Cyber-Angriff auf Gabelstapler-Hersteller Crown: Webseiten down, was ist da los?

Sicherheit (Pexels, allgemeine Nutzung)[English]Kurze Frage an die Leserschaft – vielleicht weiß jemand noch mehr dazu. Beim Hersteller von Gabelstaplern, der Crown Equipment Corporation ist irgend etwas gravierendes mit der IT passiert. Die Webseiten sind nicht mehr erreichbar – und ein Leser hat mich darauf hingewiesen, dass auch die Produktion in Deutschland seit Tagen steht. Die IT-Störung wirkt sich wohl weltweit aus, wie ich einem Kurzbeitrag entnehmen konnte. Update: Meinen Informationen nach wurde das Unternehmen von einem Cyberangriff getroffen.


Anzeige

Wer ist die Crown Equipment Corporation

Die Crown Equipment Corporation ist der weltweit fünftgrößte Hersteller von Gabelstaplern, Flurförderern und Hochregalförderern. Der Hauptsitz des US-Unternehmens befindet sich in New Bremen, Ohio, Vereinigte Staaten.

Crown Stapler

Es gibt vier weitere regionale Unternehmenszentralen in Australien, China, Deutschland und Singapur. Die Unternehmenszentrale im oberbayerischen Feldkirchen bei München ist für die Region Europa, Mittlerer Osten, Afrika und Indien zuständig. Weiterhin scheint es in Roding, Landkreis Cham, Bayern, eine Produktion zu geben.

Weltweite IT-Probleme, Produktion steht

Blog-Leser Christian Z. hat mich gestern per Mail auf einen Bericht der Zeitung Mittelbayrische aufmerksam gemacht (danke dafür), in dem von weltweiten IT-Problemen die Rede ist. Die Webseite von Crown (crown[.]com) ist nicht erreichbar.

crown.com is temporarily unavailable

Beim Versuch, eine der Webseiten des wohl selbst gehosteten Webauftritts im Browser abzurufen, wie die in obigem Screenshot gezeigten Nachricht "crown.com is temporarily unavailable" angezeigt. Wäre noch kein Problem, vielleicht steht der Webserver oder ist in Wartung. Aber der Bericht der Mittelbayrische klingt in diesem Kontext nicht gut.

  • Seit Montag, den 10. Juni 2024, steht die Produktion an den beiden Standorten des Gabelstaplerherstellers in Roding (Landkreis Cham).
  • Die Telefonzentrale ist tot, der Hersteller also telefonisch nicht erreichbar.
  • Die Webseiten von Crown (crown[.]com) sind weltweit nicht erreichbar.

Und es wird von weltweiten IT-Problemen berichtet. Ein Teil der Beschäftigten aus Roding wurden nach Hause geschickt. Laut Bericht konnte der Crown-Geschäftsführer vor Ort in Roding nicht sagen, was genau passiert ist. Auf den Facebook-Seiten des Unternehmens gibt es zwar aktuelle Posts, aber keine Erklärung, was los ist. Der Bing-Crawler war am 9. 6. 2024 letztmalig in der Lage, die Seite zu besuchen. Mit dem obigen Gesamtbild tippe ich auf einen Ransomware-Angriff. Weiß jemand da mehr?

Es war ein Cyberangriff

Inzwischen hat Sandra ja im Kommentar diesen Tweet verlinkt, der besagt, dass die sich nicht nur ihre Server hacken ließen, wohl auch keinen Lohn gezahlt haben.


Anzeige

thanks for letting your servers be hacked and not paying your employees. It's not like we have bills or anything. I thought I worked for a better company.

Diese Info scheint sich auf die USA zu beziehen. Ich habe noch eine weitere Info aus einer anderen Quelle, dass die wohl gehackt wurden. Die zweite Quelle wurde von Lesern auf X verlinkt. In diesem Tweet schreibt ein Mitarbeiter:

Hey Jon I work for Crown Equipment, billion dollar company with 19,000 plus employees. We were hit with a cyberattack and are currently not working. Now they tell us no pay! This after bragging about being an employee first company, have to love corporate America.

Der Poster arbeitet für Crown Equipment, und sagt, das sei ein Milliarden-Dollar-Unternehmen mit über 19.000 Mitarbeitern. Das Unternehmen wurde von einer Cyberattacke getroffen und ist derzeit nicht arbeitsfähig. Den Mitarbeitern wurde gesagt, dass sie keinen Lohn bekommen! Und das, nachdem das Management sich damit gebrüstet habe, ein Unternehmen zu sein, bei dem die Mitarbeiter an erster Stelle stehen – man muss Corporate America einfach lieben, schließt der obige Tweet.

