Alexander Reichhart war frühmorgens auf dem Weg zu einem Kundentermin, als sein IT-Leiter anrief: Man könne auf wichtige Systeme nicht zugreifen, er vermute eine Hackerattacke. Reichhart fuhr direkt zurück, um sich ein Bild zu machen und einen Krisenstab zu bilden. Dazu gehörten neben dem Geschäftsführer auch Vertreter der IT, Unternehmenskommunikation sowie eine erfahrene Qualitäts-Managerin. Die ersten Erkenntnisse: Große Teile der Daten on-Premises waren verschlüsselt worden, nur Cloud-Dienste blieben verfügbar. Ein Schock, denn in der Kontrakt- und Transportlogistik sind viele Prozesse digitalisiert und präzise auf die Minute abgestimmt. Zu den Kunden des Logistikdienstleisters zählen unter anderem Automobilhersteller, -zulieferer und weitere Produzenten.
„Ein absoluter Albtraum, es gingen weder Telefonanlage noch E-Mail“, erinnert sich der Geschäftsführer. Eine der ersten Maßnahmen war der Aufbau eines Notfallkommunikationssystems über Microsoft Teams und einen alternativen Mail Provider. Die Angreifer ließen keinen Zweifel an ihren Absichten. „Man bekommt eine Nachricht, die mit ‚Hi friends‘ beginnt. Man solle Ruhe bewahren und wenn der Prozess strukturiert ablaufe, habe man nichts zu befürchten“, berichtet Reichhart. Mit der Nachricht war klar: Der Logistikexperte hatte es mit einer Verbrecherorganisation namens Akira zu tun, die bereits für mehrere Angriffe bekannt ist. Sie hatte beispielsweise im letzten Jahr 70 Kommunen in NRW lahmgelegt. „Eine klassische Attacke“, sagt Reichhart, der das Familienunternehmen in zweiter Generation führt.
Die Professionalität der Cyberkriminellen wird chronisch unterschätzt
Das operative Geschäft lief weiter, auch die an vielen der Standorte eingesetzte Lagerverwaltungssoftware motus funktionierte dank Cloud. Allerdings hing die wichtige Druckfunktion für Auftragszettel am ausgefallenen Netzwerk. Umgehend wurde ein Stand-Alone-System für den Druck geschaffen, sodass die Standorte autark arbeiten konnten.
„Dass die Attacke am 31.10. stattfand, als bereits Löhne und Gehälter für den Monat gezahlt waren, und dass dieser Tag ein Feiertag war, hat uns etwas Luft verschafft“, erinnert sich Reichhart. Vor allem aber verfügte das Unternehmen über eine Cyberversicherung, die sofort tätig wurde. Noch am selben Tag saß man mit den Versicherungsexperten und der Polizei zusammen. Später fanden die Experten heraus, dass die Ransomware während der Verschlüsselung nicht vollständig durchlaufen konnte, weil sie zu einer Überlastung der Systeme führte. Dadurch wurden einige Daten beschädigt, andere jedoch erhalten.
In den nächsten Wochen sollte es viel Austausch mit den Experten geben. „Viele können sich die Professionalität der Angreifer nicht vorstellen. Meist werden nach dem Zugriff im Netzwerk die Bilanzen gecheckt, um eine ‚realistische‘ Lösegeldforderung zu bestimmen“, mahnt Reichhart.
Wie läuft eine Ransomware-Attacke?
Ransomware-Attacken laufen meist gleich ab. Zunächst dringen die Angreifer ins Netzwerk ein und positionieren Schlüssel, auch in Backups. Die eigentliche Verschlüsselung erfolgt teilweise erst Monate später. Dann wird Kontakt aufgenommen. Soll eine Kommunikation stattfinden, muss zunächst in einem Proof of Document geklärt werden, ob es sich um den „richtigen“ Erpresser handelt. Zudem wird in einem Proof of Capabilities getestet, ob der Angreifer tatsächlich Entschlüsselungsfähigkeit hat, indem die die Daten in einem Teilbereich erfolgreich entschlüsselt werden. Wird eine Lösegeldzahlung vereinbart, gibt es einen Vertragsabschluss und die Zusicherung, dass keine weiteren Angriffe erfolgen werden. Erfahrungsgemäß halten sich professionelle Organisationen an die Ganovenehre, schon um ihr Geschäftsmodell nicht zu unterlaufen – anders kann es etwa bei Trittbrettfahrern aussehen.
