackerangriffen auf deutsche Unternehmen und Behörden gewarnt. Haben Sie im Grunde damit gerechnet, dass KSB Ziel einer Cyberattacke werden könnte?
Wir sind kontinuierlich Ziel solcher Attacken. Unsere Abteilung für Cybersicherheit wehrt täglich Angriffsversuche ab. Mit der Corona-Krise und der verstärkten Arbeit im Homeoffice und jetzt mit dem Russland-Ukraine-Konflikt hat das noch einmal massiv zugenommen.
Experten sagen: Das größte Risiko für die IT-Sicherheit ist der Mitarbeiter, der beispielsweise auf einen E-Mail-Anhang mit Schadsoftware klickt. War das in diesem Fall so?
Noch wissen wir nicht, wie der Angriff eingeleitet wurde. Wir hatten im vergangenen Jahr sehr viele Informationskampagnen, auch mit selbst inszenierten Attacken, um Mitarbeitern zu zeigen, wie schnell so etwas geht. Die Sensibilität ist also hoch. Aber ich weiß es von mir selbst: Sie passen einmal nicht auf, weil es schnell gehen soll, – und es ist geschehen. Das Ereignis jetzt hat uns allen gezeigt, was einem Unternehmen passiert, wenn wir nur ein einziges Schlupfloch lassen.
Welche Konsequenzen zieht KSB: Wird Ihre, wie Sie sagen, ohnehin sehr professionelle IT-Sicherheit nun noch einmal aufgerüstet?
Wir werden sicher, neben der Sensibilisierung der Mitarbeiter, unsere sehr hohen technischen Standards noch feiner definieren. Sicherheit und Komfort gehen selten Hand in Hand. Ein Beispiel: Modernste Systeme erfordern eine zweifache Authentifizierung beim Anmelden. Das ist umständlicher für den Nutzer, erhöht aber die Sicherheit.
Durch den Hackerangriff sind Anmeldedaten von KSB-Mitarbeitern abgeflossen. Auch von Ihnen persönlich, Herr Timmermann?
Sicher. In der Cloud sind wir alle gleich.
Nur, dass Sie andere Zugriffsrechte haben – und damit das Risiko höher ist.
Grundsätzlich ja. Aber dadurch, dass wir die Systeme sofort isoliert haben, hatte der Angreifer keine Chance, ins Netzwerk zu kommen. Die Daten sind damit nutzlos.
Das Landeskriminalamt ermittelt zu der Cyberattacke. Wie viel Hoffnung macht Ihnen das LKA, dass der Fall aufgeklärt wird?
Bei aller Expertise: Die Chancen sind sehr gering.
Interview: Sonja Weiher
Zur Person
Der Maschinenbauingenieur Stephan Timmermann (61) ist seit November 2017 Vorstandssprecher des Frankenthaler Pumpen- und Armaturenherstellers KSB. Timmermann lebt mit seiner Familie in Augsburg.
Zur Sache
Der KSB-Konzern, der auf eine 150-jährige Tradition blickt, beschäftigt weltweit rund 15.400 Mitarbeiter, davon 1600 am Stammsitz in Frankenthal. 100 von ihnen sind IT-Experten, die durch weltweit agierende externe Dienstleister unterstützt werden. Von der am Montag beschlossenen Betriebsruhe sind deutschlandweit an drei Standorten rund 4200 Beschäftigte betroffen. KSB hat im Geschäftsjahr 2021 einen Umsatz von rund 2,3 Milliarden Euro erzielt. Die Produkte kommen unter anderem im Energiesektor, etwa in Kernkraftwerken, und bei der Trinkwasseraufbereitung zum Einsatz.
