Opfer einer kriminellen Cyber-Attacke
Von einem Tag auf den anderen ging beim Baumaschinenhändler Kiesel gar nichts mehr. Das Unternehmen war ins Visier von erpresserischen Cyber-Kriminellen geraten, das gesamte IT-System wurde lahm gelegt. Jetzt will man seine Erfahrungen teilen.
Der Stammsitz der Kiesel-Gruppe im oberschwäbischen Baienfurt: In mühevoller Kleinarbeit und unter höchstem Zeitdruck wurde dort Server für Server, Bit für Bit gescannt und gereinigt. (Bild: Kiesel)
Donnerstag, der 11. Juni 2020: ein Datum, das niemand im Management der Kiesel-Gruppe, zweitgrößter Händler für Baumaschinen in Deutschland, so schnell vergessen wird. Es ist Fronleichnam, ein Feiertag in den meisten deutschen Bundesländern, ein Großteil der Belegschaft genießt den freien Tag, als über einen E-Mail-Anhang ein erster Zugriff auf das IT-System der Unternehmensgruppe erfolgt. Ab da gleicht die Entwicklung einem Cyber-Krimi: Zunächst unbemerkt, breitet sich der Angreifer im System aus und verschafft sich Stück für Stück Zugriff auf die zentralen Systeme, verschlüsselt Daten und macht Backups unbrauchbar.
Die Liste der allein im deutschsprachigen Raum von Cyber-Kriminalität betroffenen Unternehmen zieht sich durch alle Branchen und lässt auf den ersten Blick eine gewisse Zufälligkeit vermuten. Doch in allen Fällen sind Organisationen betroffen, deren Unternehmenserfolg kein Geheimnis ist, was wiederum auf eine gewisse Finanzkraft schließen lässt. Bei Kiesel bemerkt am Morgen des 12. Juni ein Mitarbeiter der IT-Abteilung bei Arbeitsbeginn eine Anomalie und schlägt Alarm. Der sofort einberufene Krisenstab entschließt sich, das gesamte IT-System des Unternehmens – mehr als 1.000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen – vom Netz zu trennen.
Eingehendere Untersuchungen der Infrastruktur offenbaren das Ausmaß des Schadens. Weite Teile der IT, allen voran das zentrale ERP-System, sind verschlüsselt. Kurz danach meldet sich ein Erpresser mit einer Lösegeldforderung im siebenstelligen Eurobereich, zahlbar in Bitcoins innerhalb von 24 Stunden. „Es kam für uns zu keinem Zeitpunkt infrage, auf die Lösegeldforderung einzugehen,“ stellt Maximilian Schmidt, Mitglied der Geschäftsleitung und Krisenmanager der Stunde, klar. „Zumal es keinerlei Gewähr gibt, dass man nach der Bezahlung auch wirklich den Code für die Entschlüsselung bekommt.“
Umgehend werden externe Fachleute hinzugezogen, die das unternehmenseigene IT-Team dabei unterstützen, zunächst den Schaden einzugrenzen und das Ausmaß zu beurteilen. Das zuständige Landeskriminalamt wird eingeschaltet und Anzeige gegen Unbekannt erstattet. Auch die zuständige Datenschutzbehörde wird vorschriftsmäßig informiert. Da zunächst völlig unklar ist, durch welche Lücke im Sicherheitssystem der Angriff ausgeführt wurde, müssen sämtliche Hardwaregeräte eingesammelt und einer zentralen Überprüfung unterzogen werden. Erst im Anschluss können die Geräte wieder bespielt und an die Nutzer zurückgegeben werden. „Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne ein ausgefeiltes ERP-System und unsere IT-Infrastruktur im Hintergrund ist das heute fast unmöglich,“ beschreibt Maximilian Schmidt die Lage. „Und von einem Moment zum anderen war nichts mehr davon verfügbar.“ Eine der Stärken der Kiesel-Organisation sei die Dezentralität. „Allein das Einsammeln und Versenden der Hardware an mehr als 50 Standorten in Europa war eine Sisyphusarbeit.“
Währenddessen fahren Servicetechniker ohne Laptop raus, Vertriebler halten Kontakt zu den Kunden mit ihrem Handy. Es gelingt, die Abläufe vorübergehend auch ohne IT aufrecht zu erhalten. In der Zentrale im oberschwäbischen Baienfurt bei Ravensburg wird währenddessen in mühevoller Kleinarbeit und unter höchstem Zeitdruck Server für Server, Bit für Bit gescannt und gereinigt. Vier Wochen nach der Attacke ist an allen Standorten wieder ein eingeschränkter Betrieb möglich, die Hardware größtenteils wieder einsatzbereit. „Eine solche Attacke kann heute jedes Unternehmen treffen“, meint Andreas Mendrzyk, Leiter IT bei Kiesel. „Wir können uns nur für solche Ereignisse besser wappnen, sodass Eindringlinge möglichst wenig Schaden anrichten können. Deshalb konzipieren wir unsere Abwehr völlig neu, setzen dabei auf modernste Technik und nicht zuletzt die Sensibilisierung jedes einzelnen Mitarbeiters.“
Der geschäftsführende Gesellschafter Toni Kiesel geht noch einen Schritt weiter: „Als Unternehmer kann man von Glück sagen, wenn man seine Organisation sicher durch eine solche Krise führen und daraus lernen kann. Dieses Wissen möchten wir in der Zukunft weitergeben, um andere vor solchen Ereignissen zu warnen. Deshalb werden wir diesem Thema im Rahmen der Zukunftskonferenz BAM – Bits and Machines – Ende Januar 2021 im Coreum entsprechend Raum einräumen. Schließlich ist das ein Gebiet, auf dem wir durchaus etwas zu berichten haben.“
Standpunkt
Toni Kiesel geschäftsführender Gesellschafter, Kiesel-Gruppe, Baienfurt bei Ravensburg
„Der Angriff traf uns in einem Moment als wir dachten, wir hätten die Corona-Krise mit einem blauen Auge überstanden. Gerade erst hatten wir die Mitarbeiter aus dem Home-Office und der Kurzarbeit zurück an die Arbeitsplätze holen können und wollten für den Rest des Jahres 2020 Vollgas geben. Doch von einem Moment auf den anderen ging plötzlich gar nichts mehr. Ohne IT steht die moderne Wirtschaft still, da brauchen wir uns nichts vorzumachen. Dennoch bin ich nach wie vor ein Verfechter der Digitalisierung. Aber man muss die Spielregeln kennen und danach handeln. Wir haben für uns die notwendigen Direktiven bereits definiert. Ausnahmen wird es hier in Zukunft keine mehr geben.“
