Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!

Sicherheit (Pexels, allgemeine Nutzung)Kurze Rundfrage an die Leserschaft des Blogs – vielleicht gibt es jemand, der Kunde von Inros Lackner SE ist. Ich bin gerade mit der Frage konfrontiert worden, ob ich etwas über einen Cyberangriff auf dieses große Planungsunternehmen wisse. Das war so formuliert, dass keine Frage der Art "weißt Du ob" gestellt wurde, sondern es wurde nach konkreten Details gefragt. Mein Versuch, auf die Schnelle etwas mehr heraus zu finden, scheiterte bisher – aber vielleicht weiß ein Leser mehr. Ergänzung: Eine zweite Quelle bestätigt einen Cybervorfall. Ergänzung 2: Und das Unternehmen hat es nun auch bestätigt.


Anzeige

Wer ist Inros Lackner SE

Inros Lackner SE ist nach eigener Aussage eines der führenden Generalplanungsunternehmen in Deutschland. Mehr als 700 Mitarbeitende realisieren anspruchsvolle Architektur- und Ingenieurlösungen weltweit (von Gebäudeplanung bis hin zu Hafenprojekten). Die wickeln um die 950 Projekte per Jahr ab und sind auch international tätig.

Inros Lackner SE

Ich gehe davon aus, dass da alle Planungsvorgänge vollständig digitalisiert sind und die Standorte in Deutschland sowie international untereinander vernetzt sind.

Frage nach einem Cyberangriff

Per direkter Anfrage wurde ich von einem Blog-Leser aus dem Norden kontaktiert. Dieser wollte von mir wissen, ob ich etwas näheres zum Cyberangriff auf "inros lackner" wisse. Laut Aussage des Kontakts sei seit heute morgen (27. November 2023) bei denen "alles verschlüsselt" – was dann einen Ransomware-Vorfall impliziert.

Konkret wurde die Belegschaft nach meinen Informationen nach Hause geschickt, während alle Rechner in der Firma bleiben müssen. Weiterhin hieß es, dass auch Dateien auf Arbeitsplätzen verschlüsselt worden sind.

Auf der Webseite des Unternehmens habe ich bisher keine Information zur irgend einem Cybervorfall gefunden. Und auch das Internet (Google, Twitter) weiß aktuell noch nichts über einen solchen Vorfall.

Mein Versuch, direkt beim Unternehmen eine Auskunft zu erhalten, führten nicht weiter. Diverse, von mir per Festnetz oder Mobilfunk angerufene Telefonnummern in Rostock oder an anderen Unternehmensstandorten sind nicht funktional (ich bekam die Ansage, dass die Nummer nicht existiere oder es gab einen Interconnection-Fehler). Das kann jetzt alles oder nichts bedeuten. Mein Versuch, Lokalredaktionen in Rostock zu erreichen, und zu fragen, ob die mehr wissen, scheitertet – die waren entweder unterwegs oder im Feierabend.

Daher kann alles eine Ente sein, oder das Unternehmen ist durch den Cybervorfall geerdet. Ich habe mal eine Anfrage gestellt, bisher aber keine Rückmeldung erhalten. Daher an die Frage an die Leserschaft: Weiß jemand vielleicht was genaueres?


Anzeige

Zweite Quelle bestätigt Vorfall

Ergänzung: Ich habe inzwischen aus einer anderen externen Quelle den Hinweis bekommen, dass man dort – auf Grund eines Cybervorfalls – alle Kommunikationsverbindungen zu Inros Lackner SE eingestellt habe. Und die Mitarbeiter wurden in diesem Unternehmen entsprechend über den Cybervorfall informiert – da wartet man ab, bis genaueres über den Umfang bekannt ist. Zudem wurden die Mitarbeiter von deren Unternehmens-IT gebeten, vorsorglich und gemäß den Sicherheitsrichtlinien der Firma alle Kennwörter für Konten (Teams, Office 365, Sharepoint etc.) zu ändern. Unklar sei, ob lediglich Dateien bei Inros Lackner SE verschlüsselt, sondern auch Daten abgeflossen sind. Hier wird man abwarten müssen, was das Unternehmen seinen Kunden und ggf. der Öffentlichkeit mitteilt.

