"Es ist wie ein Hausbrand", so Otto Kirchner, Geschäftsführender Gesellschafter der Fränkischen Rohrwerke. "Jeder weiß, dass es passieren kann, aber man hofft, dass es den Nachbarn erwischt. Keiner denkt doch, dass man es selbst sein könnte." Mit schonungsloser Offenheit - auch sich selbst und seiner Firma gegenüber - informierte Kirchner zusammen mit Peter Schmitt, Leiter der Abteilung Zentrale Dienstleistungen des Königsberger Unternehmens, in einer gemeinsamen virtuellen Veranstaltung mit der IHK über den Hacker-Angriff, der Ende März auf die "Fränkische" verübt wurde.
Die Nacht vom 24. auf den 25. März dieses Jahres werde er niemals vergessen. Da klingelte nachts um ein Uhr das Telefon. Die knappe Nachricht lautete: "Alle Systeme blockiert, alle Daten verschlüsselt." In dem Moment, so Kirchner, habe er das Gefühl gehabt, "jemand zieht einem den Teppich unter den Füßen weg. So als wäre der große Stecker rausgezogen worden und wir haben weltweit einen Stromausfall. Mir war sofort klar: Das wird ein Genickschlag". Beinahe alle Anwendungen im Unternehmen waren betroffen, so Kirchner. Noch in der Nacht sei versucht worden, alle Systeme runterzufahren und zu retten, was zu retten war.
22 Produktionsstätten weltweit lahmgelegt
Peter Schmitt konkretisierte den Ablauf, mit dem das Unternehmen versuchte, sich gegen den massiven Angriff zu wehren. Weltweit 22 Produktionsstätten seien ja mit der Zentrale in Königsberg verbunden. Deshalb war von dem Angriff auf das Hauptquartier nicht nur der Standort Königsberg betroffen. Nach 22 Uhr seien erste Auffälligkeiten in den IT-Systemen gemeldet worden. Es galt, schnell Kontakt mit dem Produktionsbereich herzustellen. Bereits mitten in der Nacht wurden die Leitenden Angestellten aus den Betten geklingelt. Durch ein weltweites Runterfahren der Infrastruktur versuchte das Personal, die Ausbreitung der Schadsoftware zu unterbinden. Es erfolgte ein komplettes Abtrennen des Unternehmens nach außen.
Ab 3 Uhr in der Nacht war die komplette IT-Abteilung im Haus. Es folgte eine erste Lagebesprechung. Relativ zügig konnte auch ein schnell verpflichteter spezialisierter externer Dienstleiter eine erste Lageeinschätzung abgeben und die nächsten Schritte einleiten, berichtete Peter Schmitt. Um Mitternacht schaltete die "Fränkische" die Polizei ein, um 4 Uhr trafen die Beamten ein. Die erste Analyse brachte eine verheerende Erkenntnis. Sämtliche 22 Standorte weltweit und alle Geräte, die mit Windows als Betriebssystem laufen, waren betroffen. Die gesamte Kommunikation war ausgefallen, keine Mail, kein Telefon. Nur noch über Mobilfunk und Messenger konnte Kontakt aufgenommen werden.
Erschwerend kam hinzu, dass die Hacker im Coronavirus einen üblen Verbündeten besaßen. Denn viele Mitarbeiter arbeiteten in dieser Zeit wegen der Pandemie im Homeoffice. Das war natürlich nun nicht mehr möglich, alle mussten zurück in die Firma. Das bedeutete, dass alle Beschäftigten sich jeden Morgen freiwillig einem Coronatest unterzogen, um kein Risiko einzugehen. Aber wie sollten Kontakte zu den Standorten in der ganzen Welt und zu den Kunden aufgebaut werden? Hier sprangen die Mitarbeiter ein, stellten ihre privaten Mailkonten und Rechner zur Verfügung. Teils wurden Papiere eingescannt und über die privaten Rechner transferiert. "Da zeigt sich, ob ein Unternehmen einen guten Charakter hat", so Otto Kirchner. "Ich kriege heute noch eine Gänsehaut, wenn ich daran denke."
