Es ist halb sieben Uhr morgens an einem Freitag, als Promotech-Geschäftsführer Michael Benninger einen Anruf von einem seiner Mitarbeiter bekommt – es gebe technische Probleme durch einen Cyberangriff. „Mein erster Gedanke war: „Das haben wir jetzt nötig“, erinnert sich Benninger. Zu diesem Zeitpunkt ahnt er noch nicht, wie dramatisch die Lage ist. „Nach einer ersten Sichtung um sieben Uhr zeigte sich, dass wir uns in einer kritischen Situation befinden, ein Zugriff auf Mails und die internen IT-Systeme war nicht mehr möglich“. Das Unternehmen stellt auf Krisenmodus um. „Ziel war es, bestmöglich die Infrastruktur zu retten und neu aufzubauen“, sagt Benninger, „mir war schnell klar, dass wir das alleine nicht schaffen“. Doch der externe IT-Partner des 300 Mitarbeiter:innen großen Unternehmens kann trotz Vertrag aufgrund fehlender Kapazitäten nicht helfen und will als Ersatz ein Subunternehmen suchen. Benninger: „Ich habe mich dann selbst über mein Netzwerk nach einem österreichischen Spezialisten für den Wiederaufbau nach Cyberattacken umgehört und bin auf TEMS Security gekommen.“ 

Trotz umfassender Sicherheitsmaßnahmen gehackt 

Nach einem kurzen Erstgespräch mit TEMS-CEO Philip Berger beschließt dieser, Michael Meixner, Managing Director der TEMS Security Services, mit dem Fall zu betrauen. „Wir haben uns zuerst remote ein Bild von der Lage gemacht, und sofort realisiert, dass es wirklich nicht gut aussieht“, erinnert sich Meixner. Es handelt sich um einen klassischen Ransomware-Angriff: Dabei verschlüsseln Hacker:innen wertvolle Daten und fordern für die Freigabe Lösegeld. Meixner: „Die Täter:innen haben auf den Servern ihre Kontaktdaten für Verhandlungen hinterlassen“. Der Experte macht sich sofort auf den Weg ins Innviertel. 

Währenddessen gibt es eine Anleitung mit den ersten Schritten für Promotech. Dort werden alle Führungskräfte zu einer Notfallsitzung einberufen und die Mitarbeiter:innen im Officebereich – der ohnehin stillsteht – nach Hause geschickt. „Als erstes gilt es herauszufinden, wie weit der Angreifer vorgedrungen ist, welche Daten zerstört wurden, wie wichtig diese Dateien sind, und was er nicht gefunden hat“, sagt Berger. Promotech war nicht unvorbereitet und wurde, trotz vorherige Audits von externen Partnern, gehackt. Dennoch waren die Sicherheitsmaßnahmen nicht umsonst: Die wichtigsten Bereiche waren durch Backups gesichert, die von der restlichen IT abgekoppelte Produktionslinie konnten von den Angreifer:innen nicht erfolgreich infiltriert werden. Deswegen musste man auch nicht in Lösegeldverhandlung mit den Cyberkriminellen treten. „Durch die gewissenhaften Vorbereitungen und eine gut aufgestellte IT-Abteilung von Promotech war das nicht notwendig, aus meiner Sicht kommt es immer darauf an, ob aktuelle und funktionierende Backups von den Daten vorhanden sind, oder nicht“, sagt Meixner.

Offene und direkte Kommunikation mit allen Stakeholdern

Nach einem ersten Überblick über die Lage sei die nächste Priorität, einen gemeinsamen Schlachtplan für die nächsten Tage auszuarbeiten, durch den die Systeme wieder online gehen sollen. Besonders wichtig ist es meist, die Kontrolle über das Active Directory – das Herzstück der meisten IT-Systeme – zurückzuerlangen. „Als Experten nehmen wir in dieser Phase auch die Rolle als Bindeglied zwischen Management und IT-Leitung ein, um das Schiff vorerst über Wasser zu halten.“ Wichtig ist aus Sicht der TEMS Security eine offene und direkte Kommunikation, es gehe darum, die Situation nicht zu beschönigen. „Wir kommen nur weiter, wenn die Fakten auf dem Tisch liegen.“ 

