Das Innviertler Kunststoff- und Metallverarbeitungsunternehmen Promotech
                verlor durch einen Hackerangriff vorübergehend sämtlichen Zugriff auf
                die eigene IT. Durch umfassende Vorbereitung, schnelles Handeln
                und die Unterstützung der TEMS Security konnte man die
                Krise überstehen – und sogar gestärkt aus ihr gehen.


            Es ist halb sieben Uhr morgens an einem Freitag,   Dennoch waren die Sicherheitsmaßnahmen nicht
            als Promotech-Geschäftsführer Michael Bennin-  umsonst: Die wichtigsten Bereiche waren durch
            ger einen  Anruf von  einem seiner  Mitarbeiter   Backups gesichert, die von der restlichen IT ab-
            bekommt – es gebe technische Probleme durch   gekoppelte Produktionslinie konnten von den An-
            einen Cyberangri . „Mein erster Gedanke war:   greifer:innen nicht erfolgreich in ltriert werden.
            „Das haben wir jetzt nötig“, erinnert sich Ben-  Deswegen musste man auch nicht in Lösegeld-
            ninger. Zu diesem Zeitpunkt ahnt er noch nicht,   verhandlung mit den Cyberkriminellen treten.
            wie dramatisch die Lage ist. „Nach einer ersten   „Durch die gewissenhaften  Vorbereitungen und
            Sichtung um sieben Uhr zeigte sich, dass wir uns   eine gut aufgestellte IT-Abteilung von Promotech
            in einer kritischen Situation be nden, ein  Zu-  war das nicht notwendig, aus meiner Sicht kommt
            gri  auf Mails und die internen IT-Systeme war   es immer darauf an, ob aktuelle und funktionie-
            nicht  mehr  möglich“.  Das  Unternehmen  stellt   rende  Backups  von  den Daten  vorhanden sind,
            auf Krisenmodus um. „Ziel war es, bestmöglich   oder nicht“, sagt Meixner.
            die Infrastruktur zu retten und neu aufzubauen“,
            sagt Benninger, „mir war schnell klar, dass wir   Offene und direkte Kommunikation
            das alleine nicht scha en“. Doch der externe IT-  mit allen Stakeholdern
            Partner des 300 Mitarbeiter:innen großen Unter-
            nehmens kann trotz Vertrag aufgrund fehlender   Nach einem ersten Überblick über die Lage
            Kapazitäten nicht helfen und will als Ersatz ein   sei die nächste Priorität, einen gemeinsamen
            Subunternehmen suchen. Benninger: „Ich habe   Schlachtplan für die nächsten Tage auszuarbei-
            mich dann selbst über mein Netzwerk nach ei-  ten, durch den die Systeme wieder online gehen
            nem österreichischen Spezialisten für den Wie-  sollen. Besonders wichtig ist es meist, die Kont-
            deraufbau nach Cyberattacken umgehört und   rolle über das Active Directory – das Herzstück
            bin auf TEMS Security gekommen.“            der meisten IT-Systeme – zurückzuerlangen. „Als
                                                        Experten nehmen wir in dieser Phase auch die
            Trotz umfassender                           Rolle als Bindeglied zwischen Management und
            Sicherheitsmaßnahmen gehackt                IT-Leitung ein, um das Schi  vorerst über Wasser
                                                        zu halten.“ Wichtig ist aus Sicht der TEMS Secu-
            Nach einem kurzen Erstgespräch mit  TEMS-   rity eine o ene und direkte Kommunikation, es
            CEO  Philip  Berger  beschließt  dieser,  Michael   gehe darum, die Situation nicht zu beschönigen.
            Meixner, Managing Director der TEMS Security   „Wir kommen nur weiter, wenn die Fakten auf
            Services, mit dem Fall zu betrauen. „Wir haben   dem Tisch liegen.“
            uns zuerst remote ein Bild von der Lage gemacht,
            und sofort realisiert, dass es wirklich nicht gut   O ene Kommunikation war auch der Ansatz von
            aussieht“, erinnert sich Meixner. Es handelt sich   Promotech im Umgang mit den Kunden. „Wir
            um einen klassischen Ransomware-Angri : Da-  haben über den aktuellen Stand informiert, und
            bei verschlüsseln Hacker:innen wertvolle Daten   dass wir weiter liefern können, da die Produkti-
            und fordern für die Freigabe Lösegeld. Meixner:   onslinie nicht betro en ist“, sagt Benninger. Für
            „Die  Täter:innen haben auf den Servern ihre   ihn sei es selbstverständlich gewesen, alle Stake-
            Kontaktdaten für  Verhandlungen hinterlassen“.   holder –  von Mitarbeiter:innen über Lieferan-
            Der Experte macht sich sofort auf den Weg ins   ten bis hin zu den Kunden – ins Boot zu holen.
            Innviertel.                                 „Wenn du in der Situation etwas verheimlichst,
                                                        dann kommt es nur zu Mutmaßungen.“ Das Ver-
            Währenddessen gibt es eine Anleitung mit den   ständnis unter Lieferanten und Kunden sei groß
            ersten Schritten für Promotech. Dort werden alle   gewesen. „Für alle Unternehmen ist so ein Vorfall
            Führungskräfte zu einer Notfallsitzung einberu-  eine Ausnahmesituation, zum Glück haben wir
            fen und die Mitarbeiter:innen im O cebereich –   erlebt, dass da zusammengehalten wird.“
            der  ohnehin stillsteht  – nach  Hause geschickt.
            „Als  erstes gilt  es  herauszu nden,  wie  weit  der   „Bei Mitarbeiter:innen und
            Angreifer vorgedrungen ist, welche Daten zer-  TEMS Security bedanken“
            stört wurden, wie wichtig diese Dateien sind,
            und was er nicht gefunden hat“, sagt Berger. Pro-  Laut Meixner habe es TEMS Security noch jedes     Text  Valentin Lischka
            motech war nicht unvorbereitet und wurde, trotz   Mal innerhalb von 24 bis 48 Stunden gescha t,   Foto  Gettyimages,
            vorherige Audits von externen Partnern, gehackt.   die Hoheit über das Active Directory zurück-  Marcel Lehner,
                                                                                                       Doris Himmelbauer

                                                                                            53