Auf reddit.com gibt es den Thread Crown Lift Trucks experiencing phishing hack. Company told staff to stay home for "further updates" and told them to seek unemployment while systems are offline, wo sich jemand beklagt, dass man "seit zwei Tagen" (also seit Montag, den 10. Juni 2024) im Dunkeln gelassen werde, was Sache sei.   O-Ton:

Seit 2 Tagen werden wir im Dunkeln gelassen. Es gibt keine Möglichkeit, die Zeit zu stoppen, keine Wartungshandbücher oder Ersatzteilhandbücher, aber man erwartet trotzdem, dass wir Rechnungen schreiben. Es war eine Scheißshow und keine Updates darüber, was vor sich geht oder wann wir wieder online sein werden.

Ein Ex-Mitarbeiter aus diesem Bereich schreibt dazu.

Als jemand, der seit etwa einem Jahrzehnt mit Crown-Staplern arbeitet, ist das der Preis, den das Unternehmen für die Abkehr von Büchern und psrt (Name des Ersatzteil- und Servicekatalogs) offline auf einer SD-Karte in einem Android-Tablet erhält.

Sieht so aus, als ob Crown voll digitalisiert war. Ein Mitarbeiter der Firma outet sich im Thread und schreibt dazu:

Ich arbeite derzeit dort. Alle sind verzweifelt, können keine Teile bestellen, außer bei TVH und das ist nur für Notfälle. Das Unternehmen hat noch nicht offiziell bekannt gegeben, dass es gehackt wurde, aber sie betonen immer wieder die Bedeutung von MFA. Wir können zwischen den Zeilen lesen.

Was mir auffällt: Es gibt keine öffentliche Verlautbarung, was mit der Firma passiert ist. Und die Erwähnung von Multifactor-Authentification (MFA) im Kontext des oben kolportieren Phishing-Angriffs rundet das Bild ab. Bei der Recherche ist mir übrigens auch aufgefallen, dass Crown in der Vergangenheit Cybersecurity-Experten gesucht hat.

Inzwischen wurde die Belegschaft informiert, dass es sich um eine Ransomware-Infektion handelt, die die IT-Systeme lahm gelegt hat. Ich setze die Berichterstattung im Artikel Gabelstapler-Hersteller Crown wohl seit 10. Juni 2024 Opfer einer Ransomware-Attacke fort.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

18 Antworten zu Cyber-Angriff auf Gabelstapler-Hersteller Crown: Webseiten down, was ist da los?

  1. Sandra sagt:

    Ich kenne die Firma Crown Equipment nicht, aber für das sie laut Wikipedia über 15'000 Angestellte haben, taucht über den IT Ausfall erstaunlich wenig im Netz auf. Auf X habe ich von einem Benutzer noch den Hinweis gesehen, dass anscheinend die Löhne nicht bezahlt werden:

    https://twitter.com/jeffafffa/status/1801005827551097283

    Scheint also schon was Gröberes zu sein.

  2. Stephan sagt:

    Letztes Jahr habe ich mich bei denen Beworben…zum Glück, haben die nicht geantwortet. :D

    • Loyalty sagt:

      vielleicht auch besser für die Firma?

    • Günter Born sagt:

      Zumindest sind die US-Beschäftigten arm dran – so langsam schlagen die privaten posts ein, ist aber nix aus der IT dabei. Die haben wohl einen Lagerteil Anfang des Jahres in New Bremen umgezogen und wissen durch die ausgefallene IT nicht mehr, wo Teile gelagert werden.

      Von der IT gibt es eine Info, dass man neue Regeln für MFA und Zugriffe auf Office 365, Sharepoint etc. eingeführt habe. Es sieht für mich so aus, dass da ein Konto per Phishing gehackt werden konnte. Es wird sogar explizit davor gewarnt, wenn zu viele MFA-Anfragen kommen, die man nicht selbst angestoßen hat, könnte dies ein Angriff sein.

    • Anonymous sagt:

      Da hat Crown ja richtig Glück gehabt!

  3. Anonym sagt:

    >>> können keine Teile bestellen <<<

    Bei uns tun alle Bänder laufen, drum Stapler nur von Linde kaufen ;-)

    • Singlethreaded sagt:

      Naja, fairer Weise muss man sagen, dass niemand garantieren kann, dass seine IT zu 100% sicher ist. Jeden Monat werden hunderte Sicherheitslücken geschlossen und die waren somit im Vormonat alle vorhandenen und bereit für einen Exploit.

      Die Frage ist immer, wurde irgendwo mit Updates oder bei der Sicherheit geschlampt. Das offenbar weltweite Ausmaß und die Dauer es Ausfalls könnten ein Indiz sein. Mal abwarten was noch so bekannt wird.

      • Andy sagt:

        ich bin über "Webseite selbst gehostet…" gestolpert.
        Da darf man sich keine Nachlässigkeiten erlauben, weil Angreifer sonst sehr schnell ins lokale Netz zugreifen können.

