„Der Angriff hat uns zusammengeschweißt“
Eine Cyber-Attacke legte den Betrieb des B2B Arbeitsplatzausstatters Schäfer Shop still. Fabian Pfütze und Andreas Dietz berichten, wie sie mit ihren Teams das Unternehmen wieder handlungsfähig gemacht haben.
Die Angreifer hatten kurz vor Weihnachten 2022 zugeschlagen. Bei Schäfer Shop im rheinland-pfälzischen Betzdorf stand der übliche Betrieb still. Stattdessen arbeitete das Unternehmen fieberhaft daran, die Attacke zu bewältigen und zu überstehen.
Wir haben mit Fabian Pfütze, dem IT-Leiter von Schäfer Shop, und Andreas Dietz, der in der Geschäftsleitung für Finanzen zuständig ist, über den Vorfall gesprochen, wie sie die Situation gemeistert haben, welche Lehren sie daraus gezogen haben, und was sie anderen Unternehmen raten.
Herr Pfütze, Herr Dietz, wann haben Sie gemerkt, dass etwas nicht stimmt und Sie es mit einem Cyber-Angriff zu tun hatten?
Fabian Pfütze: Der 23. Dezember 2022 war mein erster Urlaubstag und ich war mitten in den Weihnachtsvorbereitungen, als mein Team mich über ein merkwürdiges Verhalten unserer IT-Systeme informierte. Mein erster Gedanke war, dass wir es hier eventuell mit einem Sicherheitsvorfall zu tun haben – ein Thema, vor dem ich als Gesamtverantwortlicher für eine Systemlandschaft den meisten Respekt hatte.
Bei unserer Analyse hat sich der Verdacht schnell erhärtet und so gegen 11 Uhr hatten wir dann Gewissheit, dass es wir es mit einem Ransomware-Angriff zu tun hatten. Auf unseren Servern fand sich eine Textdatei mit einer Botschaft des Angreifers, dass unsere Systeme verschlüsselt wurden und Daten abgeflossen sind. Über einen Link kam man dann auf eine Darknetseite des Angreifers mit weiteren Instruktionen zur Lösegeldforderung und Zahlungsoptionen.
Als Sofortmaßnahme haben wir dann unsere Internetleitung gekappt und alles offline geschaltet. Dann ging zunächst nichts mehr.
Wie ging es dann weiter? Welche Schritte haben Sie unternommen?
Andreas Dietz: Man darf dann nicht in eine Schockstarre verfallen. Es kommt in den ersten Minuten und Stunden maßgeblich darauf an, entschlossen und zielgerichtet zu handeln.
Als Glücksfall hat sich erwiesen, dass wir als eines der ersten Unternehmen vor ungefähr drei, vier Jahren eine Versicherung gegen Cyberrisiken abgeschlossen hatten. Die haben wir dann kontaktiert und gefragt, wie wir weiter vorgehen. Deren Fachleute haben uns dann geholfen, beispielsweise gesagt, wen wir alles ansprechen müssen. So sind wir zügig in einen relativ geregelten Ablauf gekommen.
Wir haben zunächst das Landeskriminalamt und die Datenschutzbehörde zeitnah informiert. Gleichzeitig haben wir die uns von der Versicherung bereitgestellte Kontaktliste von Forensikern abtelefoniert. Da die Zeit um Weihnachten quasi die Hochsaison für Cyber-Attacken ist, hat es uns einen halben Tag gekostet, ein Expertenteam zu finden, dass dann bereits am Abend die Arbeit aufgenommen hat. Wir haben dann noch ein zweites Team am 24. Dezember dazu genommen.
-
Fabian Pfütze
-
Original-Textdatei mit dem „Erpresserschreiben“ des Cyberkriminellen.
-
Die Weihnachtsdekoration „überwintert“ in einem Lagerraum des Schäfer Shop Bürogebäudes. Der Angreifer hatte kurz vor Weihnachten zugeschlagen.
-
Im Keller des Schäfer Shop-Bürogebäudes: Der „Hausanschlussraum“, in dem Strom- und Glasfaserkabel ins Gebäude eintreten.
-
Im Rechenzentrum: Diese acht Glasfaserkabel bilden die Anbindung des Unternehmens an die Außenwelt. Hierüber läuft sämtliche Kommunikation.
-
Im Rechenzentrum: Band-Laufwerke bilden das Backup-Rückgrat der IT.
