Der unsichtbare Feind
Wie ein Angriff aus dem Darknet den Baumaschinenhändler Kiesel fast die Existenz gekostet hätte
BAIENFURT/STUTTGART/WALDBURG - Die Angreifer kamen nachts und sie kamen lautlos. Nicht mit Brecheisen und Hammer verschaffen sie sich Zutritt zur Kiesel-Gruppe aus Baienfurt im Landkreis Ravensburg. Es braucht nur eine EMail mit Anhang – und einen Mitarbeiter, der diesen Anhang aus Versehen öffnet. Für das, was in den Wochen und Monaten danach geschieht, findet Maximilian Schmidt, Geschäftsführer des Baumaschinenhändlers, auch heute nur noch drei Worte: „Ein einziger Alptraum.“
Die Kiesel-Gruppe wird am 11. Juni 2020 Opfer einer raffinierten Hackerattacke, eines sogenannten Ransomware-Angriffs (zu Deutsch: Erpressungssoftware). Der Termin ist gut gewählt. Es ist Fronleichnam, in den meisten deutschen Bundesländern ein Feiertag. Ein Großteil der Kiesel-Belegschaft genießt den freien Tag, als sich die Angreifer unbemerkt im System der Unternehmensgruppe ausbreiten, den Virenschutz deaktivieren, Daten verschlüsseln und Backups unbrauchbar machen.
Am Morgen des 12. Juni bemerkt ein Mitarbeiter der IT-Abteilung eine Anomalie und schlägt Alarm. Sofort wird ein Krisenstab einberufen. Dieser beschließt, das gesamte ITSystem des Unternehmens vom Netz zu trennen und die Server herunterzufahren. Mehr als 1000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen sind betroffen.
Als die Infrastruktur eingehender untersucht wird, wird das Ausmaß des Schadens sichtbar: Weite Teile der IT, allen voran das zentrale ERPSoftwaresystem, quasi das Rückgrat des Unternehmens, in dem alle Kernbereiche wie Finanzen, Personalwesen, Fertigung, Logistik, Services und Beschaffung zusammenlaufen, sind verschlüsselt. Computer, Laptops, Server, Telefone – nichts funktioniert mehr.
„Your network was hacked“, teilen die Angreifer per anonymer Bildschirmnachricht dem konsternierten Kiesel-Krisenteam mit. Zu Deutsch: „Ihr Netzwerk wurde gehackt.“Kurz danach melden sich die Erpresser und fordern Kiesel auf, 500 Bitcoins Lösegeld zu zahlen – zu damaligen Kursen knapp 4,7 Millionen US-Dollar oder 3,9 Millionen Euro. Die Kontaktaufnahme und weitere Kommunikation, ließen die anonymen Hacker wissen, habe über das Darknet zu erfolgen.
Am Sonntag – Tag drei nach der Attacke – sitzen die Kiesel-Geschäftsführung, der IT-Krisenstab, Spezialisten von Polizei und Bundeskriminalamt sowie der Zentralen Ansprechstelle Cybercrime (ZAC) in Baienfurt zusammen und beraten über das weitere Vorgehen. Man entscheidet, auf Zeit zu spielen, das Lösegeld nicht zu zahlen – „zumal es keinerlei Gewähr gibt, dass die Erpresser nach der Bezahlung den Code für die Entschlüsselung auch wirklich herausrücken“, erklärt Schmidt.
Parallel dazu wird mithilfe externer Spezialisten versucht, in der Zentrale in Baienfurt die IT der Gruppe wieder flottzumachen. Server für Server wird in mühevoller Kleinarbeit und unter höchstem Zeitdruck gescannt und gereinigt. Da zunächst unklar ist, durch welche Lücke im Sicherheitssystem der Angriff ausgeführt wurde, werden auch sämtliche Hardware-Geräte der 50 Standorte eingesammelt, nach Baienfurt geschickt und zentral überprüft. „Allein das war eine Sisyphusarbeit“, erinnert sich Schmidt.
