Was zwei Familienunternehmen aus Cyberattacken gelernt haben

Die zunehmende Digitalisierung ist wichtig – doch damit steigt für den Mittelstand auch die Bedrohung durch Cyberangriffe.

Die (etwas) Älteren werden beim Vergleich von Kim-Eva Wempe, geschäftsführende Gesellschafterin des Juweliers Wempe, nicken: „Ich komme noch aus einer Zeit, als es Lösegeldforderungen vor allem im Zusammenhang mit Kindesentführungen gab.“ Wohlhabende Führungskräfte von Unternehmen waren über Jahrzehnte darauf bedacht, ihre Familien zu schützen und abzuschirmen. Das tun viele von ihnen auch heute noch, doch als Ziel für Angriffe und Erpressung wird von Kriminellen mittlerweile vornehmlich etwas anderes anvisiert: die Daten der Unternehmen.

Im „Praxisreport Mittelstand 2020“ vom Bündnis „Deutschland sicher im Netz“ unter Schirmherrschaft des Bundeswirtschaftsministeriums vermeldete knapp die Hälfte der befragten Unternehmen (46 Prozent) bereits einen Cyberangriff. Es werden jedoch längst nicht alle Angriffe bemerkt, die Dunkelziffer liegt entsprechend weitaus höher. Je nach Wert und Sensibilität der abgezogenen Daten kann für die Firmen nicht nur ein erheblicher betrieblicher, sondern auch verheerender Reputationsschaden entstehen. Im EY Mittelstandbarometer 2021 steht Cybersicherheit an dritter Stelle bei den Risiken für Wachstum, die der Mittelstand sieht.

Cyberangriff: Plötzlich ist der Bildschirm schwarz

Im Webcast der EY Private Lounge, einer Plattform zum Erfahrungsaustausch für Führungskräfte mittelständischer und Familienunternehmen, sprachen die Unternehmer Thomas Pilz und Kim-Eva Wempe über ihre Erfahrungen und Handlungsstrategien beim kriminellen Shutdown ihrer jeweiligen IT. Beide wurden 2019 Opfer eines massiven Cyberangriffs, in beiden Fällen forderten die Hacker Lösegeld für die Rückgabe der Daten. „Man ist vom Bildschirm verschwunden“, erinnert sich Thomas Pilz an die Sekunden der Schockstarre, in denen sich herausstellte: Die Daten seines Unternehmens für Automatisierungstechnik waren über alle 42 Landesgesellschaften komplett verschlüsselt. Nichts ging mehr. „Heute ist es fast lustig, dass wir zwar einen Notfallplan hatten, aber nicht in Papierform. Also kam man an den gar nicht ran.“ Papier spielte dafür in den kommenden Wochen wieder eine große Rolle. Der Krisenstab errichtete binnen weniger Stunden ein Lagezentrum mit Stellwänden, Stiften und jeder Menge Post-its. „Auf denen haben wir die neuesten abgestürzten Server notiert, einen Überblick geschaffen, welches Land nicht mehr da ist. Wir haben in unserem IT-Trakt sofort ein neues LAN aufgebaut, um uns zu organisieren – aber eben ohne Internetzugang“, berichtet Pilz. Einvernehmlich beschloss der Familienrat, das Lösegeld nicht zu zahlen, sondern sich stattdessen mit Gegenmaßnahmen zu wehren.

Bei Juwelier Wempe begann das Szenario ähnlich. „Unsere Niederlassung im Frankfurter Flughafen öffnet um 6.30 Uhr als erste. Der Geschäftsführer saß vor schwarzen Bildschirmen, zwei Stunden später stand fest, dass wir Opfer eines Hackerangriffs wurden. Es war kein Arbeiten mehr möglich. Wir suchten Kassenblöcke, stellten das Faxgerät wieder an und um 10.00 Uhr öffneten alle deutschen Niederlassungen“, erzählt Unternehmenschefin Kim-Eva Wempe. „Das Problem war jedoch: Die Läden hatten zwar geöffnet, aber niemand wusste, was genau passiert war. Selbst unsere IT war hilflos.“ Helfen konnten Fachteams von EY, die feststellten: Die Angreifer hatten eine Schwachstelle in der Firewall genutzt, um einen Krypto-Trojaner zu implementieren, eine Schadsoftware (Ransomware), die Daten verschlüsselt. „Wir haben uns damals entschlossen, das Lösegeld zu zahlen, weil es sonst zu lange gedauert hätte, bis wir die Daten wiederbekommen hätten. So ging es Zug um Zug und hat funktioniert.“ Bei Thomas Pilz dauerte es sechs Wochen, bis er wieder die erste E-Mail auf dem Handy schreiben konnte – „ein unglaubliches Glücksgefühl“.