Das Ausmaß der Cyber-Katastrophe vermessen
„Nach zwei Wochen Analyse und paralleler Bearbeitung war uns der überwiegende Anteil der technischen Folgen klar. Den Überblick über den wirtschaftlichen Schaden zu bekommen, war allerdings deutlich schwieriger“, fasst Reichhart zusammen. Die Verbrecher hatten sich bereits Wochen oder Monate vorher im Netzwerk aufgehalten und sämtliche Backups mit Anhängen versehen, die diese im Moment des eigentlichen Angriffs verschlüsselten. Betroffen war unter anderem der gesamte HR-Bereich mit der Lohnabrechnung. Sämtliche Altdaten für die Sozialversicherung und über Arbeitsverträge fehlten – die Bildschirme blieben schwarz. Ebenso sah es in den Bereichen Einkauf, Controlling und Fakturierung aus: Man befand sich im Blindflug. „Es gab keine Übersicht über offene Posten, wir konnten nicht sehen, welche Beträge wir wann beispielsweise an Partner, Mieten oder Löhnen zu bezahlen hatten – und umgekehrt fehlte uns die Basis für die Abrechnung unserer Dienstleistung an unsere Kunden“, bringt Reichhart die Situation auf den Punkt.
Es gab keine Controlling-, Bank- oder Wirtschaftsprüfungsberichte. Gerade die KPI-Berichte, mit denen sonst das operative Geschäft gesteuert wird, haben jedoch große Auswirkungen. In der Kontraktlogistik lief deshalb etwa der Ressourceneinsatz unkontrolliert, der sonst an den Forecast der Kunden und die Personaleinsatzplanung gekoppelt ist. Für Alexander Reichhart ist es essenziell festzustellen, dass es zu keiner operativen Beeinträchtigung bei den Kunden kam. „Wir haben es so aufgesetzt, dass auf alle Fälle nichts schiefgeht. Damit haben wir jedoch hochgradig unwirtschaftlich agiert. Zudem waren wir manuell zu langsam, um etwa am Spotmarkt an attraktive Transportaufträge zu kommen – das läuft nur elektronisch“, erklärt der Geschäftsführer. Für das schnell wachsende Unternehmen bedeutete das herbe Rückschläge.
Die Reaktionen waren sehr unterschiedlich
Teile des Projektmanagementsystems und des Qualitätsmanagements fielen aus, auch das gesamte Dokumentenmanagement, File Server, Mail-System, sowie das Intranet als interne Kommunikations- und Wissensplattform waren betroffen. „Man kann sagen: Wir waren in dem Moment dement, wir haben unser gesamtes Gedächtnis verloren“, fasst Reichhart die Situation zusammen.
Während die Kunden des Logistikers viel Verständnis signalisierten und etwa Zahlungen pünktlich leisteten, sei man ansonsten auf unterschiedliche Reaktionen gestoßen. Während das Finanzamt professionell reagiert habe, sah die Lage bei den Krankenkassen unterschiedlich aus. Einige hätten gleich mit Säumniszuschlägen gedroht. Auch ein Teil der Hausbanken stellte sich nicht als Teil der Lösung dar, was herausfordernd gewesen sei. „Es war deutlich spürbar: Alle, die bereits Erfahrungen mit Cyberkriminalität gemacht haben, sind schlicht auf einem anderen Stand und haben ein anderes Verständnis“, stellt Reichhart fest.
Schwache Leistung von BSI und Staat
„Das LKA war sehr hilfsbereit, hatte aber kaum praktische Möglichkeiten. In der Cyber-Abteilung versuchten Beamte, die mit Block und Bleistift erschienen, herauszufinden, wer hinter der Erpressung steckt. Am erschreckendsten war die Interaktion mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Wir mussten eine Meldung abgeben und haben eine Vorgangsnummer bekommen – weitere Kommunikation fand nicht statt“, fasst Reichhart seine Erfahrungen zusammen. Das möge für Unternehmen der Kritischen Infrastruktur anders aussehen. Ein Follow-Up mit den betroffenen Unternehmen findet offensichtlich nicht statt – doch das wäre für ein realistisches Lagebild entscheidend.