Die IT-Abteilung des Unternehmens sieht zu diesem Zeitpunkt aus wie ein Tatort im Kriminalfilm: Hermetisch abgeriegelt und mit Flatterband gesichert. Nur befugte Mitarbeiter haben Zutritt zu den Räumlichkeiten, in denen sich die Hardware der Gruppe stapelt.
Währenddessen versuchen die Mitarbeiter, den operativen Betrieb, so gut es geht, aufrechtzuerhalten. „Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne eine ausgefeilte Softwarelösung und die entsprechende IT-Infrastruktur im Hintergrund ist das heute fast unmöglich“, beschreibt Schmidt den Normalzustand. „Und von einem Moment zum anderen war nichts davon verfügbar.“Also fahren die Servicetechniker ohne Laptop raus, Papier und Bleistift müssen den Rechner ersetzen. Und die Vertriebler halten den Kontakt zu den Kunden mithilfe ihrer privaten Handys. Es gelingt, die Abläufe vorübergehend auch ohne IT aufrechtzuerhalten.
Doch je mehr Zeit verstreicht, desto prekärer wird die Lage. In der Zentrale in Baienfurt arbeitet man zusammen mit den Banken fieberhaft daran, zumindest die Auszahlung der Juni-Gehälter sicherzustellen. Vor allem das verschlüsselte ERP-System, auf das Kiesel seit dem 11. Juni nicht mehr zugreifen kann, bereitet Kopfzerbrechen. Zwischenzeitlich, gesteht Schmidt, wird in Erwägung gezogen, das Lösegeld doch zu bezahlen.
Dann, ein erster Lichtblick: Aus dem Daten-Papierkorb kann doch noch eine Sicherungskopie des ERPSystems rekonstruiert werden. Eine Fahrlässigkeit der Erpresser rettet Kiesel das Überleben. Wochen nach dem Angriff gelingt es, die Software zumindest am Hauptsitz in Baienfurt
zum Laufen zu bringen – isoliert vom Firmennetzwerk. Nach zwei Monaten funktioniert ein rudimentäres Testsystem. Und es dauert fast ein Jahr, bis die IT der Kiesel-Gruppe wieder richtig rundläuft.
Währenddessen gehen die Ermittlungen gegen den unsichtbaren Feind weiter. Erste Spuren führen in ein Internetcafé nach Holland. Doch bald stellt sich heraus, dass von dort nur der Angriff ausgeführt, das Internetcafé selbst ebenfalls gehackt wurde. Weitere Recherchen von Polizei und Bundeskriminalamt machen einen Server in Russland aus. Dann verliert sich die Spur. „Die Erpresser
hatten uns gleich zu Beginn mitgeteilt, dass wir gern mit den Behörden kooperieren könnten. Das würde ihnen nichts ausmachen. Sie seien besser“, berichtet Schmidt. Sie sollten recht behalten. Knapp zwei Wochen ist es her, als Kiesel die Nachricht bekam, dass die Polizei ihre Ermittlungen eingestellt habe.
Was bleibt, ist ein Millionenschaden und die bittere Erkenntnis, dass sich eine solche Attacke jederzeit wiederholen kann. Für diesen Fall hat sich Kiesel aber gewappnet. „Wir haben unsere Abwehr danach völlig neu konzipiert“, erzählt Schmidt. Zusätzliche Sicherheitsmaßnahmen wurden eingeführt – angefangen von einer Multifaktor-Authentifizierung, wie es beispielsweise im Onlinebanking üblich ist, über eine Netzwerksegmentierung und eine vollständige Entkoppelung der Backup-Systeme von der IT bis hin zu einem erweiterten Virenschutz. Zudem wurden die Mitarbeiter für das Thema Cyberangriffe sensibilisiert und ein Notfallplan erstellt, der detailliert auflistet, was nach einem
Hackerangriff zu tun ist.
Das alles ist ein immenser finanzieller und administrativer Aufwand, doch die Maßnahmen scheinen sich auszuzahlen. „Wir hatten seitdem weitere fünf, sechs Cyberangriffe, die wir dank der nun deutlich höheren Sicherheitsstandards alle abwehren konnten“, sagt Schmidt.