        • Singlethreaded sagt:

          Wobei selbst gehostet ja nicht heißen muss, dass der Webserver eine Verbindung zum Produkivnetzwerk hat. Bei der Firmengröße sollte man meinen, dass es dort mehrere Internetzugänge und Netzwerke gibt.
          Auch packt man solche Systeme in der Regel in eine DMZ und stellt noch einen Reverse-Proxy davor, um zumindest ein gewisses Maß an Abschottung / Sicherheit zu gewährleisten.

  4. Billy Balls sagt:

    Mein linkes Ei sagt mir, es waren die Russen.
    Слава України

    • Günter Born sagt:

      Und wen interessiert das?

    • Anonym sagt:

      Ich bin überzeugt, dass dies für die Firma ein riesen Impact ist und es gute Gründe gibt um solche Maßnahmen zu treffen. Ich finde es nicht richtig, mutmaßliche Gründe im Netz zu kommunizieren und schon gar nicht, eine betroffene Unternehmung ohne Hintergrundwissen schlecht da stehen zu lassen!

      So ein Vorfall kann jeder Firma zu jeder Zeit passieren und die Auswirkungen können fatal sein. Jeder der so ein umfangreiches Problem einmal erleben musste wird auch verstehen, wie einschneidend das sein kann.

      Ich hoffe für die Firma, dass sie ohne größeren Schaden da raus kommt.

      • Günter Born sagt:

        Dein "Ich finde es nicht richtig, mutmaßliche Gründe im Netz zu kommunizieren und schon gar nicht, eine betroffene Unternehmung ohne Hintergrundwissen schlecht da stehen zu lassen!" kann man so sehen, muss man aber nicht. Wir sind uns einig, dass es jedes Unternehmen treffen kann! Aber das "schlecht aussehen", dafür sorgen die Unternehmen schon selbst!

        Eine kurze Notiz "wir sind am … Opfer einer Cyberattacke geworden, das und das ist betroffen" hätte bereits gereicht, um Kunden, Händler und Mitarbeiter ins Bild zu setzen. Und wenn die absolut progressiv gewesen wären, hätte "wir hatten einen Ransomware-Vorfall, das und das ist betroffen, wir planen folgende Schritte als Abhilfe" schon sehr viel mehr Licht ins Dunkel gebracht. Ich stelle mir nur vor, ich hänge mit meiner Firmen-IT an deren Netzwerk, um Ersatzteile oder Bestellungen abzuwickeln und bekomme Null Info, was Sache ist und ob ich eventuell auch sicherheitstechnisch betroffen bin.

        Ab der Stelle wird es dann verwegen – wenn die Strategen in den Firmenzentralen auch noch mitteilen würden, es war die Ransomware-Gruppe xyz, und ganz genial wäre, wenn (sofern das als Erkenntnis vorliegt) dann noch käme "der Einfallvektor war, betroffen war …". Dann könnten vielleicht andere Administratoren gewarnt sein und Dritte was daraus lernen.

        Von daher wird dein abwiegelnder Kommentar sowie die ausgedrückte Meinung in einem anderen Licht gespiegelt. Und solange sich nichts in den Köpfen bewegt, ändert sich an der bescheidenen Situation auch nichts. Ist hier im Blog oft genug thematisiert worden – und es gibt auch die Aufbereitung des Cybervorfalls der Südwestfalen IT, den ich seinerzeit bekommen habe. Dort ließen sich die Versäumnisse benennen, die zum Vorfall führten – und Administratoren haben die Chance, es im eigenen Umfeld besser zu machen bzw. alles auf diese Versäumnisse abzuklopfen.

  5. R.S. sagt:

    "Der Poster arbeitet für Crown Equipment, und sagt, das sei ein Milliarden-Dollar-Unternehmen mit über 19.000 Mitarbeitern. Das Unternehmen wurde von einer Cyberattacke getroffen und ist derzeit nicht arbeitsfähig. Den Mitarbeitern wurde gesagt, dass sie keinen Lohn bekommen!"

    Tja, mit seinem deutschen Ableger wird er da aber ein rechliches Problem bekommen!
    Umstände, durch die der Angestellte seine Arbeitsleistung nicht erbringen kann und in der Verantwortung des Arbeitgebers liegen, befreien den Arbeitgeber nicht davon, den Lohn zahlen zu müssen!
    Siehe §615 BGB.

    Und anscheinend hat die Firma ihr Netzwerk auch nicht entsprechend segmentiert.
    Sonst wäre die Buchhaltung/Lohnbuchhaltung nicht betroffen gewesen.

    Im Übrigen habe ich von der Firma noch nie etwas gehört.
    Die scheinen in Deutschland ja nicht sehr aktiv zu sein.

    Und Phishing, das hört sich danach an, als wenn ein unvorsichtiger Mitarbeiter auf einen Link in einer Email geklickt hat oder einen schädlichen Anhang geöffnet hat.
    Das ist zumindest für fast 90% aller Phishingvorfälle die Ursache.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.