Bestätigung durch Inros Lackner SE

Ergänzung 2: Gerade wurde ich von einem Leser darauf hingewiesen, dass Inros Lackner SE den Cybervorfall auf der Unternehmenswebseite bestätigt hat.

Inros Lackner SE Cybervorfall
Inros Lackner SE Cybervorfall

Durch den Cybervorfall sind die Telefon- und Dateisysteme besonders betroffen, heißt es.  Und es gibt erhebliche Störungen in den Arbeitsabläufen sowie in den Kommunikationskanälen. Aktuell ist die IT dabei, die Situation zu lösen und die Systeme schnellstmöglich wiederherzustellen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

30 Antworten zu Inros Lackner SE: Gab es einen Cyberangriff bei der Firma? Ja!

  1. der bug ist das ziel sagt:

    ja ne is klar riesen firma weltweit, sicherlich auch kein hungertuch oder so. aber invest in echte schutzmassnahmen und wissen innerhalb der firma?

    die haben ganz sicher nicht zu wenig du-weisst-schon-wen BRAND$X produkte eingekauft und schichten ueber schichten deployed.

    hat ja dennoch scheinbar nichts gebracht.
    wir brauchen sicher halt einfach noch mehr davon. mehr schlangenoel und mehr monopolistensoftware und monopolisten stacks.

    alles propriertaer latuernich.
    cheers.

    • Günter Born sagt:

      Ist jetzt aber alles nur Spekulation – ich wäre ja an echter Inside-Information interessiert.

      • Norddeutsch sagt:

        aktuelle gesichtete Zwiebel-Leasites melden vorhin bei Inros noch nichts … allerdings könnten Helfer die 10+ anderen Unternehmen in DE zusenden…

      • Ano sagt:

        Pressekontakt Suchergebnis:
        INROS LACKNER. Ansprechpartnerin für die Presse ist Andrea Schmidt-Schwonbeck. Sie ist unter der Telefonnummer 0381 45 67 951 oder per E-Mail unter presse@inros-lackner.de erreichbar. Beachten Sie, dass das Telefon wahrscheinlich über das Festnetz funktioniert und daher Voice over IP sein dürfte.

        • Pau1 sagt:

          und würde wohl nicht funktionieren, weil die virtuelle Telefonanlage auch vom Netz genommen werden musste. Emails wird man vermutlich in die Cloud kippen können, aber ob die ankommen?

          Man könnte mal im whois nachsehen ob da, wie es sein sollte, ein Email Adresse einer anderen Domain verwendet wurde. Oder halt über il-hilfe gehen, die auch von der Pressesprecherin betreut wird. Oder über ihren XING Account.

          Auf der Web Seite der Firma ist jetzt eine
          Mobilfunk-Nummer von Congstar (Prepaid?) zu sehen.
          (Fehlt beim Foto hier).

          Ich habe das Gefühl, dass es sie kalt erwischt hat.
          Man hätte den Rufnummernblock ja kurzfristig auf ein externes Callcenter umlenken können.
          Andererseits hätte man eh nix für die Kunden tun können.

          • Pau1 sagt:

            und würde wohl nicht funktionieren
            Auf der Web Seite der Firma ist jetzt eine
            Mobilfunk-Nummer bei Congstar (Prepaid?) zu sehen.

            Ich habe das Gefühl, dass es sie kalt erwischt hat.
            Wir hätten unsere Rufnummern block kurzfristig auf ein externes Callcenter umlenken können.
            Andererseits hätte man eh nix für die Kunden tun können.

          • Ano sagt:

            Ja die Nummer ist neu

  2. Anonymous sagt:

    Ich habe irgendwie das Gefühl, als habe wer da im Web aufgeräumt und/oder achtet darauf, dass nur Positives oder Eigenes von Google gefunden werden kann.
    Eine doch so recht große Firma und so wenig zu finden?
    Keine Erwähnung der Firma in irgendeiner Tagespresse?
    nur LinkedIn?
    nur im asiatischen Raum überhaupt Referenzen Dritter?
    Kann natürlich sein. Und sein Außenbild zu pflegen ist ja nichts negatives.

