Tittmoning – Lange Ladezeiten, Fehlermeldungen, kein Zugriff auf gewisse Daten: Anhand dieser Warnzeichen wurde im Tittmoninger Unternehmen Siloking am 15. Juni ein Cyber-Angriff bemerkt. Der oder die Täter schleusten sogenannte „Ransomware“ ein – eine Schadsoftware, die den Zugriff auf Daten und Geräte sperrt, Systeme verschlüsselt und ein Lösegeld für die Freigabe verlangt.
Siloking war nicht unvorbereitet
Unmittelbar nach der Entdeckung durch die Sicherheitssysteme wurden sämtliche Rechner im gesamten Unternehmen vom Netz getrennt, um weiteren Schaden zu verhindern. „Wir sind natürlich auf etwaige Forderungen nicht eingegangen und haben sofort die Abteilung für Cybersicherheit des Landeskriminalamts verständigt, während dank des schnellen Einsatzes interner und externer IT-Spezialisten eine Ausweitung auf die internationalen Tochterunternehmen verhindert und die Situation wirksam eingedämmt werden konnte“, erinnert sich Andreas Enzenbach, Leiter für Marketing und Kommunikation bei Siloking. Ein möglicher Datenabfluss wird von IT-Forensikern untersucht, um Umfang und Folgen des Datenverlustes zu prüfen.
Weil für solche Fälle ein vorgesehener interner Notfallplan existiert, wurde das Unternehmen nicht gänzlich kalt erwischt: „Zumindest theoretisch waren wir auf so einen Fall vorbereitet. Der Notfallplan beinhaltet, was Schritt für Schritt zu tun ist: Rechner vom Netz nehmen, Taskforce einsetzen und Kernprozesse für einen Notbetrieb definieren, um geringstmöglichen Schaden für das Unternehmen zu generieren.“
Auf Produktion und Logistik liegt laut Enzenbach das Hauptaugenmerk. Es wird versucht, diese mit höchster Priorität durch Notprozesse aufrechtzuerhalten, um den Ersatzteilverkauf sowie Zahlungsprozesse für die Kunden weiter zu gewährleisten. Bei dem Cyber-Angriff im Juni hatte dies Erfolg: Die ersten Ersatzteile konnten bereits nach drei Tagen wieder ausgeliefert werden. Die Produktion stand de facto drei Tage still, ehe sie fünf Tage nach dem Angriff im Notbetrieb wieder aufgenommen werden konnte.
Ein Schock für
die Mitarbeiter
Trotzdem ist auch heute noch keine Normalität eingetreten, räumt Enzenbach ein: „In den indirekten Bereichen arbeiten wir sicherlich noch zwei, drei Wochen in einer Art Notbetrieb – es dauert, bis alle Rechner wieder einwandfrei laufen. Die Daten müssen gefiltert und derweil mit einem Backup gearbeitet werden.“ Der internationale Hacker-Angriff war ein Schock – auch für die Mitarbeiter. 300 sind am Standort in Tittmoning beschäftigt. „Dass ein nicht-systemrelevantes Unternehmen wie das unsere auf dem Land betroffen ist von einer Cyber-Lösegeldforderung, konnten viele zunächst nicht glauben. Fakt ist aber: Gefeit davor ist niemand, es gibt keine 100-prozentige Sicherheit und es kann jeden treffen“, sagt Enzenbach.
Er weiß, dass es nicht einfach ist, in einer solchen Situation einen kühlen Kopf zu bewahren, weswegen er lobende Worte findet: „Die Mitarbeiter haben auf Abruf alle mitgezogen. Jeder hat versucht, das Beste aus der Lage zu machen – auch, wenn der gewöhnliche Arbeitsalltag nicht möglich war.“
Betriebe sollten Szenarien durchspielen
Wie kann sich ein Unternehmen auf einen Cyber-Angriff vorbereiten? Entscheidend ist für Enzenbach, nachdem Siloking nun selbst Opfer wurde und er aus Erfahrung spricht, solche Szenarien als Unternehmen einmal durchzuspielen, Notfallpläne aus der Schublade zu ziehen und sich diese konkret vor Augen zu halten, sodass man auf alles vorbereitet ist und Ruhe bewahren kann.
„Das Schlimmste wäre, in einen blinden Aktionismus zu verfallen. Kommunikation an die Mitarbeiter und die Öffentlichkeit, Datenschutzverordnungen – da hängt so viel dran. Wer im Moment des Cyber-Angriffs erst anfängt, kommt ins Hudeln. Schließlich gibt es keine Systeme mehr, die reagieren. Daher ist es wichtig – ähnlich wie bei einem Feueralarm – zu üben und eine solche Situation kennenzulernen, um im Ernstfall richtig reagieren zu können.“
Siloking setzt alles daran, positive Aspekte aus dem Vorfall zu ziehen und das Schlamassel umzudrehen: „Wir stellen uns natürlich die Frage, wie wir uns noch besser absichern können oder wie wir unsere internen IT-Systeme in puncto Soft- und Hardware aufbauen müssen, damit wir zukünftig noch besser geschützt sind. Diese Chance, die sich uns dadurch bot, haben wir ergriffen“, sagt Enzenbach.