Die große IT-Attacke beginnt mit einem Klick. Im Sommer 2016 liest ein Mitarbeiter in der polnischen Niederlassung des Automobilzulieferers Winkelmann eine E-Mail. Arglos öffnet er den Anhang, stammt die elektronische Post dem Anschein nach doch von einem großen deutschen Paketdienst. Doch statt einer Rechnung erscheint ein bösartiger Trojaner, der alle Dateien im gesamten Netzwerk verschlüsselt – und sie erst gegen Lösegeld wieder freizugeben droht.
Den Betriebsablauf des Mittelständlers aus dem westfälischen Ahlen stört das massiv: Das Unternehmen muss einige seiner IT-Systeme herunterfahren, um wieder Herr der Lage zu werden. Das Unternehmen hat aus der Cyberattacke gelernt: „Sollte ein solches Malheur noch einmal vorkommen, haben wir jetzt klare Handlungsanweisungen für den Notfall hinterlegt“, sagt Marcus Gerke, der bei dem Zulieferer die IT verantwortet.
Der Fall Winkelmann hält eine negative und eine positive Botschaft bereit: So machen viele Mittelständler den gleichen Fehler wie das Unternehmen und stellen erst dann einen Notfallplan auf, wenn sie selbst einmal Opfer geworden sind. Wer diesen Fehler allerdings macht, sollte danach möglichst so vorgehen wie Winkelmann.
„Im digitalen Zeitalter sind Computersysteme in alle Unternehmensprozesse eingebunden, sodass es 100-prozentige Sicherheit nicht geben kann“, sagt Wafa Moussavi-Amin, IT-Analyst und Geschäftsführer beim IT-Marktanalyseunternehmen IDC in Frankfurt, zwar. Mindestens so wichtig wie ein guter Schutzwall sei es deshalb, auf den Ernstfall vorbereitet zu sein: Was tun, wenn der Virus im Haus ist?
Erst langsam rückt das Problem bei vielen Unternehmen ins Bewusstsein: Laut einer Studie des Verbands der Internetwirtschaft Eco halten 40 Prozent der Befragten einen Notfallplan für wichtiger als die Sensibilisierung der Mitarbeiter für Cyberangriffe. Nur ein Drittel der deutschen Unternehmen hat tatsächlich einen konkreten Notfallplan festgelegt. Ein weiteres Viertel will einen solchen Plan demnächst angehen.
Auch die seit Ende Mai geltende europäische Datenschutz-Grundverordnung (DSGVO) erfordert ein Umdenken in den Unternehmen: Bricht etwa ein Cyberkrimineller in die Datenbank ein oder hat ein ehemaliger Mitarbeiter Kundendaten via USB-Stick aus der Firma geschmuggelt, besteht Zugzwang: Innerhalb von 72 Stunden ist laut DSGVO diese „Verletzung des Schutzes personenbezogener Daten“ den zuständigen Behörden zu melden.
Marcus Gerke und seine Kollegen bei Winkelmann haben nach der Cyberattacke vor zwei Jahren gemeinsam mit Experten des japanischen Security-Anbieters Trend Micro zunächst die E-Mail-Systeme so aufgerüstet, dass eingehende Nachrichten keinen Schaden mehr anrichten können. Danach haben sie einen detaillierten Notfallplan in Aktenordnern deponiert. Darin sind beispielsweise die detaillierten Schritte festgelegt, mittels derer die IT nach einem Ausfall wieder hochgefahren werden muss: Dort steht zum Beispiel, welche Systeme zu welchem Anlass abgeschaltet werden müssen. Auch spezielle Handlungsvollmachten sind hinterlegt, etwa wer in Krisenfällen bei kurzfristigen Anschaffungen zeichnungsbefugt ist.
Kurzum: Die Winkelmann-Gruppe ist für einen Ernstfall jetzt deutlich besser gerüstet. „Dazu gehört auch, dass wir verpflichtende Weiterbildungskurse über Cyberkriminalität einführen werden“, sagt IT-Leiter Gerke. „Jeder Mitarbeiter muss einmal alle sechs Monate ein solches Training absolvieren.“ Dabei lernt er etwa, wie man E-Mails von betrügerischen Absendern besser erkennt.