    Natürlich wird das Internet nicht der Hauptvertriebsweg sein.

    Man kann nicht nicht-kommunizieren.

    Ich hoffe die kommen nun nicht zu Dir und machen den Blog zu.
    Natürlich kann ich mein Gefühl nicht belegen.

  3. Pau1 sagt:

    ich kannte bisher den Begriff "Generalplaner" noch nicht.
    ist die Firma irgendwie besonders wichtig für für das System?
    Natürlich sind deren Informationen für militärische Geheimdienste sehr interessant (z.B. bei Fragen wie: Wo müsste die Drohne explodieren um die Elbphilharmonie 20m kleiner zu machen. oder welche Teile sind als Sanitär Bereich im V-Falle bei dem Möbelhaus xxx vorbereitet oder wo genau ist der Deich am anfälligsten oder was macht diese verdächtig unauffällige Beton Box da am Strand.). Aber die würden ja nicht die Systeme verschlüsseln, weil das ja doch schnell auffallen wird.

    OK,wenn sie im z.B. Juli schon mal gehackt worden wären, und versprochen hätten, das das System so abzudichten das es nicht nochmals vor kommen könnte wäre das vielleicht interessant wenn das doch wieder passiert wäre.
    Aber dafür gibt's ja wohl keinerlei Hinweise im Netz.

    Das eine Voice over IP Telefon Anlage mal ausfällt kommt immer mal vor. Das ist halt der Preis der Zentralisierung.

    Das bringt mich zu der Frage:
    Gibt's eigentlich irgendwo ein Zentral-Register in dem künftige Kunden einer Firma nachlesen könnten, welches Unternehmen schon mal mit Cyberproblemen aufgefallen sind?
    So eine Art "Schufa/Credit Reform/Schimmelpfeng" für Datensicherheit.
    Gerade Mehrfach "Opfer"
    Oder irgendwelche Regeln, wie lange Pressemitteilung online gehalten werden müssen?
    Ich kenne nur die 72 Stunden in denen evtl. Betroffene eines evtl. Datenlecks informiert werden müssen.

    • M sagt:

      Hallo,

      Generalplaner ist eine Begrifflichkeit aus dem Baugewerbe und bezeichnet Firmen die nicht nur einzelne Fachbereiche (Tiefbau, Hochbau, Gebäudetechnik, …) planen, sondern Vollsortimenter sind. Hat für den Bauherren den Vorteil das er sich nicht mit mehren Planungsbüros und deren Nicht-Kommunikation rumärgern muss, sondern der Auftrag an eine Firma geht, die alle nötigen Planungsleistungen liefern.

      Grüße

  4. Pau1 sagt:

    aka Pressemitteilungen

    gibt nur 404

    Kann ja mal passieren.

    Die haben auch ne Pressesprecherin.
    Allerdings greift da Googles Europäischer Datenschutz,

  5. pau1 sagt:

    als MX verwenden die

    inroslackner-de01c.mail.protection.outlook.com

    Die haben sich dem nach tatsächlich rein auf Microsoft verlassen und keinen "Sicherheits"-Provider ala barracuda verwendet. (Der würde als MX erscheinen).
    Und das bei den zum Teil hochsensiblen Daten…

    den Hinweis darauf, das die Website anstatt "Pressemitteilungen" jetzt nur noch Error 404 bringt.
    ich hatte das als kompletten Link gepostet.
    Das geht wohl nicht und wird kommentarlos entfernt.

    Google kennt auch eine Pressesprecherin.
    Aber bei dem Namen greift Google Europa Filter mit dem Recht auf vergessen.

    • Norddeutsch sagt:

      @pau1 – Du machst mich neugierig , denkst komplex aber für viele Blogleser oft zu abstrus – Mailserver oder mx-tools wurden von meinen Geeks auch schon durchgecheckt. Dich würd ich gern mal kontakten. Vielleicht ermöglicht das Günter – am besten per landline (bin grad handicapped).