Die Erkenntnis, dasss es notwendig ist, sich gegen die immer häufigeren Angriffe aus dem Netz wirksam zu schützen und dafür auch Geld in die Hand zu nehmen, verfängt in vielen mittelständischen Unternehmen aber noch nicht. „Man weiß um die Gefahr, will dafür aber kein Geld ausgeben“, berichtet Marco Zuzak, Chef des Rechenzentrumbetreibers Abakus aus Waldburg (Landkreis Ravensburg). Zuzak versteht diese Denke nicht. Denn die 300 oder 400 Euro, die ein Backup der Unternehmenssoftware in einem hochmodernen und von der Firmen-IT komplett entkoppelten Rechenzentrum kostet, stünden in keinem Verhältnis zum möglichen Schaden, den ein erfolgreicher Cyberangriff verursacht.
Vor allem im inhabergeführten Mittelstand würde der Kostenaspekt die Datensicherheit noch immer überwiegen. In managergeführten Firmen sei es hingegen andersherum – „weil sich die Unternehmenslenker sonst angreifbar machen“, sagt Zuzak. Wie real die Gefahr eines Cyberangriffs inzwischen ist, illustriert der AbakusChef an einer einzigen Zahl: Rund 22 000 schadhafte E-Mails fängt der IT-Dienstleister für seine rund 100 Rechenzentrum-Kunden ab – täglich.
Dass die Bedrohung zunimmt, bestätigt auch Armin Kisling von der Zentralen Ansprechstelle Cybercrime in Stuttgart. Dort können sich Unternehmen melden, wenn sie Opfer eines Hackerangriffs geworden sind. Kiesling zufolge hätte die Behörde 2017 rund 300 Kontakte gehabt, im vergangenen Jahr waren es schon 800. Die Zahl der Angriffe ist aber viel höher, weil nur ein Teil der Betroffenen sich bei der ZAC meldet. Der wirtschaftliche Schaden geht in die Milliarden. Vor allem bei Ransomware-Attacken würden die Erpresser auch immer perfider vorgehen.
„Die Attacken erfolgen mittlerweile stets zweistufig: Ein erster Angriff hat zum Ziel, das Umfeld des Unternehmens und die IT-Infrastruktur zu erkunden. Dabei erfolgt in der Regel auch ein Upload von Firmendaten. Der eigentliche Angriff, bei dem die IT-Infrastruktur verschlüsselt und außer Gefecht gesetzt wird, geschieht oftmals erst Wochen später – häufig am Wochenende oder an Feiertagen“, berichtet Kisling.
Die Lösegeldforderungen, die in der Regel in Bitcoin erhoben werden, richteten sich dabei an der Leistungsfähigkeit des Unternehmens aus. Teilweise sei die Höhe sogar verhandelbar, sagt der ZAC-Experte, der aber davon abrät, zu zahlen. „Denn es bleibt die Frage, ob damit der Schaden behoben ist. Oftmals werden die zuvor abgegriffenen Daten im Darknet gehandelt. Das gibt anderen Angreifern die Möglichkeit, einen erneuten Erpressungsversuch zu starten.“Kisling bittet betroffene Unternehmen, Cyberangriffe zu melden und so zumindest einen Teil zum Kampf gegen die Computerkriminalität beizutragen – auch wenn die Erfolgsaussichten, den Tätern habhaft zu werden, überschaubar bleiben.
Das sieht inzwischen auch Maximilian Schmidt von der KieselGruppe so. Anfänglich hätte man in der Geschäftsführung noch versucht, die Attacke geheim zu halten. Doch inzwischen geht Kiesel offensiv mit dem Vorfall um und möchte dazu beitragen, es potenziellen Tätern künftig schwerer zu machen, indem sich potenzielle Opfer besser schützen.
Am 21. September veranstaltet die Kiesel-Gruppe zusammen mit der Polizei in Ravensburg eine Informationsveranstaltung zum Thema Cybercrime und die Möglichkeiten der Prävention.