-
Blick ins räumlich getrennte Backup-Rechenzentrum.
-
Während des IT-Neustarts wurde für den Datentransfer zwischen den Mitarbeitern auf USB-Sticks zurückgegriffen.
-
Arbeitsplatz für Anmeldung in der „grünen Zone“
-
Andreas Dietz
Wie haben Sie sich organisiert?
Andreas Dietz: Wir haben eine Task-Force eingerichtet und uns aufgeteilt. Fabian hat sich um die technischen Themen gekümmert, und ich habe mich auf die administrativen Themen konzentriert, wie die Kommunikation mit der Datenschutzbehörde und die Information unserer Mitarbeiter. Am 23. Dezember war ja kaum einer mehr im Hause, aber es gibt Funktionen wie die Buchhaltung, die auch „zwischen den Jahren“ arbeiten und informiert werden mussten.
Fabian Pfütze: Die Kommunikationskanäle waren eine Herausforderung. Es ist dann in der Tat so: Sie sitzen am Schreibtisch und es geht im Prinzip nichts mehr, kein Adressbuch, Sie fangen dann an, in alten E-Mails nach Handynummern der Kollegen zu suchen. Wir haben dann die klassische alte Telefonmeldekette im SMS-Verfahren verwendet, um unsere Belegschaft zu informieren.
Andreas Dietz: Dabei waren wir von Tag 1 an offen und transparent. In unserer Information an die Mitarbeiter über die SMS-Kette am 24. Dezember haben wir von einem Cybervorfall gesprochen.
Wie muss man sich die Arbeit der Forensiker vorstellen?
Original-Textdatei mit dem „Erpresserschreiben“ des Cyberkriminellen.
Fabian Pfütze: Es geht zunächst darum, ein klares Lagebild zu bekommen. Dabei gehen die Forensiker System für System durch. Mit einer Spezialsoftware wird die gesamte Systemlandschaft gescannt, um Auffälligkeiten und kontaminierte Bereiche zu identifizieren.
Am folgenden Tag hatten wir dann ein einigermaßen solides Lagebild. Das ist wichtig, denn Sie können kein System wieder online schalten, wenn Sie nicht mit einer sehr hohen Wahrscheinlichkeit wissen, dass die Angreifer nicht mehr im System sind und auch nicht wieder durch eine Hintertür reinkommen können.
Andreas Dietz: Und wir haben rund zwei bis drei Tage damit verbracht – teilweise auch in manueller Arbeit – die abgeflossenen Daten auf ihre Kritikalität zu analysieren, ob Daten dabei sind, die besonders schützenswert sind wie personenbezogene Daten von Kunden oder unserer Belegschaft, Stichwort Bewerbungen und Kündigungen. Auf dieser Basis konnten wir dann einschätzen, wie hoch das Risiko ist, und es gegen die Lösegeldforderung abwägen. In unserem Fall war es so, dass eine vergleichbare geringe Menge an personenbezogenen Daten abhandengekommen war.
Haben Sie erwogen, das Lösegeld zu bezahlen und wie haben Sie mit dem Erpresser kommuniziert?
Andreas Dietz: Der Erpresser hatte uns eine Frist von sieben Tagen gesetzt. Für die Kommunikation hatten wir uns Unterstützung durch einen professionellen Verhandler geholt, der die Frist nochmal um zwei Tage verlängern konnte, damit wir uns selbst ein besseres Bild der Lage verschaffen und das Risko besser einschätzen konnten.
Selbst wenn Sie auf die Forderungen eingehen, bekommen Sie keine Garantie, dass die Daten nicht öffentlich werden. Sie können insbesondere nicht darauf vertrauen, dass der Entschlüsselungscode auch tatsächlich funktioniert.
Fabian Pfütze: Wir waren uns ziemlich sicher, dass wir unsere Systeme aus den Sicherheitskopien wiederherstellen konnten. Unser Backup-Konzept ist komplett losgelöst von der Produktionsumgebung und wir sichern immer auch noch auf Magnetbändern, die physisch aus dem Gerät rausgenommen und dann in einem Tresor gesichert werden. Wir waren uns daher sicher, dass wir den Entschlüsselungscode nicht benötigen. Selbst wenn dieser funktioniert, dauert es sehr lange, bis die Systeme wieder entschlüsselt sind und selbst dann werden diese nicht fehlerfrei laufen, da immer irgendwelche Fehler zurückbleiben. Zudem müssen Sie sowieso die gesamte IT-Systemlandschaft neu aufsetzen, weil Sie davon ausgehen müssen, dass noch Reste der Schadsoftware vorhanden sind.
