Die Liste der in Deutschland von Cyber-Kriminalität betroffenen Unternehmen zieht sich durch alle Branchen. Darunter sind bekannte und erfolgreiche Frimen wie z. B. Garmin, Marabu, Marc O’Polo, Pilz oder Einhell zu finden - allesamt Organisationen, die sich durch eine gewisse Finanzkraft auszeichnen. Nun hat es auch einen großen Baumaschinenhändler getroffen: Am 11.06.2020 wurde Kiesel Opfer einer massiven Cyber-Attacke. Unbemerkt und mittels eines E-Mail-Anhanges verschaffte sich der Angreifer den Zugriff auf die zentralen Systeme, verschlüsselte Daten und machte Backups unbrauchbar.
Bei Kiesel bemerkte erst am am kommenden Tag ein Mitarbeiter der IT-Abteilung bei Arbeitsbeginn eine Anomalie und schlug Alarm. Der sofort einberufene Krisenstab entschloss sich, das gesamte IT-System des Unternehmens (mehr als 1.000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen) vom Netz zu trennen. Eingehendere Untersuchungen der Infrastruktur offenbarten das Ausmaß des Schadens. Weite Teile der IT, allen voran das zentrale ERP-System, waren verschlüsselt. Kurz danach meldete sich der Erpresser mit einer Lösegeldforderung im siebenstelligen Eurobereich, zahlbar in Bitcoins innerhalb von 24 Stunden.
Externe Hilfe ist unerlässlich
„Es kam für uns zu keinem Zeitpunkt in Frage, auf die Lösegeldforderung einzugehen,“ stellt Maximilian Schmidt, Mitglied der Geschäftsleitung und Krisenmanager der Stunde, klar. „Zumal es keinerlei Gewähr gibt, dass man nach der Bezahlung auch wirklich den Code für die Entschlüsselung bekommt.“ Umgehend wurde externe Fachleute hinzugezogen, die das unternehmenseigene IT-Team dabei unterstützen, zunächst den Schaden einzugrenzen und das Ausmaß zu beurteilen. Das zuständige Landeskriminalamt wurde eingeschaltet und Anzeige gegen Unbekannt erstattet. Auch die zuständige Datenschutzbehörde wurde vorschriftsmäßig informiert.
Da zunächst völlig unklar war, durch welche Lücke im Sicherheitssystem der Angriff ausgeführt wurde, mussten sämtliche Hardwaregeräte eingesammelt und einer zentralen Überprüfung unterzogen werden. Erst im Anschluss konnten die Geräte wieder bespielt und an die Nutzer zurückgegeben werden. „Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne ein ausgefeiltes ERP-System und unsere IT-Infrastruktur im Hintergrund ist das heute fast unmöglich,“ beschreibt Maximilian Schmidt die Lage. „Und von einem Moment zum anderen war nichts mehr davon verfügbar.“
Wochenlange Aufbauarbeit
„Eine der Stärken unserer Organisation, ist die Dezentralität. Wir sind an mehr als 50 Standorten in Europa für unsere Kunden da. Allein das Einsammeln und Versenden der Hardware war eine Sisyphusarbeit,“ führt er weiter aus. Währenddessen fuhren Servicetechniker ohne Laptop raus, Vertriebler hielten den Kontakt zu den Kunden mit Hilfe ihres Handys. Es gelang, die Abläufe vorübergehend auch ohne IT aufrecht zu erhalten. In der Zentrale im oberschwäbischen Baienfurt bei Ravensburg wurde währenddessen in mühevoller Kleinarbeit und unter höchstem Zeitdruck Server für Server, Bit für Bit gescannt und gereinigt. Vier Wochen nach der Attacke ist an allen Standorten wieder ein eingeschränkter Betrieb möglich, die Hardware größtenteils wieder einsatzbereit.
„Eine solche Attacke kann heutzutage jedes Unternehmen treffen. In der Tat ist es in Deutschland längst keine Frage mehr ob, sondern vielmehr wann,“ ist sich Andreas Mendrzyk, Leiter IT bei Kiesel, sicher. „Neben der Suche nach der Ursache war für uns schnell eines klar: so eine Attacke kann uns jederzeit wieder treffen. Es bleibt uns nur, uns für solche Ereignisse besser zu wappnen, so dass Eindringlinge möglichst wenig Schaden anrichten können. Deshalb nutzen wir die gewonnenen Erkenntnisse dazu, unsere Abwehr völlig neu zu konzipieren und setzen dabei auf modernste Technik und nicht zuletzt die Sensibilisierung jedes einzelnen Mitarbeiters,“ führt er weiter aus. „Uns ist bewusst, dass dieser Prozess ist im Grunde nie vollendet sein wird.“
Aus Schaden lernen
„Der Angriff traf uns in einem Moment, als wir dachten, wir hätten die Corona-Krise mit einem blauen Auge überstanden,“ resümiert der geschäftsführende Gesellschafter Toni Kiesel. „Gerade erst hatten wir die Mitarbeiter aus dem Home-Office und der Kurzarbeit zurück an die Arbeitsplätze holen können und wollten für den Rest des Jahres 2020 Vollgas geben. Doch von einem Moment auf den anderen ging plötzlich gar nichts mehr. Ohne IT steht die moderne Wirtschaft still, da brauchen wir uns nichts vor zu machen. Dennoch bin ich nach wie vor ein Verfechter der Digitalisierung“, so Toni Kiesel weiter. „Aber man muss die Spielregeln kennen und danach handeln. Wir haben für uns die notwendigen Direktiven bereits definiert. Ausnahmen wird es hier in Zukunft keine mehr geben. Als Unternehmer kann man von Glück sagen, wenn man seine Organisation sicher durch eine solche Krise führen und daraus lernen kann. Dieses Wissen möchten wir in der Zukunft weitergeben, um andere vor solchen Ereignissen zu warnen. Deshalb werden wir diesem Thema im Rahmen der Zukunftskonferenz BAM (Bits and Machines), die Ende Januar 2021 zum zweiten Mal im Coreum stattfinden wird, entsprechend Raum einräumen. Schließlich ist das ein Gebiet, auf dem wir durchaus etwas zu berichten haben.“