Eigentlich soll auch das Nationale Cyberabwehrzentrum Koordination leisten. „Man bekommt immer wieder gespiegelt ‚An der Staatsgrenze hört unser Einfluss auf‘. Das reicht im Jahr 2024 nicht mehr aus, wenn von anderen staatlichen Playern konsequent die deutsche Wirtschaft attackiert wird. Wenn flächendeckend Cyberangriffe stattfinden, dann wird auch der Mittelstand systemkritisch, weil es starke Auswirkungen auf die Versorgungsketten hat“, bringt es Alexander Reichhart auf den Punkt. Aus seiner Sicht werden die Unternehmen vom Staat derzeit bei Weitem nicht genug unterstützt.
Datenreinigung in der Waschstraße
Die Cyberversicherung erwies sich als Retter in der Not und unterstützte maßgeblich beim Wiederaufbau der IT-Infrastruktur. „In der Spitze waren zwölf externe IT-Experten da. Sie kamen – wie im Film – mit großen Koffern und bauten eine ‚Waschstraße‘ auf, um sämtliche Geräte und Systeme zu ‚reinigen‘“, so Reichhart. Alles wird zurückgesetzt, neue Firmware installiert. Daten unterlagen einem dreifachen Waschvorgang, der Prüfung auf aktive Angriffs-Software, auf passive Komponenten und Hintertüren für den späteren Zugang. Das Ziel: jede weitere Kontaminierung ausschließen, damit weder Kunden noch Partner gefährdet werden. Im Rahmen der Forensik wurde zudem intensiv geprüft, ob das Unternehmen entsprechend der Versicherungspolice „up to date“ war. „Die Forensik hat festgestellt, dass wir ordentlich gearbeitet haben“, so Reichhart. Die Regulierung sei derzeit im Gange, insbesondere bei der Wirtschaftlichkeit bewege sich der Schaden im siebenstelligen Bereich.
„Wir haben jetzt auf der grünen Wiese eine komplett neue Infrastruktur aufgesetzt und damit aus der Not eine Tugend gemacht: In einer bestehenden Landschaft ist eine Modernisierung ja eher schwierig“, hebt Reichhart die Chancen der Krise hervor. Man habe unter anderem einen restriktiven Netzwerkzugang mit Netzwerksegmentierung und definiertem Datenzugriff gewählt. Die Mitarbeitenden bekommen dabei wie in einer Fußballarena „Tickets“ für einen bestimmten Platz in einem Segment. Angreifer können dann maximal in einem Segment Zugriff erlangen, aber keine Daten sehen.
Daten wie ein Puzzle zusammensetzen
Auch bei der Datenwiederherstellung war die Hilfe der Versicherung essenziell. Es wurden unterschiedlichste Strategien entwickelt, um an Daten heranzukommen. So hatte der Logistikdienstleister etwa im Bereich Business Intelligence mit der Cloud-basierten Microsoft Power BI Plattform gearbeitet, und konnte auf diesem Wege viele Daten zurückgewinnen. Für die Entgeltabrechnung griff man auf ausgedruckte Lohnscheine der letzten Abrechnung zurück. Zudem gab es noch eine Sicherheitskopie beim Anbieter der entsprechenden Software.
„Die Belastung für die Belegschaft war in weiten Bereichen hoch, sowohl psychisch als auch physisch. In IT, Administration und Operative herrschte ein enormer Zeitdruck beim Finden von Brückenlösungen bei gleichzeitigem Druck durch das Tagesgeschäft. Es herrschte aber ein unglaublicher Teamgeist“, erinnert sich der Geschäftsführer.
In Rekordzeit wieder voll einsatzfähig
Profis schätzen, dass ein vollständiger Wiederaufbau im Schnitt ein Jahr und mehr dauert. Dem Logistikunternehmen gelang es jedoch, nach vier Monaten wieder voll einsatzfähig zu sein. Dabei habe auch die Erfahrung mit Krisensteuerungen geholfen, zum Beispiel mit Blick auf Versorgungsketten in der Logistik. Auch die hohe Leistungsbereitschaft, Flexibilität und Resilienz in der Belegschaft waren für Reichhart wesentliche Erfolgskriterien.
