„Könnt ihr kommen? Wir sind gehackt worden.“

InterviewKleine und mittlere BetriebeReaktionDetektionPrävention
„Könnt ihr kommen? Wir sind gehackt worden.“

Ein Interview mit Anja Bauer, Geschäftsführerin der Bauer Autohaus Gruppe

“Nein, das darf nicht passieren, nicht meinem Autohaus, nicht meinem Baby.” So beschreibt Anja Bauer die ersten Gedanken, die Ihr durch den Kopf schossen, als vor gut zwei Jahren plötzlich klar wurde, dass ihr Unternehmen Opfer der russischen Hackergruppe “Black Basta” geworden war. Darauf folgt ein hollywoodreifes Drama. Am Ende der Geschichte steht einerseits eine Schadenssumme von 2 Mio. Euro, andererseits ein Autohaus und seine Unternehmerin, die in einer albtraumhaften Situation überlegt gehandelt hat und schlimmeres verhindern konnte. Wir haben Anja Bauer getroffen und konnten ausführlich über ihre Geschichte sprechen.

Transferstelle: Frau Bauer, zunächst einmal möchten wir uns herzlich dafür bedanken, dass Sie heute hier sind und uns Rede und Antwort stehen wollen. Oft bemerken wir, dass gerade mittelständische Unternehmen versuchen, Hackerattacken unter den Teppich zu kehren. Wie kommt es, dass Sie so offen mit dem Vorfall umgehen?

Anja Bauer: Diese Frage ist ganz leicht zu beantworten: Unser Teppich ist festgeklebt, da kann ich nichts drunter schieben. Die Frage würde ich eher in die andere Richtung umformulieren und anders adressieren: Warum kehren andere etwas unter den Teppich?

Bei einem Hackerangriff in den Ausmaßen, wie wir ihn erlebt haben, kann man auch keinen Kunden mit: „Unsere Server sind heute leider ausgefallen“ vertrösten, weil wir fast ein Jahr gebraucht haben, bis alle Prozesse wieder über die IT liefen. Wir hatten über ein halbes Jahr keine Buchhaltung, keine elektronische Kasse oder keine Möglichkeit, eine Rechnung zu schreiben – einen so großen Teppich hätte niemand.

Außerdem: es gibt für mich keinen Grund, nicht immer ehrlich mit meinen Mitarbeitenden und Kunden, Herstellern und Banken umzugehen. Unter den Teppich kehren bedeutet ja auch, sich für jeden die passende Ausrede auszudenken, damit die ganze Sache nach außen hin glaubhaft wirkt – dafür hätten wir gar keine Zeit gehabt, weil tausend andere Dinge zu tun waren. Wir haben von Tag eins immer den aktuellen Stand des Unternehmens, die Erfolge der Kripo, der Forensik, der IT und den Wiederaufbau in WhatsApp-Nachrichten an alle Mitarbeitenden und in Informationsbriefen an Kunden und Hersteller kommuniziert. Und unsere offene Kommunikation endete dann in einem Buch.

Anja Bauer

Anja Bauer ist seit 20 Jahren in der Geschäftsführung der Autohausgruppe Bauer und mit Herz und Seele Unternehmerin. Sie hält große Stücke auf die Mitarbeitenden ihres Familienunternehmens und stellte sich auch während des Cybersicherheitsvorfalls mit voller Überzeugung vor sie.

Transferstelle: Beginnen wir also am Anfang. Wie haben Sie bemerkt, dass ein Angriff vorliegt, und was waren Ihre ersten Schritte?

Anja Bauer: Als am Samstag, den 11.06.2022 der erste Mitarbeiter morgens das Autohaus aufschließen wollte, war die Alarmanlage deaktiviert, die Stempeluhr nicht zum Anmelden zu bewegen und der Rechner produzierte nur einen schwarzen Bildschirm statt der Anmeldemaske. Als dann auch die Telefonanlage keine Anstalten machte, unsere IT anzurufen, musste der Mitarbeiter sein privates Handy nutzen, um die IT zu informieren.

Die gesamte IT ist bei einem Dienstleister beauftragt, der sehr engagiert, professionell und schnell alles rund um Server, Rechner und Anbindungen im Blick hat. Als dieser feststellte, dass er von zu Hause nicht auf die Server kam, fuhr er sofort zu uns ins Unternehmen, um dann im Serverraum festzustellen, dass alle 25 Server verschlüsselt waren, alle Backups gelöscht, alle Rechner infiziert, alle NAS (Network-Attached-Storage, Anm. d. Red.) zerstört oder  auf Werksteinstellung zurückgesetzt, waren und nur noch eine Textdatei mit dem Erpresserversuch zu finden war. Hier stand, dass wir durch einen Torbrowser ins Darknet gehen sollten, uns auf der Seite der Black Basta mit der mitgeschickten Servicenummer einloggen sollten, um so Kontakt zu den Erpressern aufzunehmen. Die Erpressersumme und die weitere Vorgehensweise würden uns dort erklärt werden. Das war der Zeitpunkt, als unser IT-Dienstleister meinen Mann und mich anrief, um uns zu sagen: „Könnt ihr kommen? Wir sind gehackt worden.“

Transferstelle: Der Angriff hat Sie aus heiterem Himmel getroffen. Dennoch standen die Vorzeichen gar nicht schlecht: Sie arbeiten seit Jahren mit einem IT-Dienstleister zusammen, ihr Mann ist Wirtschaftsinformatiker, insgesamt beschreiben Sie sich als digital fit, hätten Sie überhaupt besser vorbereitet sein können?