      • Pau1 sagt:

        Die kommunizieren nicht per Twitter
        sondern haben Accounts bei

        LinkedIn
        XING
        Kununu
        Fair Company

        darüber müssten sie auch derzeit zu erreichen sein.
        Irgendwie ein Smartphone und einen Zettel(Papier!) mit den Zugangsdaten werden die wohl haben….
        und die Pressesprecherin wird wohl auch Zeit haben.
        Aber was soll sie sagen?
        Wenn deine Info stimmen, dann haben die ein echtes Problem, worst case sogar weltweit. Das wäre ein Horror, wenn man sieht was die alles gebaut haben. Chapeau!

        Was macht eigentlich so ein "Planner"?
        soweit ich weiß: Eigentlich alles was nötig ist um die Idee des Architekten/Bauherren zu realisieren, außer den Geldeingang.
        Auf seinem Tisch liegt jede Wandstärke, jede Statikberechnung, der Weg jeden Kabels, die Adresse eines jeden Lieferanten/Subunternehmers.
        Da seinen Fuß in die IT rein bekommen wäre für GRU etc. ein Freundentag. Aber wissen wir nicht. Und sagen werden sie es auch nicht, weil ja keine personenbezogenen Daten betroffen sind. GRU wird aber auch sicher über ein paar Namen freuen.
        Vielleicht ist ein Mitarbeiter ja spielsüchtig?
        Vielleicht haben sie ja Glück im Unglück und es ist nur ein Erpressungs Versuch, keine Spionage.(wie gesagt, wenn GRU in deinem System ist und Du merkst es im Honigtopf, weißt Du, Du hast wirklich alles fast richtig gemacht…)

        • Günter Born sagt:

          Wir driften aber wieder gewaltig ab. Wie oben geschrieben – ich bin erst einmal daran interessiert, den Vorfall als solches bestätigt zu bekommen. Danke.

          • Pau1 sagt:

            ich befürchte dass da nichts mehr von innen kommen wird.
            Vielleicht kannst Du über il-Hilfe.de die Pressesprecherin erreichen. Die scheinen kein Outlook zu nutzen und irgendwie der Benefits Ableger zu sein.

    • Pau1 sagt:

      Vermutlich sind Google da zuviele Postings auf LinkedIn mit diesem Namen. Man scheint das Medium auch als eine Art FirmenZeitung zu nutzen.
      Es tut mir echt leid, wenn es die erwischt hat.

      Warum aber wohl alle Google Links auf den Presse Bereich broken sind erschließt sich mir nicht.
      Der Rest der Website scheint zu funktionieren.
      Der Rest könnte beim Hoster liegen und die Presse Mitteilungen auf einem eigenen, jetzt betroffenen?

    • mmusterm sagt:

      @Pau1:
      Ich schätze, dass 90 % der Exchange-Online-Kunden ihren MX direkt zu Microsoft zeigen lassen. Schließlich hat MS als Schutzschicht "Exchange Online Protection aka Advanced Threat Protection aka MS Defender for Office".
      Eine Barracuda, Cisco ESA, NoSpamProxy … – vor Exchange-Online aufgebaut – werden sich die wenigsten leisten.
      Wo siehst Du die Gefahren des reinen MS-Schutzes?

      • Pau1 sagt:

        – in der Monokultur.
        – wie kann ich einem Unternehmen vertrauen, das einen Universal Schlüssel erzeugt, diese als begrenzten Schlüssel deklariert, sich stehlen lässt, nicht proaktiv den Diebstahl bekannt macht, die Logfiles so verstümmelt, dass die Benutzung dieses keys nur speziellen auffallen könnte…gar nicht?

        Wer das Geld nicht hat, seine Systeme "dem aktuellen Technischen Standard" entsprechend abzusichern, solltet versuchen Kartoffeln anzubauen, solange es noch geht, hart gesagt.
        Und selbst dafür bräuchte man eine zuverlässige IT.