Keine Kommunikation, kein Plan
Solche Schulungen und Notfallpläne sind gut angelegtes Geld, denn in Unternehmen kostet ein einstündiger IT-Ausfall im Durchschnitt knapp 41.000 Euro, wie eine Umfrage des Marktforschungsunternehmens Techconsult unter deutschen Mittelständlern ergab. Laut der Studie kommt dies bei jedem Unternehmen im Schnitt vier Mal im Jahr vor. Nicht immer sind Cyberkriminelle schuld: Mal ist es ein Stromausfall, mal ein Wasserschaden, der die IT angreift.
Genau das verhindern will auch Claus Wahl, IT-Chef der deutschen Niederlassung eines internationalen Bauteileherstellers. In seiner Notfallplanung, die er mit dem Dienstleister IT-On-Net erstellt hat, sind unter anderem Kontaktadressen und Handynummern hinterlegt. Dadurch ist der technische Support für die Software im Kundendienst immer erreichbar – und Wahls Personal kann sich im Ernstfall gegenseitig vertreten. „Deshalb sind in unseren Plänen auch solche Details verzeichnet, wie welche Server in welcher Reihenfolge wieder neu gestartet werden müssen. Ein einziger Fehler kann hier komplette Abstürze verursachen“, sagt Wahl.
Die wenigsten Mittelständler sind so gut vorbereitet. „Wir stellen selbst bei größeren Unternehmen immer wieder fest, dass bei einem IT-Ausfall auch nicht mehr telefoniert werden kann, weil die Telefonanlage meist über das IT-Netz läuft“, sagt Kai Grunwitz, Europachef des japanischen IT-Sicherheitsunternehmens NTT-Security. In vielen Firmen lassen sich zudem selbst die elementaren Anwendungen wie Finanzsoftware, Warenwirtschaft oder Personalwesen nicht über die Smartphones abrufen. Wird der Firmenserver getroffen, geht nach einem Angriff in der gesamten Firma nichts mehr.
Der „Notstand in der Notfallplanung“ bei deutschen Unternehmen, wie Grunwitz es nennt, lasse sich auf drei Ebenen beheben: Zuerst gelte es, umfassende Vorbereitungen für den Tag X zu treffen, wozu nicht nur technische Vorkehrungen gehören, sondern auch organisatorische. So sollte man ein konkretes Krisenteam zusammenstellen und einen Kommunikationsplan festlegen. Zweitens müssen die einzelnen Schritte für den Ernstfall benannt werden. „Zudem ist es wichtig, im Anschluss an einen Krisenfall den Ablauf der Ereignisse zu analysieren“, sagt Grunwitz. Denn erst wenn man nach einem Cyberangriff bespreche, was gut und was schlecht gelaufen sei, lerne ein Unternehmen, wie es sich in Zukunft besser wappnen kann, so der Security-Experte. So habe eine Bank, deren Website einmal gehackt wurde, für den erneuten Fall eine Not-Internetseite außerhalb des Unternehmens aufgelegt. Dadurch sind die wichtigsten Informationen für die Kunden auch weiterhin im Netz zu finden.
Tom Polten, IT-Leiter des Logistikunternehmens Rieck, hat sogar gleich einen Teil seiner gesamten IT auf einem gesonderten Server gespiegelt: „Für uns als international agierendes Unternehmen ist die E-Mail-Kommunikation lebenswichtig, deshalb haben wir diesen Teil der IT an einen Partner ausgelagert“, so Polten. Tritt der Ernstfall ein, würde der IT-Dienstleister Hornetsecurity in wenigen Sekunden ein Notfallsystem zur Verfügung stellen, die Kommunikation bleibt gesichert.
Beim Unternehmen Winkelmann fällt das Fazit des Hackerangriffs zwei Jahre später sogar positiv aus: Der falsche Klick in Polen verursachte letztlich nur einen kleinen Schaden – gab dafür aber den Anstoß dafür, sich mit einem Notfallplan auszustatten.