Offene Kommunikation war auch der Ansatz von Promotech im Umgang mit den Kunden. „Wir haben über den aktuellen Stand informiert, und dass wir weiter liefern können, da die Produktionslinie nicht betroffen ist“, sagt Benninger. Für ihn sei es selbstverständlich gewesen, alle Stakeholder – von Mitarbeiter:innen über Lieferanten bis hin zu den Kunden – ins Boot zu holen. „Wenn du in der Situation etwas verheimlichst, dann kommt es nur zu Mutmaßungen.“ Das Verständnis unter Lieferanten und Kunden sei groß gewesen. „Für alle Unternehmen ist so ein Vorfall eine Ausnahmesituation, zum Glück haben wir erlebt, dass da zusammengehalten wird.“

„Bei Mitarbeiter:innen und TEMS Security bedanken“ 

Laut Meixner habe es TEMS Security noch jedes Mal innerhalb von 24 bis 48 Stunden geschafft, die Hoheit über das Active Directory zurückzuerlangen. „Wenn die Hacker draußen sind, gilt es zu überprüfen, ob es noch Hintertüren gibt, danach werden die ersten Systeme wieder hochgezogen.“ Auch das ERP-System von Promotech war vier Tage nach dem Vorfall wieder online. Bis dahin wurde jedoch von TEMS Security-Spezialisten und der internen IT-Abteilung frühmorgens bis spät in die Nacht gearbeitet und Überstunden geleistet. „Das ist nicht selbstverständlich, dafür möchte ich mich von Herzen bei TEMS Security und meinen Mitarbeiter:innen bedanken, sie waren der Schlüssel zur Lösung der Krise.“ 

Wer die Täter:innen in diesem Fall waren, ist laut TEMS Security nicht mehr feststellbar, nachdem es nicht notwendig war, mit den Kriminellen in Kontakt zu treten. „Es hat sich aber auf jeden Fall um eine Hackergruppe gehandelt, da Einzelpersonen nicht das Fachwissen haben, so tief vorzudringen und so viel Schaden anzurichten.“ Für Berger ist es nur eine Frage der Zeit, bis Unternehmen zur Zielscheibe werden. „Die Cyberkriminellen brauchen nur eine Schwachstelle finden“, sagt er. Jedoch müsse auch die IT-Security in einem Unternehmen richtig umgesetzt werden. Oftmals seien IT-Security-Projekte keine Lieblingsprojekte für das Management und die Mitarbeiter:innen, da diese außerhalb der Komfortzone liegen. „Man kann nicht einfach ein Template nehmen und bei unterschiedlichen Unternehmen anwenden, da alle mit unterschiedlichen IT-Systemen arbeiten“. 

Jede Herausforderung annehmen

„Ohne TEMS Security als Lebensversicherung wäre der Vorfall extrem teuer geworden“, sagt Benninger. Er ist davon überzeugt, dass sein Unternehmen gestärkt aus der Krise gegangen ist. „Man muss als Unternehmer jede Herausforderung annehmen und nach vorne schauen“, sagt er. Auch in der Coronakrise gab es durch eine vorübergehend nicht ausgelastete Produktion die Möglichkeit, die Technik weiter zu optimieren. „Dadurch haben wir letztlich weiterwachsen können.“ Den Hackerangriff nahm Benninger als Anlass, weiter in neue Security-Konzepte mit TEMS zu investieren. „Wir verbessern uns laufend weiter“, sagt er, „es wäre vermessen, als Unternehmen zu glauben, man müsse sich nicht anpassen.“ IT und Digitalisierung wurde bereits vorher bei Promotech als wichtiges strategisches Feld identifiziert. „Nun werden wir uns mit noch mehr Ressourcen auf den Bereich konzentrieren.“ Der Geschäftsführer empfiehlt Unternehmen, für den IT-Security-Bereich mit Spezialisten zusammenzuarbeiten. „Viele IT-Dienstleister funktionieren für den täglichen Alltag gut, aber nicht bei Security-Themen. Am besten, man geht gleich zu Profis.“_