von Redaktion
Cyber-Attacke: Kiesel geht an die Öffentlichkeit
Baumaschinenhändler zieht drei Monate nach Krimi Bilanz - Unternehmen hält an Digitalisierungsprozess fest
Stockstadt - Donnerstag, der 11. Juni 2020 ist ein Datum, das niemand im Management der Kiesel-Gruppe - zweitgrößter Händler für Baumaschinen in Deutschland - so schnell vergessen wird. Es ist Fronleichnam, ein Großteil der Belegschaft genießt den Feiertag in den katholisch geprägten Bundesländern, als mittels eines E-Mail-Anhanges ein erster Zugriff auf das IT-System der Unternehmensgruppe erfolgt. Ab da gleicht die Entwicklung einem Cyber-Krimi. Zunächst unbemerkt breitet sich der Angreifer im System aus und verschafft sich Stück für Stück Zugriff auf die zentralen Systeme, verschlüsselt Daten und macht Backups unbrauchbar.
Die Liste der allein im deutschsprachigen Raum von Cyber-Kriminalität betroffenen Unternehmen liest sich längst wie das Who-is-Who der Wirtschaft. Sie zieht sich durch alle Branchen und lässt auf den ersten Blick eine gewisse Zufälligkeit vermuten. Doch ob Garmin, Marabu, Marc O’Polo, Pilz oder Einhell, in allen Fällen sind Organisationen betroffen, deren Unternehmenserfolg kein Geheimnis ist, was wiederum auf eine gewisse Finanzkraft schließen lässt. Bei Kiesel bemerkt am Morgen des 12. Juni ein Mitarbeiter der IT-Abteilung bei Arbeitsbeginn eine Anomalie und schlägt Alarm.
Der sofort einberufene Krisenstab entschließt sich, das gesamte IT-System des Unternehmens (mehr als 1.000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen) vom Netz zu trennen.
Eingehendere Untersuchungen der Infrastruktur offenbaren das Ausmaß des Schadens. Weite Teile der IT, allen voran das zentrale ERP-System, sind verschlüsselt. Kurz danach meldet sich der Erpresser mit einer Lösegeldforderung im siebenstelligen Eurobereich, zahlbar in Bitcoins innerhalb von 24 Stunden.
Externe Hilfe ist unerlässlich
„Es kam für uns zu keinem Zeitpunkt in Frage, auf die Lösegeldforderung einzugehen,“ stellt Maximilian Schmidt, Mitglied der Geschäftsleitung und Krisenmanager der Stunde, klar. „Zumal es keinerlei Gewähr gibt, dass man nach der Bezahlung auch wirklich den Code für die Entschlüsselung bekommt.“
Umgehend werden externe Fachleute hinzugezogen, die das unternehmenseigene IT-Team dabei unterstützen, zunächst den Schaden einzugrenzen und das Ausmaß zu beurteilen. Das zuständige Landeskriminalamt wird eingeschaltet und Anzeige gegen Unbekannt erstattet. Auch die zuständige Datenschutzbehörde wird vorschriftsmäßig informiert.
Ein Puzzle mit mehr als 1000 Teilen
Da zunächst völlig unklar ist, durch welche Lücke im Sicherheitssystem der Angriff ausgeführt wurde, müssen sämtliche Hardwaregeräte eingesammelt und einer zentralen Überprüfung unterzogen werden. Erst im Anschluss können die Geräte wieder bespielt und an die Nutzer zurückgegeben werden.
„Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne ein ausgefeiltes ERP-System und unsere IT-Infrastruktur im Hintergrund ist das heute fast unmöglich,“ beschreibt Maximilian Schmidt die Lage. „Und von einem Moment zum anderen war nichts mehr davon verfügbar.“
Einer für Alle, alle für Einen
„Eine der Stärken unserer Organisation, ist die Dezentralität. Wir sind an mehr als 50 Standorten in Europa für unsere Kunden da. Allein das Einsammeln und Versenden der Hardware war eine Sisyphusarbeit,“ führt er weiter aus.
Währenddessen fahren Servicetechniker ohne Laptop raus, Vertriebler halten den Kontakt zu den Kunden mit Hilfe ihres Handys. Es gelingt, die Abläufe vorübergehend auch ohne IT aufrecht zu erhalten. In der Zentrale im oberschwäbischen Baienfurt bei Ravensburg wird währenddessen in mühevoller Kleinarbeit und unter höchstem Zeitdruck Server für Server, Bit für Bit gescannt und gereinigt.
Vier Wochen nach der Attacke ist an allen Standorten wieder ein eingeschränkter Betrieb möglich, die Hardware größtenteils wieder einsatzbereit.
„Eine solche Attacke kann heutzutage jedes Unternehmen treffen. In der Tat ist es in Deutschland längst keine Frage mehr ob, sondern vielmehr wann,“ ist sich Andreas Mendrzyk, Leiter IT bei Kiesel, sicher. „Neben der Suche nach der Ursache war für uns schnell eines klar: so eine Attacke kann uns jederzeit wieder treffen. Es bleibt uns nur, uns für solche Ereignisse besser zu wappnen, so dass Eindringlinge möglichst wenig Schaden anrichten können. Deshalb nutzen wir die gewonnenen Erkenntnisse dazu, unsere Abwehr völlig neu zu konzipieren und setzen dabei auf modernste Technik und nicht zuletzt die Sensibilisierung jedes einzelnen Mitarbeiters,“ führt er weiter aus. „Uns ist bewusst, dass dieser Prozess ist im Grunde nie vollendet sein wird.“
Aus Schaden lernen
„Der Angriff traf uns in einem Moment, als wir dachten, wir hätten die Corona-Krise mit einem blauen Auge überstanden,“ resümiert der geschäftsführende Gesellschafter Toni Kiesel. „Gerade erst hatten wir die Mitarbeiter aus dem Home-Office und der Kurzarbeit zurück an die Arbeitsplätze holen können und wollten für den Rest des Jahres 2020 Vollgas geben. Doch von einem Moment auf den anderen ging plötzlich gar nichts mehr. Ohne IT steht die moderne Wirtschaft still, da brauchen wir uns nichts vor zu machen.
Dennoch bin ich nach wie vor ein Verfechter der Digitalisierung“, so Toni Kiesel weiter. „Aber man muss die Spielregeln kennen und danach handeln. Wir haben für uns die notwendigen Direktiven bereits definiert. Ausnahmen wird es hier in Zukunft keine mehr geben.
Als Unternehmer kann man von Glück sagen, wenn man seine Organisation sicher durch eine solche Krise führen und daraus lernen kann. Dieses Wissen möchten wir in der Zukunft weitergeben, um andere vor solchen Ereignissen zu warnen. Deshalb werden wir diesem Thema im Rahmen der Zukunftskonferenz BAM (Bits and Machines), die Ende Januar 2021 zum zweiten Mal im Coreum stattfinden wird, entsprechend Raum einräumen. Schließlich ist das ein Gebiet, auf dem wir durchaus etwas zu berichten haben.“
von Redaktion
Erschienen in Ausgabe: online