Ob sie auf die Erpressung eingehen, haben die Unternehmensleiter unterschiedlich entschieden. Gleich reagiert haben sie hinsichtlich der Kommunikation: Die musste im ersten Schritt wiederhergestellt werden und wurde zu allen Seiten hin offen gehandhabt – gegenüber Kunden, Lieferanten, Mitarbeitern, Behörden und auch den Medien. Thomas Pilz nennt hierfür Gründe: „Wenn Sie keinen Internetauftritt mehr haben, können Sie auch nicht lange verschweigen, dass bei ihnen etwas nicht stimmt. Verschweigen macht es nur schlimmer, da folgt der Cyberattacke der PR-Skandal, dass man niemanden informiert habe.“

Unternehmen wiegen sich in trügerischer Sicherheit

Gemeinsam hatten Pilz und Wempe ebenfalls, dass sie sich weitestgehend geschützt gegenüber Cyberangriffen fühlten. Doch Kim-Eva Wempe gibt zu, dass der Fokus ihres Unternehmens auf der Absicherung von Ware und Personal lag: „Den Datenbereich haben wir als Juweliere nicht als unser Herz-Kreislauf-System erkannt. Heute sehen wir ihn als extrem wichtig an und sind hier sehr gut aufgestellt.“

Beide Unternehmen haben einen CSO (Chief Security Officer) beziehungsweise CDO (Chief Digital Officer), beide haben ihre Daten außerdem mindestens zu einem Teil ausgelagert. „Wir hosten heute unsere Daten extern, sind in die Cloud gegangen, weil wir der Meinung sind, dass nicht mehr alles auf dem eigenen Server liegen muss“, erläutert die Unternehmerin Wempe. Sie habe sich die Jahre zuvor zwar bereits viel mit Digitalisierung beschäftigt, um diese im operativen Geschäft voranzutreiben, freigestelltes Geld für den IT-Bereich wurde am Ende aber doch nicht eingesetzt. Heute weiß sie: „Das ist ein Fehler und ich kann nur jedem raten, sich mehr mit IT und dem Datenverkehr zu beschäftigen und es nicht als etwas Lästiges zu sehen, das man abarbeiten muss. Unser damaliger, langjähriger IT-Leiter hat sehr effektiv mit einer kleinen Mannschaft das Tagesgeschäft möglich gemacht. Er nahm sich jedoch nicht die Zeit, sich regelmäßig auf den neuesten Stand der Technik zu bringen, und ich bin nicht auf die Idee gekommen, ihm das in seinen Kalender zu schreiben. Doch dafür trägt man Verantwortung und ebenso dafür, dass genügend neue, junge Leute hinterherkommen, das ist ganz wichtig.“ Kim-Eva Wempe empfiehlt Unternehmen außerdem, sich zum Test angreifen zu lassen, um die Schwachstellen ausfindig zu machen – sogenannte Penetrationstests.

Cybersecurity ist ein ganzheitliches Thema

Botschaften, die Thomas Pilz ganz ähnlich formuliert. Ein Security-Konzept sei das eine, Budget und Umsetzung das andere. Der Sicherheitsstandard ISO 27001 beschreibt, dass IT-Sicherheit ein ganzheitliches Thema ist, das beim Vorstand beginnt und von dem die IT selbst nur ein Element ist. Beispiel Phishing-Mails: Die persönlichen Anschreiben mit angehängter Schadsoftware werden heute bei ungeübten Unternehmen von ca. 50 Prozent der Mitarbeiter angeklickt. Das bedeutet: Jeder zweite Mitarbeiter öffnet einem Angreifer die Tür. Der Vorstand muss also dafür sorgen, dass Budget vorhanden und auch sinnvoll genutzt wird.

Und noch etwas hat Maschinenbauer Pilz festgestellt: die Relevanz der OT (Operational Technology) neben der IT. Denn auch über die OT von maschinellen Anlagen führen oft Pfade in die konventionelle IT und damit in die Kernbereiche des Unternehmens. „Wir haben jetzt eher eine Wackelpudding-Strategie mit stark segmentierten Netzen, um der Tatsache Rechnung zu tragen, dass wir wieder gehackt werden. Es darf nur nicht wieder ein Totalschaden entstehen wie beim letzten Mal.“ Der Schwabe hat daraus sogar eine Dienstleistung für seine Kunden entwickelt: die Sicherung von OT-Netzen.

In seinem Fall konnte die Polizei in einer international koordinierten Aktion zumindest einem Teil der Täterschaft habhaft werden – bis hin zu Haftbefehlen. Derlei Erfolge sollten jedoch nicht darüber hinwegtäuschen, dass das Bild vom nerdigen Hacker zwischen Pizzaresten lange überholt ist.

Cyberkriminalität ist heute eine hochkomplexe und extrem professionalisierte Verbrechenssparte, für die jedes Unternehmen interessant ist und der sich im Zuge der fortschreitenden Digitalisierung – auch unter COVID-19 – eine immer größere Angriffsfläche bietet.