Der Cyber-Angriff erfolgte an Fronleichnam, den 11. Juni 2020. Auslöser ist ein bösartiger E-Mail-Anhang, der sich zunächst unbemerkt im System ausbreitet und die komplette IT lahmlegt. Alle 50 Standorte der Gruppe in Deutschland, Österreich und Polen sind betroffen.
Untersuchungen der Infrastruktur offenbaren das Ausmaß des Schadens. Weite Teile der IT, allen voran das zentrale ERP-System, sind verschlüsselt. Kurz danach meldet sich der Erpresser mit einer Lösegeldforderung im siebenstelligen Eurobereich, zahlbar in Bitcoins innerhalb von 24 Stunden.
Nicht erpressbar
Doch das Unternehmen lässt sich nicht erpressen. „Es kam für uns zu keinem Zeitpunkt in Frage, auf die Lösegeldforderung einzugehen“, stellt Maximilian Schmidt, Mitglied der Geschäftsleitung und Krisenmanager der Stunde, klar.
Externe IT-Fachleute werden hinzugezogen, um den Schaden zu bewerten und zu beheben. Das zuständige Landeskriminalamt wird eingeschaltet und Anzeige gegen Unbekannt erstattet. Alle Hardwaregeräte werden überprüft – ein immenser Aufwand.
Vier Wochen ohne zentrale IT
Es gelingt, die Abläufe vorübergehend auch ohne IT aufrecht zu erhalten. In der Zentrale im oberschwäbischen Baienfurt werden währenddessen in mühevoller Kleinarbeit und unter Zeitdruck Server für Server, Bit für Bit gescannt und gereinigt. Nach vier Wochen ist an allen Standorten wieder ein eingeschränkter Betrieb möglich, die Hardware größtenteils wieder einsatzbereit.
Es kann jeden treffen
„Eine solche Attacke kann heutzutage jedes Unternehmen treffen. In der Tat ist es in Deutschland längst keine Frage mehr ob, sondern vielmehr wann“, ist sich Andreas Mendrzyk, Leiter IT bei Kiesel, sicher. „Deshalb nutzen wir die gewonnenen Erkenntnisse dazu, unsere Abwehr völlig neu zu konzipieren und setzen dabei auf modernste Technik und nicht zuletzt die Sensibilisierung jedes einzelnen Mitarbeiters.“
Warnen und Gelerntes weitervermitteln
„Der Angriff traf uns in einem Moment, als wir dachten, wir hätten die Corona-Krise mit einem blauen Auge überstanden“, resümiert der geschäftsführende Gesellschafter Toni Kiesel. „Gerade erst hatten wir die Mitarbeiter aus dem Home-Office und der Kurzarbeit zurück an die Arbeitsplätze holen können und wollten für den Rest des Jahres 2020 Vollgas geben. Doch von einem Moment auf den anderen ging plötzlich gar nichts mehr.“
Die Erfahrungen mit der Cyber-Attacke möchte das Unternehmen nun teilen. Toni Kiesel: „Als Unternehmer kann man von Glück sagen, wenn man seine Organisation sicher durch eine solche Krise führen und daraus lernen kann. Dieses Wissen möchten wir weitergeben, um andere vor solchen Ereignissen zu warnen. Deshalb werden wir diesem Thema im Rahmen der Zukunftskonferenz BAM – Bits and Machines –, die Ende Januar 2021 zum zweiten Mal im Coreum stattfinden wird, entsprechend Raum einräumen.“
