Page 53 - DIE MACHER_Winter_2023
P. 53
Das Innviertler Kunststoff- und Metallverarbeitungsunternehmen Promotech
verlor durch einen Hackerangriff vorübergehend sämtlichen Zugriff auf
die eigene IT. Durch umfassende Vorbereitung, schnelles Handeln
und die Unterstützung der TEMS Security konnte man die
Krise überstehen – und sogar gestärkt aus ihr gehen.
Es ist halb sieben Uhr morgens an einem Freitag, Dennoch waren die Sicherheitsmaßnahmen nicht
als Promotech-Geschäftsführer Michael Bennin- umsonst: Die wichtigsten Bereiche waren durch
ger einen Anruf von einem seiner Mitarbeiter Backups gesichert, die von der restlichen IT ab-
bekommt – es gebe technische Probleme durch gekoppelte Produktionslinie konnten von den An-
einen Cyberangri . „Mein erster Gedanke war: greifer:innen nicht erfolgreich in ltriert werden.
„Das haben wir jetzt nötig“, erinnert sich Ben- Deswegen musste man auch nicht in Lösegeld-
ninger. Zu diesem Zeitpunkt ahnt er noch nicht, verhandlung mit den Cyberkriminellen treten.
wie dramatisch die Lage ist. „Nach einer ersten „Durch die gewissenhaften Vorbereitungen und
Sichtung um sieben Uhr zeigte sich, dass wir uns eine gut aufgestellte IT-Abteilung von Promotech
in einer kritischen Situation be nden, ein Zu- war das nicht notwendig, aus meiner Sicht kommt
gri auf Mails und die internen IT-Systeme war es immer darauf an, ob aktuelle und funktionie-
nicht mehr möglich“. Das Unternehmen stellt rende Backups von den Daten vorhanden sind,
auf Krisenmodus um. „Ziel war es, bestmöglich oder nicht“, sagt Meixner.
die Infrastruktur zu retten und neu aufzubauen“,
sagt Benninger, „mir war schnell klar, dass wir Offene und direkte Kommunikation
das alleine nicht scha en“. Doch der externe IT- mit allen Stakeholdern
Partner des 300 Mitarbeiter:innen großen Unter-
nehmens kann trotz Vertrag aufgrund fehlender Nach einem ersten Überblick über die Lage
Kapazitäten nicht helfen und will als Ersatz ein sei die nächste Priorität, einen gemeinsamen
Subunternehmen suchen. Benninger: „Ich habe Schlachtplan für die nächsten Tage auszuarbei-
mich dann selbst über mein Netzwerk nach ei- ten, durch den die Systeme wieder online gehen
nem österreichischen Spezialisten für den Wie- sollen. Besonders wichtig ist es meist, die Kont-
deraufbau nach Cyberattacken umgehört und rolle über das Active Directory – das Herzstück
bin auf TEMS Security gekommen.“ der meisten IT-Systeme – zurückzuerlangen. „Als
Experten nehmen wir in dieser Phase auch die
Trotz umfassender Rolle als Bindeglied zwischen Management und
Sicherheitsmaßnahmen gehackt IT-Leitung ein, um das Schi vorerst über Wasser
zu halten.“ Wichtig ist aus Sicht der TEMS Secu-
Nach einem kurzen Erstgespräch mit TEMS- rity eine o ene und direkte Kommunikation, es
CEO Philip Berger beschließt dieser, Michael gehe darum, die Situation nicht zu beschönigen.
Meixner, Managing Director der TEMS Security „Wir kommen nur weiter, wenn die Fakten auf
Services, mit dem Fall zu betrauen. „Wir haben dem Tisch liegen.“
uns zuerst remote ein Bild von der Lage gemacht,
und sofort realisiert, dass es wirklich nicht gut O ene Kommunikation war auch der Ansatz von
aussieht“, erinnert sich Meixner. Es handelt sich Promotech im Umgang mit den Kunden. „Wir
um einen klassischen Ransomware-Angri : Da- haben über den aktuellen Stand informiert, und
bei verschlüsseln Hacker:innen wertvolle Daten dass wir weiter liefern können, da die Produkti-
und fordern für die Freigabe Lösegeld. Meixner: onslinie nicht betro en ist“, sagt Benninger. Für
„Die Täter:innen haben auf den Servern ihre ihn sei es selbstverständlich gewesen, alle Stake-
Kontaktdaten für Verhandlungen hinterlassen“. holder – von Mitarbeiter:innen über Lieferan-
Der Experte macht sich sofort auf den Weg ins ten bis hin zu den Kunden – ins Boot zu holen.
Innviertel. „Wenn du in der Situation etwas verheimlichst,
dann kommt es nur zu Mutmaßungen.“ Das Ver-
Währenddessen gibt es eine Anleitung mit den ständnis unter Lieferanten und Kunden sei groß
ersten Schritten für Promotech. Dort werden alle gewesen. „Für alle Unternehmen ist so ein Vorfall
Führungskräfte zu einer Notfallsitzung einberu- eine Ausnahmesituation, zum Glück haben wir
fen und die Mitarbeiter:innen im O cebereich – erlebt, dass da zusammengehalten wird.“
der ohnehin stillsteht – nach Hause geschickt.
„Als erstes gilt es herauszu nden, wie weit der „Bei Mitarbeiter:innen und
Angreifer vorgedrungen ist, welche Daten zer- TEMS Security bedanken“
stört wurden, wie wichtig diese Dateien sind,
und was er nicht gefunden hat“, sagt Berger. Pro- Laut Meixner habe es TEMS Security noch jedes Text Valentin Lischka
motech war nicht unvorbereitet und wurde, trotz Mal innerhalb von 24 bis 48 Stunden gescha t, Foto Gettyimages,
vorherige Audits von externen Partnern, gehackt. die Hoheit über das Active Directory zurück- Marcel Lehner,
Doris Himmelbauer
53