Anja Bauer: In Sachen IT-Sicherheit kann man immer besser vorbereitet sein, die Frage ist, wie viel Geld einem die Sicherheit wert ist. Bei uns sind die Hacker über einen Kommunikationschip in der Alarmanlage einer Filiale eingestiegen, haben sich mindestens sechs Monate unerkannt umgeguckt, haben alle Eingaben mitgeplottet, haben alle Anmeldedaten abgefangen, alle Backup-Routinen ausgekundschaftet. Das hätte man mitbekommen, wenn man 24 Stunden am Tag das gesamte Netzwerk beobachtet, allerdings handelt es sich bei den Black Basta um eine der besten Hackergruppen der Welt- auch das System 24/7 beobachten und scannen hätte bei der Professionalität wahrscheinlich nichts gebracht.

Ich bin kein IT-ler, aber das geschah alles unterhalb der MS-DOS-Ebene (Microsoft Disk Operation System, Betriebssystem unterhalb der Programme, Anm. d. Red.) und da guckt man normalerweise nicht. Die Kripo hat mal gesagt, dass die allerschlausten immer auf der Seite der Hacker sitzen, weil man mit so einem hohen Potenzial auch ganz viel Geld verdienen möchte und vor allem nicht in Vorschriften und Bürokratie gefangen sein will. Daher sind die Hacker immer schlauer als die Kripo oder die Software-Entwickler, die ein Antivirusprogramm entwickeln. Zuerst kommt die geniale Idee der Hacker, dann wird die gute Seite der Macht bei den Betroffenen genug Erfahrung sammeln, um Gegenmaßnahmen zu treffen, sei es, die Gruppe auffliegen zu lassen oder ein Antivirusprogramm zu schreiben, in der Zwischenzeit haben die Hacker aber schon wieder neue geniale Ideen. Daher kann man sich nie ganz vorbereiten oder absichern. Wichtig ist, dass man immer alle Updates fährt, damit die schon erkannten Hackertricks keinen Erfolg mehr haben.

Und zu unserem Fall: Wir hatten keine Chance, weil der Angriff der Black Basta viel zu professionell war. Aber gut aufgestellt ist die beste Verteidigung. Und dafür braucht man Hart- und Software, die „Böses“ erkennen und vorher abfischen, immer die neusten Virenscanner und man sollte immer alle Updates sofort einspielen. Das wären aus meiner Sicht die wichtigsten Maßnahmen.

Transferstelle: Nach dem ersten Schock ging es an die Analyse des Vorfalls. Können Sie uns beschreiben, wie Sie vorgegangen sind und welche Gegenmaßnahmen Sie ergriffen haben?

Anja Bauer: Als erstes haben wir den Kontakt aus unserem Handy von unserem Sparkassenbetreuer gewählt, ihn am Frühstückstisch erwischt und gebeten, sofort alle Konten zu sperren. Dann haben wir die Kripo angerufen, danach versucht, die Hersteller zu informieren, weil die einen großen Datenaustausch mit uns jede Nacht fahren. Danach haben wir uns die Reste unseres Systems angesehen – was haben wir noch, was kann man noch retten. Wir hatten tatsächlich nur noch unsere Handys mit den Kontakten und Google. Unser Dienstleister und mein Mann Michael haben sich die Server und Rechner vorgenommen, um zu gucken, ob noch was zu retten ist, Hauke Brodersen, mein Geschäftsführerkollege und ich haben die kaufmännischen Dinge angestoßen – wer muss informiert werden, Steuerberater, Finanzamt, Anwalt, wo bekommt man Wissen her, wer kann einem helfen. Relativ schnell haben wir erkannt: es ist nichts mehr zu retten. Ein paar Versuche wurden gestartet, eine verschlüsselte Platte wurde zu ein paar echten Nerds nach Süddeutschland gefahren, aber auch die hatten keinen Erfolg. Kaufmännisch haben wir auch versucht, nach Kontoauszügen nachzubuchen, Rechnungen auf Papier zu suchen oder Gedächtnisprotokolle zu erstellen. Aber wir kamen so nicht weiter, weil wir nur einen winzigen Teil der Unternehmen rekonstruieren konnten.

Transferstelle: Wie viele mittelständische Unternehmen haben Sie in den letzten Jahren vieler Ihrer Prozesse digitalisiert. Rechnungen, das gesamte Personalwesen, die Inventur, von einem auf den anderen Moment nicht mehr verfügbar. Wie haben Sie die Arbeit in den Wochen nach der Attacke am Laufen gehalten?

