Cyberangriff

Der Neustart nach dem Hackerangriff

Bundesweit liegen die jährlichen Schäden durch Cyberangriffe im dreistelligen Milliardenbereich. Für Betriebe können sie existenzbedrohend sein. Zwei Unternehmen berichten von ihrer Erfahrung.
Thomas Stengel
Thomas Stengel, Geschäftsführer der Mürwiker Gruppe in Flensburg © Dewanger
Mit gegrillten Burgern und kaltem Bier feierte die Belegschaft der Bauer Gruppe im Juni vergangenen Jahres ihr Sommerfest. Die Stimmung beim Automobildienstleister im Norden Schleswig-Holsteins war ausgelassen, denn es gab seit Beginn der Coronakrise einiges nachzuholen. Doch von der gelösten Stimmung war am nächsten Tag nichts mehr zu spüren, als der Betrieb einen Cyberangriff bemerkte. „Alle Bildschirme waren schwarz, unsere gesamten Server und Daten verschlüsselt, nur das Erpresserschreiben war lesbar“, so Anja Bauer, Geschäftsführerin der Bauer Gruppe. Ähnliches erlebte auch die Mürwiker Gruppe in Flensburg, die Werkstätten und Wohnangebote für Menschen mit Behinderung unterhält. Das Unternehmen entdeckte den Angriff im Februar 2021 – mitten im Corona-Lockdown. „Wir konnten auf keine Daten mehr zugreifen“, erinnert sich Geschäftsführer Thomas Stengel.
Beide Unternehmen traf der Angriff hart, weil ihre gesamten Prozesse digitalisiert waren. Um wieder Herr der Lage zu werden, baute die Bauer Gruppe mit geliehenen Servern ein provisorisches Netzwerk auf. „Jedoch hatten wir keine unserer 37 Anwendungsprogramme für den täglichen Betrieb mehr. Darüber laufen etwa die Einlagerung der Reifen oder die Online- Terminbuchung“, so die Unternehmerin. Der einzige Lichtblick: Die Tester zum Auslesen der Pkw waren verschont geblieben, da sie zentral über das Netzwerk der Autohersteller laufen. „Ohne die Tester hätten wir nur noch Reifen wechseln und Autos waschen können, so konnten wir jedenfalls weiterarbeiten“, sagt Anja Bauer. Sie ist sich sicher, dass der Angriff politisch motiviert war, denn das Unternehmen ist eines der wenigen, die Tankfahrzeuge für die Bundeswehr warten. Ohne Zugang mussten beide Geschäftsführer ihre Finanzen nach Kontoauszügen managen.
Checkliste: Ernstfall Cyberattacke
Ihr Unternehmen ist Opfer einer Cyberattacke geworden? Dann gilt es, schnell und richtig zu reagieren. Hier finden Sie eine Checkliste mit ersten Schritten im Falle eines Angriffs auf Ihre IT-Systeme.
„Unsere Rechnungen und Lohnzahlungen, aber auch die Medikamentenvergabe an die Menschen mit Behinderung – alles war weg. Ich wusste nicht, wem ich auf welches Konto welchen Lohn überweisen muss“, sagt Stengel. Bis heute weiß er nicht, wie das Unternehmen finanziell dasteht. Beiden Betrieben war nach der Attacke nicht klar, wer ihnen noch Geld schuldet und wem sie noch etwas schuldig waren. Deshalb entschieden sich Bauer und Stengel, offen mit dem Thema umzugehen. „Wir konnten das gar nicht verbergen. Zudem arbeiten wir eng mit dem öffentlichen Sektor zusammen, der so oder so davon erfahren muss“, sagt Thomas Stengel. Die Mürwiker befinden sich immer noch im Krisenmodus. Sie verfügen über keinen Jahresabschluss für 2021 und 2022 oder über Zahlen für das laufende Jahr. Bei Anja Bauer funktioniert die Buchhaltung seit dem Frühjahr wieder. Damit sei der schlimmste Blindflug überstanden, meint sie.
Von den Mürwikern forderten die Hacker 2,3 Millionen Euro. Sie entschieden sich, nicht zu zahlen. Thomas Stengel versuchte sogar noch, die Verbrecher herunterzuhandeln, indem er ihnen mitteilte, dass sie einen sozialen Dienstleister für Menschen mit Behinderung gehackt hatten. „Das war ihnen aber gleichgültig“, so der Unternehmer. „Am Ende hat uns die Wiederherstellung circa denselben Betrag gekostet.“ Anja Bauer, die ebenfalls nicht auf die Forderungen einging, schätzt ihre Kosten auf 2,5 Millionen Euro. Sie nutzte den Angriff für einen Neuanfang, indem sie die alten GmbHs auflöste und zwei neue Firmen gründete. „Ohne nachweisbare Warenbestände, Verbindlichkeiten und Forderungen, ohne Gewinn- und Verlustrechnung und Anlagevermögen hatten wir sowieso nichts mehr, was man Firma nennen konnte“, sagt sie.
Alle Bildschirme waren schwarz, unsere gesamten Server und Daten verschlüsselt, nur das Erpresserschreiben war lesbar.
Anja Bauer, Geschäftsführerin der Bauer Gruppe.
Die Mürwiker und die Bauer Gruppe haben mittlerweile ihre IT-Sicherheit aufgerüstet und die Sicherheitsstandards hochgefahren. Die Server haben die Mürwiker etwa an einen IT-Dienstleister ausgelagert. „Wir haben uns dafür entschieden, da die Hälfte der IT-Mitarbeiter im ersten halben Jahr nach der Attacke gekündigt hat“, sagt Thomas Stengel. Die Maßnahme entlaste die verbliebenen Kollegen. Der Flensburger hat aus dem Zwischenfall eine Menge gelernt: „Zum einen braucht die Wiederherstellung Zeit, und das erfordert eine Menge Geduld. Zum anderen mache ich die IT-Sicherheit nun zur Führungsaufgabe.“ Beide Geschäftsführer sind sich einig, dass es weiterhin keinen 100-prozentigen Schutz gegen einen Angriff gibt.
Aenne Boye
Veröffentlicht Juni 2023