„So ein Angriff kann sehr schnell in die Existenzbedrohung gehen, wenn die operative Leistungsfähigkeit beeinträchtig ist und nicht schnell wiederhergestellt werden kann“, konstatiert Alexander Reichhart. Fehlen Cashflow und Testierung, wird es schnell kritisch. Nicht jedes mittelständische Unternehmen habe sich bereits mit der Ernsthaftigkeit der Cyberbedrohung auseinandergesetzt. Er empfiehlt, die IT-Sicherheit nicht auf die leichte Schulter zu nehmen und den Aufwand dafür nicht als möglichst niedrig zu haltenden Kostenfaktor zu betrachten. „Mir selbst ist vor Augen geführt worden, dass unser erfolgreiches, wettbewerbsfähiges Unternehmen plötzlich aufgrund einer Cyberattacke in eine echte Notlage kommen kann“, sagt Reichhart. Er möchte mit seinem offenen Erfahrungsbericht dazu beitragen, dass andere Unternehmen das Risiko ernstnehmen und das Thema mehr ins politische Bewusstsein zu rücken.
- Was sind die wichtigsten Schritte, die Unternehmen im Falle eines Cyberangriffs wie bei Reichhart beachten sollten, und wie unterstützen Sie Ihre Kunden in diesem Prozess?
Ramona Fraas: „Gerade im KMU-Segment fehlt häufig noch ein ausreichendes Risikobewusstsein. Daher ist ein Cyberangriff und dessen Ausmaß für die meisten überraschend. Häufig folgen daraus vorschnelle Reaktionen, wie zum Beispiel das Anklicken eines Links im Darknet. Wir empfehlen im Fall der Fälle, zunächst einmal Ruhe zu bewahren und sich auf die wichtigsten Schritte zu konzentrieren. Diese sind unter anderem: das Unterbrechen externer Verbindungen, das Trennen von infizierten Systemen vom Netzwerk, das Sperren betroffener Nutzer-Accounts sowie die Dokumentation des Vorfalls (wie Zeit, Datum, betroffene Geräte/Systeme, Netzwerk- und Systemprotokolle, Logdateien). Unbedingt sollten Unternehmen vermeiden, die Stromversorgung zu unterbrechen, Daten zu löschen, betroffene IT-Systeme zu verändern, eigenhändig Backups zu installieren oder mit Erpressern zu kommunizieren.
Als eine der größten Schadeneinheiten in Europa helfen wir den Unternehmen in der Krisensituation durch professionelles Schadenmanagement. Die stringente Steuerung aller im Schadenfall eingesetzten Experten für den schnellen und sicheren Wiederaufbau der IT ist entscheidend, um potenzielle Betriebsunterbrechungsschäden zu minimieren. Unser 24/7-verfügbares Dienstleister-Netzwerk mit internen und externen Spezialisten aller im Kriseneinsatz benötigten Fachgebiete steht unseren Kunden im Krisenfall Cyber sofort zur Verfügung. Wir stellen unmittelbar nach Schadenmeldung ein Krisenteam zusammen, das aus Experten aus den Bereichen Forensik, IT-Wiederaufbau, Betriebsorganisation, Erpresser- und Krisenkommunikation, Datenschutz und Recht besteht. Ein Teil des Teams ist vor Ort im Einsatz, das andere Team arbeitet remote zum Beispiel an der Suche des Eintrittstors. In täglichen Calls koordinieren unsere Claimsmanager alle Experten und sorgen für einen effizienten, reibungslosen Ablauf."
- Wie bewerten Sie die Schwere eines solchen Cyberangriffs und die potenziellen Auswirkungen auf ein Unternehmen?
Ramona Fraas: „Ein Cyberangriff ist das Horrorszenario eines jeden Unternehmens. Besonders beängstigend sind sogenannte Ransomware-Angriffe, bei denen Hacker die Systeme eines Unternehmens vollständig verschlüsseln und für eine mögliche Entschlüsselung Lösegeld fordern. Diese Art der digitalen Erpressung ist weiterhin auf dem Vormarsch und einer der größten Schadentreiber. Im Vergleich zum Vorjahr sind die Angriffe um 50 Prozent - erneut - angestiegen (vgl. Coveware, 2023). Die Frage ist also nicht, ob man angegriffen wird, sondern wann.
Millionenschäden sind auch bei kleinen und mittleren Unternehmen möglich. Es besteht keine eindeutige Korrelation zwischen der Größe eines Unternehmens und dem Ausmaß eines Cyber-Schadens. Einflussfaktoren für die Schadenhöhe sind neben der vorhandenen Cybersicherheit eines Unternehmens unter anderem die Branche, die Komplexität der IT-Infrastruktur sowie die Anzahl von Lieferketten. Allein ein Betriebsunterbrechungsschaden kann bei kleinen und mittleren Unternehmen schnell eine hohe sechsstellige Summe erreichen.“