3 min
Lesezeit
Systematisch die Situation gemeistert
Am späten Abend des 19. Januar 2021 erhält Dr. Meike Schäffler, Vorstandsmitglied der in Münster ansässigen Westfalen AG, einen Anruf: „Wir sind verschlüsselt worden“, meldet der IT-Leiter des Unternehmens, das in den Bereichen Gase, Wärme, Kälte und Mobilität tätig ist. (Von Dominik Dopheide)
Was ist passiert?
Dr. Meike Schäffler, Vorstandsmitglied der Westfalen AG
Wie hat die Westfalen AG reagiert?
Das Unternehmen beginnt noch in der Nacht mit einer ersten Schadensaufnahme. Das komplette IT-System wird abgeschaltet, um weitere Zugriffe zu verhindern. Eingeschaltet werden die zuständigen Behörden und externe IT-Security-Spezialisten, die den Kurs in die Normalität unterstützen. Kaffee fließt in Strömen, aber Schuldzuweisungen bleiben aus. „Sie helfen nicht, wir haben Zusammenhalt gezeigt“, sagt Schäffler. Ein Krisenstab wird eingerichtet, um die weitere Agenda zu strukturieren und Aufgaben an die sofort etablierte IT-Taskforce zu verteilen. Erste Priorität hat die Sicherstellung des laufenden Betriebs. Sicherheitskritische Anlagen werden schnell manuell besetzt, auch die Versorgung von rund 20.000 Patienten mit Sauerstoff kann die Westfalen AG meistern. Sie zieht in dieser Situation einen Trumpf aus der Schublade: Papier. „Wir konnten weiterhin ausliefern, weil wir Zettel-und-Stift-Prozesse immer noch eingeübt hatten“, schildert Schäffler. Das Unternehmen setzt ein Reporting auf: Fortlaufend reflektiert der Krisenstab, wie der Betrieb aktuell läuft, nach und nach werden alle kritischen Systeme identifiziert und priorisiert. Auch die Kommunikation erfordert Organisation. Die Westfalen AG entscheidet sich für Offenheit und informiert zeitnah Mitarbeitende, Kunden und Partner. Erste Erfolge motivieren das Team. So zeigt die weitergehende Schadensanalyse, dass die Cloud unversehrt ist und Back-ups nur gelöscht, nicht chiffriert wurden. Rund 95 Prozent der Daten werden schließlich wiederhergestellt, weitere aus externen Quellen wiedergewonnen. „Wir haben gemerkt, dass wir es schaffen, deshalb kein Lösegeld gezahlt und die Kommunikation mit den Angreifern abgebrochen“, berichtet Schäffler. Das Unternehmen baut in der Folge die Systeme schrittweise auf und verzichtet zunächst zugunsten der Sicherheit auf bestimmte Funktionalitäten. Dieser Übergang in die Normalität, berichtet die Managerin, habe langen Atem gefordert.
Welche Konsequenzen zieht das Unternehmen?
„Ich kann nur empfehlen, die Strukturen neu und sicherer aufzubauen, und das Thema IT-Sicherheit ganzheitlich zu betrachten“, sagt Schäffler und meint damit unter anderem die Aspekte Prävention, Detektion und Resilienz. So startet das Unternehmen zur Vorbeugung immer wieder Awareness-Kampagnen: Simulierte Phishing-Mails sollen das Gefahrenbewusstsein der Mitarbeitenden fördern. Zudem hat es in ein SIEM (Security Information and Event Management) investiert und somit verdächtige Aktionen schneller im Blick. Das softwarebasierte Konzept erkennt viele Bedrohungen rechtzeitig und wendet sie automatisch ab. Um seine Widerstandsfähigkeit gegen die Folgen eines Angriffs zu stärken, hat die Westfalen AG Daten auf mehrere Standorte verteilt und greift ergänzend zu Back-Up-Instrumenten der Vor-Digitalzeit. „Wir sichern wieder auf klassischen Bändern, denn wir haben gelernt, dass nichts eine physikalische Trennung ersetzen kann“, erklärt Schäffler.
Kontakt
Redaktion Wirtschaftsspiegel