Wann waren Ihre Systeme wieder online?
Arbeitsplatz für Anmeldung in der „grünen Zone“
Fabian Pfütze: Unser Ziel war, ab dem 2. Januar wieder für unsere Kunden da sein zu können und unser Geschäft so normal wie möglich zu betreiben – und das haben wir auch geschafft. Dazu mussten wir zunächst die wichtigsten Systeme zum Laufen bringen, um beispielsweise Zahlungen tätigen zu können.
Unser Konzept war dabei wie folgt: Wir haben eine „rote Zone“ eingeführt, quasi die „verseuchte“ und komplett abgekapselte Zone, in der jegliche Interaktion nur sehr kontrolliert stattfinden konnte. Dann hatten wir eine „blaue Zone“, unsere Internetzone. Hier haben wir bei uns in den Gebäuden Internetkaffees eingerichtet, die unsere Mitarbeiter immer dann aufgesucht haben, wenn sie etwas mit der externen Welt zu tun hatten, da sie ja ansonsten in der isolierten Zone gearbeitet haben.
Und schließlich haben wir angefangen, die „grüne Zone“ aufzubauen, also die komplett neue Systemlandschaft. Dabei musste jedes der über 1000 Endgeräte im Haus neu aufgesetzt werden, jeder Server, die Schließanlage des Gebäudes, der Telefonserver, also wirklich alles neu aufgesetzt und das dauert einfach.
Andreas Dietz: Ein großes Kompliment an die gesamte IT-Mannschaft. Innerhalb von zehn Tagen einen solchen Vorfall so aufzuarbeiten, dass wir am 2. Januar wieder operativ waren – wenn auch mit Einschränkungen – war eine großartige Leistung. Von anderen Unternehmen, mit denen wir relativ frühzeitig Kontakt aufgenommen hatten, wissen wir, dass normalerweise in vergleichbaren Fällen der Betrieb drei bis acht Wochen komplett stillsteht.
Unser Ziel war, ab dem 2. Januar wieder für unsere Kunden da sein zu können und unser Geschäft so normal wie möglich zu betreiben – und das haben wir auch geschafft.
Die IT-Abteilung hielt an einem extra eingerichteten Tausch-Platz mit blauen schalen „benutzte“ und sicherheitstechnisch „gereinigte“ USB-Sticks bereit. Mitarbeiter mussten sich auf einer ausliegenden Liste namentlich und unter Angabe von Datum und Unterschrift eintragen.
Sie sind sehr offen und transparent mit dem Vorfall umgegangen. Warum sind Sie überzeugt, dass das der richtige Weg war?
Andreas Dietz: Intern haben wir dadurch ein enges Zusammenrücken erlebt. Alle wollten dabei helfen, gemeinsam durch die schwere Zeit zu kommen und gegen einen unbekannten großen Gegner zu kämpfen.
Und extern hat uns der Austausch mit anderen Betroffenen geholfen. Gerade in der ersten Phase fragen Sie sich ja: „Warum wir?“. Ein ehemaliger Kollege, dessen Unternehmen vor einigen Jahren auch von einem Hackerangriff betroffen war, sagte mir, dass es ihm damals auch geholfen hätte, sich mit anderen auszutauschen. Das hat mich auch dazu bewogen, damit offen umzugehen. Die Stigmatisierung ist ja eigentlich vorbei – vor allem wenn Sie sich anschauen, wer heutzutage alles von IT-Vorfällen und Cyber-Security Angriffen betroffen ist. Es ist viel besser, in die Offensive zu gehen und transparent das Wissen zu teilen, das man hat, wenn man dadurch anderen helfen kann, Schäden zu vermeiden oder zumindest in Grenzen zu halten.
Fabian Pfütze: Die Frage ist gar nicht, ob man angegriffen wird, sondern wann, und wie hoch der Schaden ist. Ich habe mit vielen IT-Sicherheitschefs großer Firmen, die unsere Kunden sind, gesprochen und erklärt, was bei uns passiert ist, welche Daten betroffen sind und wie sich unser Schaden möglicherweise auf ihre eigenen Systeme auswirkt. Dabei habe ich sehr positive Rückmeldungen bekommen. Sie werden dann als Unternehmen einfach authentisch wahrgenommen, und es zeigt, wie die Kultur im Unternehmen ist.