        Die Kosten können/dürfen kein Grund sein, was aber nicht heißt, alles was möglich ist zu kaufen oder auszulagern.
        Das wäre genauso gefährlich wie alles aus einer Hand.
        Es soll da aber Experten geben die kennen den Mittelweg.
        Die Kosten dann kurzmal 4000+ Euro am Tag. So what?
        Was kostet es, wenn die Firma für nur eine Woche keine IT hat?
        Natürlich kann er auch nicht verhindern das etwas passiert.
        Aber dafür sorgen, das der Schaden begrenzt bleibt und Richtlinien durchgesetzt werden.

        Die andere Lösung der BWLer ist natürlich alles in die Cloud und die PCs als ThinClients oder hat schon irgendwer davon jemals gehört, das Daten auf der Cloud bösartig verschlüsselt worden wären?

        Bitte vorsicht.
        "Wir knallen einen Filterproxy vor die Email und sind sicher" wäre auch naiv.
        Ein Großes Problem ist das AD mit all seinem Komfort, Macht und enormen Komplexität.
        Das wird gerne unterschätzt.
        Und klar das ist "das" Argument MS zu verwenden.
        Aber dann noch Outlook und Exchange dazu.
        Welcher normale Mensch kann da noch alles durchschauen? Ich hatte Mal für Erfahrung machen müssen wie jämmerlich schlecht das Wissen um SSO und Kerrbeos ist. Ja, ich muss heute nicht wissen wie ein Auto Motor funktioniert um ein Auto nutzen zu können, aber als Admin nicht wissen wie die Authentifizierung im Grunde funktioniert?

      • Pau1 sagt:

        90%?
        ich vermute es sind noch mehr.
        MS verkauft ihnen das ja als "denkfreies sorgenfrei Paket".
        Wird derjenigen der gerade ein großere Summe für die hoffentlich richtigen Lizenzen ausgegeben hat, gleich noch mehr ausgeben?
        Wohl kaum.
        Und Millionen Fliegen können nicht irren…

        aber wir sind jetzt echt vom Thema ab.
        und außerdem: Worüber sollte Günter berichten wenn wir hier die ultimative Lösung fanden? Was machen all die Consultants wenn man sich von MS verabschiedet? mit ihrem Wissen das ihnen beim nachfolger nicht mehr viel hilft.

        Bei diesem Unternehmen, das ich zur "kritischen Infrastruktur" zählen würde, sollte es möglich sein das System so redundant und verteilt aufzubauen das es nicht so durchgreifend knallt, wenn es knallt.
        Andererseits wissen wir nicht, wie gut das im Inneren Aufgeteilt ist. bei VW,BMW und Airbus z.B. dürften die Konstruktions Bereich physikalisch vom Internet und vom Produktiond getrennt sein. Es ist natürlich in einem alten Unternehmen sehr schwer eine saubere Aufteilung zu finden. Da hat es ein Externer einfacher, Cheffe davon zu überzeugen, das er nicht überall Schreibrechte bekommen kann…

  6. Nico sagt:

    Es geht wohl um den Hafen in Turkmenistan und die noch offene Entscheidung Ost West… Natürlich reine Vermutung

  7. enrgy sagt:

    nur mal so ins Unreine gedacht:

    Hacker kommen beim Eindringen ins System nicht weiter und fragen auf allen möglichen Blogs, ob man was über einen Hack bei Firma XY wisse – der pflichtbewußte Blogger macht sich auf die Suche und generiert somit ggf. zusätzliche Hinweise, die zum Hack dienlich sein könnten…

    • Pau1 sagt:

      Genau! Die Fahrrad-Diebe warten auch immer auf die neueste "test" wegen deren Tests von Fahrradschlössern.
      Aber die STW ist schlauer. Die schreiben gar nicht wie sie getestet haben! (sie zeigen es aber in YT).

  8. Fabian sagt:

    Hallo,

    das hier ist besonders bitter. Ich bin selbst IT-Leiter in einem Mittelständischen Plannungsunternehmen und ganz offen.: Die Plannungsbüros sind wirklich sehr schlecht für solche Fälle aufgestellt.

