Wenn Hacker Großkonzerne lahmlegen: Berliner Digital Dialog zeigt erschreckenden Fall und Schutzunwilligkeit der Unternehmen

Das trifft bestimmt einen anderen: Die Bedrohungslage und Schäden  durch Cybergefahren steigen, doch trotzdem verweigern viele Unternehmen selbst einfache Maßnahmen. Dieses Paradox war ein Thema des 4. Berliner Digital Dialog von Allianz Global Corporate & Specialty (AGCS). Das Highlight der Veranstaltung war der Vortrag von Jürgen Hahn, ehemaliger CFO bei Marc O’Polo, der einen Cyberangriff auf sein Unternehmen live erlebte.

Freitagmorgens um 7:00 Uhr gingen im September 2019 beim Kleidungshersteller Marc O´Polo die Lichter aus. Die Kommunikationsmittel waren abgeschnitten, Kassen und Logistik nicht mehr betriebsfähig. Ein Hackerangriff hatte alle Systeme lahmgelegt und verschlüsselt. Das Unternehmen stand kurz davor, seine „aktuelle Kollektion an Partner zu versenden“, als nichts mehr funktionierte.

Der damalige CFO Hahn musste seinen Urlaub unterbrechen und war auf einmal einer der Kapitäne auf einem brennenden Schiff. Gleichzeitig musste IT-Experten kontaktiert und herangebracht, Nahrungs- und Hygienekapazitäten für die Helfer geschaffen und alle kaufmännischen Angelegenheiten geregelt werden. An einem Freitagnachmittag ist das nicht einfach, das Datum des Angriffs war wohl nicht zufällig gewählt.

Simultan mit den genannten Tätigkeiten erfolgte die Abstimmung mit dem Haupteigner, die Sperrung der Geschäftskonten und Gespräche mit den eigenen Anwälten und Steuerbehörden. Insbesondere die letzten Punkte waren entscheiden, denn eine Notlage setzt keine Gesetze und Datenschutzverordnungen außer Kraft. Nach wie vor ist nicht geklärt, wie Zahlungen an Hacker steuerlich zu behandeln sind, denn die Kriminellen „stellen keine Rechnung aus“, wie Hahn betont.

„Wir sahen schnell, dass wir externe Hilfe brauchen“, erklärt Hahn. So wurde beispielsweise ein Verhandlungsführer bestimmt, der für das Unternehmen mit den Hackern kommunizierte. Die Gespräche wären für den gesamten Vorstand „zu emotional“ gewesen, bekennt Hahn. Nachdem der Haupteigner einer Zahlung zustimmte, waren die Probleme allerdings nicht ausgestanden. Die nötige Digitalwährung musste beschafft werden und die Zahlung nach den Wünschen der Kriminellen erfolgen. Zudem blieb das Risiko, dass die Entschlüsselung der Daten nach der Zahlung nicht erfolgte. Der CFO sprach von einer Erlösung, als „klar war, dass der Code zur Entschlüsselung funktionierte“.  

Am dem Angriffstag folgenden Dienstag waren die Systeme wieder teilweise frei. Es dauerte allerdings noch „vier Wochen“ bis das Unternehmen wieder vollkommen Herr über seine Systeme war.

Zu wenig Bewusstsein?

In der seinem Vortrag anschließenden Diskussion erklärte Hahn, dass Marc O´Polo die Investitionen in die IT-Sicherheit nach dem Vorfall „deutlich“ erhöht habe. Dass zu viele Unternehmen dies nicht täten, bemängelte Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in seinem Vortrag ebenso wie in der Diskussionsrunde. „Digitalität ist die Basis unseres Wohlstandes“, erklärte er, gleichzeitig steige die Gefahr durch Cyberangriffe „stetig“. Das Bild des „untersetzten Hackers“, der von seinem Keller aus Cybergrenzen testet, sei überholt. Längst wären das hochspezialisierte Banden, die mehr Geld mit Cyberkriminalität erwirtschaften als mit Drogenhandel.

Das guter Schutz nicht teuer sein muss, erklärte AGCS-Vorständin Bettina Dietsche. „Oftmals reichen einfachste Maßnahmen aus, um Cyberangriffe auf deutsche Unternehmen abzuwehren. In der Praxis können aber gerade einmal zehn Prozent aller deutschen Unternehmen einen Haken hinter die vier wichtigsten Maßnahmen machen“. Wichtig wären die Existenz eines umfassenden und nicht modifizierbaren Backups, das zeitnahe Einspielen von Sicherheitsupdates, regelmäßiges IT-Sicherheitstraining für alle Mitarbeiter und die umfassende Vorbereitung auf den Ernstfall, z.B. in Form eines Cyber Reaktionsplanes. Laut AGCS-Zahlen würde sich das lohnen. Zu jeder vierten in Deutschland verkauften Cyberpolice gibt es im Schnitt einen gemeldeten Schaden. Vor zwei Jahren war es noch jede zehnte Police. Zahlreiche Schadenfälle gingen in die Millionen.

Im Kampf gegen Hacker müsse permanent investiert werden, ohne dass die Gefahr vollends besiegt werden könne, erklärte Thomas Fetten, CEO Deutsche Telekom Security GmbH.

Autor: Maximilian Volz