Es musste jedoch nicht nur der technische Neuaufbau - "allem alten haben wir nicht mehr vertraut" - organisiert werden. Gewerbeaufsichtsamt und Betriebsrat sollten grünes Licht geben, damit die gesetzlichen Arbeitsvorschriften zum Teil außer Kraft gesetzt werden konnten. Nur so war es der Belegschaft überhaupt möglich, die Rückstände wieder aufzuholen. Insgesamt verzeichnete das Unternehmen einen Produktionsausfall von "nur" einer Woche, so Peter Schmitt. Und obwohl das Unternehmen im Drei-Schicht-Betrieb arbeitete und über Ostern die Herkulesaufgabe – so Kirchner – der Neuinstallation aller Rechner durchgepeitscht wurde, erstreckte sich zweimal die Schlange der Lastwagen, die auf eine Abfertigung in Königsberg warteten, auf über einen Kilometer Länge.
Produktionsausfall von einer Woche
Nach und nach gelang es den IT-Spezialisten der "Fränkischen", die Systeme wieder hochzufahren, wobei sich die vorhandenen Backup-Dateien sowie die geringe Betroffenheit und schnelle Wiederherstellung der ERP-Systeme als elementare Bausteine erwiesen, um die Systeme "wieder vernünftig und schnell zum Laufen zu bringen", erklärte Schmitt. Wichtig war auch, dass der Kontakt zu den Kunden nie wirklich abgerissen war. Durch die gewaltigen Anstrengungen aller Beteiligter waren schon sieben Kalendertage nach dem Überfall Mitarbeiter wieder am System mit Kernanwendungen tätig. Und rund vier Wochen nach dem Angriff konnten schon über 95 Prozent der weltweit Beschäftigten wieder im Betrieb oder anderweitig arbeiten.
Lösegeldzahlung war keine Option
Otto Kirchner unterstrich, dass die Unternehmensführung niemals auch nur daran gedacht hatte, etwaigen Lösegeldforderungen der Verbrecher nachzugeben. Dies habe auch die Kriminalpolizei so empfohlen. Die Zusammenarbeit mit den Cyberexperten der Polizei bezeichnete Peter Schmitt als "wirklich gut und konstruktiv". Schmitt rechnete den Beamten hoch an, dass auch für sie der Wiederaufbau der in Mitleidenschaft gezogenen Systeme Vorrang vor Ermittlungen hatten. Neu überprüfen, so Kirchner, werde man auch das Thema Versicherung. Aber die Prämien für eine solche seien pro Jahr sechsstellig und es gebe immer wieder Weigerungen der Gesellschaften, zu bezahlen.
Die Gretchenfrage des Angriffs, nämlich wie gelang den Hackern der Zugriff auf die Systeme des Unternehmens, kann jedoch noch immer nicht beantwortet werden. "Die Hacker sind so clever", erläuterte Kirchner, "dass wir nicht wissen, wie sie reingekommen sind. Man denkt, man ist gut aufgestellt, aber selbst wenn man gut aufgestellt ist: Das ist wie der permanente Wettlauf zwischen Hase und Igel. Wir haben nicht gedacht, dass die Gefahr so groß ist. In Deutschland gibt es Hunderttausende von Firmen, warum sollte es ausgerechnet uns treffen?"
Simulierte Hacker-Angriffe
Die Fränkischen Rohrwerke haben inzwischen gehandelt. Das neue Sicherheitskonzept sieht neben einer Sensibilisierung aller Mitarbeiter für das Thema IT-Sicherheit – das beginnt zum Beispiel beim Musikhören aus dem Internet – vor, in noch kürzeren Zyklen die Sicherheitssysteme kontinuierlich anzupassen und zu überprüfen. Dazu zählen künftig auch regelmäßige Angriffssimulationen von Dienstleistern, die eine Hacker-Attacke von außen ernsthaft versuchen, um etwaige Lücken im System erkennen und beseitigen zu können.
Otto Kirchner fasste seine aus der Attacke gewonnenen Erkenntnisse als Appell an alle Verantwortlichen in Unternehmen zusammen: "Man muss sich im Klaren sein, die IT ist das Hirn des Organismus. Wenn es ausgeschaltet ist, ist der Organismus bewusstlos. Wir waren vorbereitet, aber wir haben uns nicht so gut vorbereitet, wie wir es hätten tun können. Daher meine Empfehlung: Die Sicherheit der IT geht über alles. Man muss ständig überprüfen, versuchen lassen, seriös von außen in die Firma reinzuhacken. Denn ein solcher Angriff kann, wenn er länger dauert, einem Unternehmen durchaus das Genick brechen und die Firma in den Ruin treiben."