    In vielen Büros sind Ingieure völlig zu mit gesetzlichen Anforderungen die Sie für ihre zu planenden Gewerke haben. Die Hersteller der meisten Produkte sind was das Entwicklungskorsett angeht auch in den 90ern stehen geblieben und rennen den gesetzlichen Anforderungen in der Software hinterher, dass keine Zeit bleibt für Architektur-Optimierung.

    Dazu kommt: viele größere Auftraggeber fordern die Plannung mittlerweile als BIM. Dabei werden alle Modelle ausschließlich in 3D geplant (grundsätzlich der richtige Ansatz) und die Gewerke legen ihre Daten in einer gemeinsamen Umgebung ab (CDE = Comon Data Envoirement). Leider ist im BIM-Standard dazu keine spezifikation vorhanden was eine CDE beinhalten soll. Das führt dazu, dass hier auch oft billige Nextcloud-Lösungen von Praktikaten hochgezogen werden.

    Da in den komplexen Verfahren dann aber auch noch oft Gemeinschaften von Ingenieuren aus unterschiedlichen Firmen (sogenannte Inges) zusammenwerkeln, kommen so gerne mal 5 Firmen auf ein Projekt. Ist eine Firma "geknackt" wird somit die CDE kompromitiert und die Daten von anderen Firmen sind ebenfalls weg. In den Verträgen dazwischen wird leider keine IT consultiert, die mal Hinweise wie Backup und Idendity und Access loswerden kann. Als Antwort kommt: ist ja nur ne Website, hat die IT nix mit zu tun.

    Zwar hat man alle paar Wochen mal nen Plott (in 2D). Doch gerade wenn 70KM Autobahn/Bundesstraße mit diversen Ortsumgehungen geplant werden nutzt dir das gar nix. Du fängst von 0 an. Hoffnung hatte ich hier in NSIS2 und den entsprechenden Gesetzen, die auch Lieferanten von Autobahn GmbH/Bundesbehörden und Theoretisch ab 2027 auch komunale Betriebe bindet. Leider hat die Politik für sich selbst beschlossen, nicht Teil von Kritis zu sein und sich daher aus diesen Maßnahmen zu befreien. Das Ergebnis werden wir sehen….

    • Dat Bundesferkel sagt:

      "Consultants" sind eher die Ursache für die zahlreichen erfolgreichen Hacker-Angriffe. Das weiß man spätestens dann, wenn man mal für einen solchen Zirkus-Verein tätig war.

  9. Pau1 sagt:

    Die scheinen jetzt auch die Web Sites runter gefahren zu haben.
    Oh man.

    Günter, Hast Du hier den Link raus genommen oder läuft da ein Automatismus, der "broken links" löscht? (Der Link hat ja nie funktioniert)

    • Günter Born sagt:

      Gelöscht habe ich wissentlich nichts – aber der Original-Link im Artikel zur Webseite funktioniert – andernfalls würde er durchgestrichen erscheinen oder wäre auf WayBack Machine umgeleitet. Möglicherweise hat einer der Filter für Kommentare was rausgefischt – keine Ahnung. Weiß auch nicht, auf welchen Kommentar sich das bezieht.

      Gebrochene Links sind für Google aber nicht schön, der Blog wird dann abgestraft. Daher bei so etwas *ttp statt http in Links angeben. Danke.

      • Pau1 sagt:

        stimmt, an Google hatte ich gar nicht gedacht.
        Der verbliebene Rest machte gar keinen Sinn mehr.

        Naja, der Laden ist platt und die werden wohl noch einige Zeit brauchen fürchte ich. Und wer weiß, wer noch mitgerissen wurde und demnächst auch mal gucken muss, wo er Bitcoins herbekommt..

  10. Anonymous sagt:

    Klingt alles sehr interessant. Was mich interessiert: Wie viele Wochen vergehen zwischen Ende November und Mitte Dezember? Sind das eigentlich ungefähr 6?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.