Die Stigmatisierung ist eigentlich vorbei – vor allem wenn Sie sich anschauen, wer heutzutage alles von IT-Vorfällen und Cyber-Security Angriffen betroffen ist. Es ist viel besser, in die Offensive zu gehen und transparent das Wissen zu teilen.
Wie haben Sie nach dem Vorfall ihre Sicherheitsmaßnahmen verändert?
Als weitere Sicherheitsmaßnahme wurde eine Multifaktor-Authentifizierung eingeführt.
Fabian Pfütze: Wir waren zur Zeit des Vorfalls bereits dabei, technisch aufzurüsten, beispielsweise ein Security-Operation-Center (SOC) Team aufzubauen, das rund um die Uhr arbeiten soll. Wir haben dann viele Richtlinien überabeitet und ich kann Ihnen sagen: Es war noch nie so einfach, eine Passwortpolicy mit 15 Zeichen genehmigt zu bekommen. Zudem haben wir eine Multifaktor-Authentifizierung für jeglichen Zugang im Firmennetzwerk aufgebaut. Und wir haben viel in Schulungen unserer Mitarbeiter investiert, um ihr Bewusstsein, beispielsweise für Phishing-Mails zu schärfen.
Was empfehlen Sie anderen Unternehmen?
Andreas Dietz: Sich vorher schon Gedanken zu machen, was würde ich in einem solchen Fall tun. Dann hat man zumindest eine Art Fahrplan, an dem man sich orientieren kann.
Fabian Pfütze: Hilfreich ist auch, ein Netzwerk von Kontakten aufzubauen, also welchen Forensiker kann ich anrufen, welchen Verhandlungsprofi, welche rechtliche Beratung – sich also wirklich zu überlegen, was man im Ernstfall machen muss. Setzen Sie sich mit ihrem Team an einen Tisch und sagen: „So, ab jetzt ist alles ausgeschaltet, was tun wir jetzt“. Im Normalfall guckt man sich dann an und sagt: „gute Frage“.
Wenn Sie das ab und zu mal durchspielen, bekommen Sie ein besseres Verständnis dafür, wie Prozesse im Falle des Falles ablaufen.
Dieses Interview wurde geführt von Markus Dahlem, 07/2024. Fotograf: Heinrich Holtgreve, OSTKREUZ Agentur der Fotografen
Über Schäfer Shop
Schäfer Shop GmbH ist ein Versandhandelsunternehmen für Büroausstattungen, Bürobedarf und Lagereinrichtungen. Neben Büromöbeln, Büroausstattung und Bürotechnik bietet Schäfer Shop Lagerregale, Werkzeugen sowie Papier, Büromaterial und Schreibwaren an. Aktuell umfasst das Sortiment über 85.000 Artikel.
Markus Dahlem
… betreut in der Konzernkommunikation den weltweiten Technologiebereich der Bank. Er ist überzeugt, das wir uns alle angesichts zunehmender Bedrohungen intensiver damit auseinandersetzen müssen, wie wir zu mehr Sicherheit beitragen können.
Empfohlene Inhalte
Digitaler Umbruch | Ausblick
Digitale Belagerung Digitale Belagerung
Die Digitalisierung macht Firmen und Menschen produktiver, aber auch anfälliger für Cyberattacken. Wie Hacker vorgehen – und wie sich Firmen schützen.
Digitaler Umbruch | Standpunkt
„Im Cyber-Umfeld gibt es kein Vertrauen.“ „Im Cyber-Umfeld gibt es kein Vertrauen“
Hacker nutzen Sicherheitslücken in unserer global vernetzten Wirtschaft systematisch aus. Manche Firmen könnten es schwer haben, ein Mindestmaß an Cyber-Resilienz aufrechtzuerhalten, warnt WEF-Sicherheitsexpertin Gretchen Bueermann.
Digitaler Umbruch | Einblick
Von Datenklau bis Ransomware: Gefahren und Schutz in der Finanzbranche Von Datenklau bis Ransomware: Gefahren und Schutz in der Finanzbranche
Sven Schaumann und Petra Leclaire, Experten für Cybersicherheit bei der Deutschen Bank, sprechen über die sich verändernde Bedrohungslage – und wie sich Unternehmen schützen.
What Next: Unsere Themen
