Der japanische Autokonzern Toyota muss heute Dienstag wegen eines Cyberangriffs gegen einen heimischen Zulieferer alle seine Produktionsbänder in Japan vorübergehend stoppen.
Wie der weltgrösste Autohersteller am Montag bekanntgab, war es bei Kojima Industries zu einem Ausfall des Computersystems gekommen. Vermutet wurde ein Cyberangriff – und diese Befürchtung sollte sich bestätigen.
Offenbar traf ein Ransomware-Angriff das Unternehmen, das Kunststoffteile an Toyota liefert. Laut Nikkei Asia gab Kojima Industries am Dienstag bekannt, dass eine Lösegeldforderung eingegangen sei und habe die Existenz einer (nicht näher beschriebenen) Malware bestätigt.
Bei Ransomware-Attacken versuchen die ins fremde Netzwerk eingedrungenen Täter, wertvolle Dateien zu verschlüsseln, um anschliessend Lösegeld zu erpressen. Ausserdem ist zu befürchten, dass die unbekannten Täter zuvor sensible Daten «exfiltrieren», bzw. im grossen Stil stehlen konnten.
Am Montag sagte eine mit den Vorkommnissen vertraute Person gegenüber Nikkei Asia:
Welche Ransomware-Bande hinter dem Angriff steckt, geht nicht aus dem Nikkei-Bericht hervor. Auf den einschlägigen Leak-Seiten der Kriminellen im Darknet war am Dienstag noch kein Hinweis auf die Angreifer zu finden.
Toyota hatte am Montag angekündigt, es werde alle seine 28 Produktionslinien an 14 Fabrikstandorten in Japan stoppen. Auch in den Werken der Tochtergesellschaften Hino und Daihatsu sollen am Dienstag die Bänder stillstehen.
Die Massnahme gelte vorerst für einen Tag, hiess es zunächst am Montag. Angesichts der vorliegenden Infos musste diese Ankündigung allerdings mit Vorsicht genossen werden. Nach der Ransomware-Attacke auf Swissport benötigte der Flughafendienstleister mehrere Tage, um seine IT-Systeme zu bereinigen und wieder alles hochfahren zu können.
Später liess ein Toyota-Sprecher verlauten, es sei noch unklar, ob der Stopp länger als einen Tag dauern werde. Der Konzern stellt rund ein Drittel seiner Fahrzeuge im Inland her. Normalerweise fertige man rund 13'000 Fahrzeuge pro Tag.
Das Unternehmen gilt als Pionier der Just-in-Time-Fertigung, bei der Teile, die von Lieferanten kommen, direkt an die Produktionslinie gehen, anstatt gelagert zu werden.
Update: Wie Toyota am Dienstag bekanntgab, nehmen alle Fabriken an diesem Mittwoch die Arbeit wieder auf.
Was den befürchteten Datendiebstahl betrifft, gilt es die nächsten Tage abzuwarten, um zu sehen, ob die Kriminellen auf ihrer Leak-Site Detailinformationen veröffentlichen. Sollte dies nicht passieren, ist zu vermuten, dass das betroffene Unternehmen das geforderte Lösegeld bezahlt hat.
Auch Japan hatte sich jüngsten Sanktionen der USA und der Europäischen Union gegen Russland angeschlossen.
Weltweit hatten Regierungen vor einem erhöhten Risiko von Hackerangriffen wegen des Kriegs gegen die Ukraine gewarnt.
Toyota selber machte zunächst keine Angaben zu Details der Cyberattacke auf seinen Zulieferer und verdächtigte auch nicht Russland als möglichen Initianten.
Ohne eingehende Prüfung sei es schwer zu sagen, ob die Störung der Produktion etwas mit Russland zu tun habe, wurde der japanische Ministerpräsident Fumio Kishida zitiert.
An dieser Stelle ist anzumerken, dass die gefährlichsten Ransomware-Banden ihre Basis in Russland haben. Darunter auch die Gruppe ALPHV («BlackCat»), die für den Swissport-Datendiebstahl verantwortlich zeichnete.
Toyota entschuldigte sich am Montag öffentlich bei seinen Kunden und Zulieferern für den Vorfall. Der Konzern beschäftigt in dem Land ungefähr 70'000 Menschen.
Mit Material der Nachrichtenagentur SDA
(dsc)