Anja Bauer: Man kann sagen, dass wir tatsächlich fast voll digitalisiert waren, so dass wir nichts mehr hatten. Das Wichtigste war, dass wir die Fahrzeuge der Kunden von Tag eins an weiter reparieren konnten, weil Menschen auf Ihre Automobile angewiesen sind, sei es im Individualverkehr oder als Polizeiwagen, Bus, Sattelzugmaschine, Kühltransporter für die Meierei, eine Pritsche für den Gartenbauern oder für Hausbesuche einer Pflegerin. Daher mussten wir die Werkstatttester zum Programmieren ganz schnell wieder zum Laufen bringen. Da die Programme glücklicherweise im Internet und nicht auf unseren Servern laufen, haben wir überall WLAN-Router und Handykarten aufgebaut, um ein mobiles WLAN in allen Filialen zu schaffen. So konnten alle Reparaturen und Wartungen gleich am Tag nach dem Hackerangriff wieder durchgeführt werden.

Das größte Problem war nicht, dass die Daten weg waren, das größere und auch langwierige Problem war, dass die Prozesse weg waren, die den Ablauf eines Autohauses vorgeben. Der Kunde war nicht mehr bekannt, das Auto mit der gesamten Reparaturhistorie und den offenen Aktionen waren nicht mehr vorhanden. Es wurden keine Teile automatisch bestellt, niemand wusste, welche Teile wir hatten, wo dieses Ersatzzeit Im Lager zu finden war oder für welches Auto sie waren. Es gab keine Möglichkeit der Werkstattplanung, keinen Terminkalender, keine Vorgaben des Umfanges der Wartungen. Die Mitarbeitenden mussten alles „zu Fuß“ machen – im wahrsten Sinne des Wortes, sie mussten die Gänge ablaufen, um Teile zu suchen, sie mussten in die Werkstatt laufen, um zu gucken, ob eine Bühne frei ist. Sie haben mit Zetteln, einem herkömmlichen Kassenbuch, einer Geldkassette, einem Drucker und Laptop von zu Hause oder auf Ihrem IPad in Word so etwas wie eine Rechnung erstellen, oder einen Quittungsblock genutzt. Den ersten Brief habe ich mit der Hand ans Finanzamt geschrieben, um denen mitzuteilen, dass unsere Umsatzsteuervoranmeldung nicht eintreffen wird. Wir haben über einen befreundeten Drucker einen kurzen Infobrief verfasst, dem wir jeden in die Hand drücken konnten, damit er unsere Situation einschätzen kann. Zuerst haben wir neun Tage versucht, die Firmen irgendwie wiederherzustellen, aber am 20. Juni haben wir beschlossen, alle sieben Unternehmen zu liquidieren und zwei neue Firmen zu gründen.

Da uns ganz viele Behörden, Ämter, Gerichte, Notare, Sparkassen, das Finanzamt und Freunde, Steuerberater und alle Mitarbeiter sehr unterstützten, haben wir es geschafft, am 1. Juli 2022 beide Firmen fertig gegründet mit allem, was dazugehört, aus dem Boden zu stampfen – bis auf Server, Rechner, Drucker und eine IT, die fehlte noch komplett. Und das dauerte auch, ein halbes Jahr hatten wir gar nichts, dann eine rudimentäre IT, nach einem Jahr waren ca. 85 % wieder fertig hergestellt und nach 2 Jahren kann man sagen, jetzt läuft alles, inklusive Auswertungsprogramme, Workflow, DMS und Co.

Transferstelle:  Wenn Sie das Erlebte Revue passieren lassen, welche nachhaltige Auswirkungen hatte der Angriff auf Prozesse in Ihrem Unternehmen? Sind Sie nun besser auf ähnliche Vorfälle vorbereitet? Welche Tipps können Sie anderen mittelständischen Unternehmen geben?

Anja Bauer: Ich glaube, auf einen Angriff von hochprofessionellen Hackern wie die Black Basta kann man sich nicht vorbereiten, da ist man chancenlos. Aber man kann Vorkehrungen treffen, um den Schaden zu minimieren. Wir haben dieses durch Separieren von Segmenten der IT und Übergängen in Hardware und Software mit Firewalls gestaltet. Diese ist zwar mit einem hohen administrativen Aufwand verbunden, aber wir haben ja gesehen, was sonst passiert. Die Lösung: Wir Liquidieren alles und starten neu durch ist aber keine Pauschallösung für jeden Hackerangriff. Wenn Daten sehr wichtig sind wie bei einem Versorgungswerk und deren Stromleitungen oder es sich um Krankenhäuser, Flugbetrieb, Wasserversorgung, Sicherheit oder ähnliches handelt, dann wäre unser Weg nicht die richtige Wahl. Bei uns ging es nicht um Leben und Tod, es wurde keiner krank oder verletzt, bei uns ging es „nur um Geld“.

Transferstelle: Frau Bauer, wir danken Ihnen für Ihre Zeit und wünschen Ihnen alles Gute für die Zukunft, bleiben Sie CYBERsicher!


Hacker im Haus

Sie möchten aus erster Hand mehr über den Vorfall im Autohaus Bauer erfahren? Dann haben Sie am 22. Oktober um 11:00 Uhr die Chance dazu. Anja Bauer berichtet in unserem Webimpuls eindrücklich von ihren Erfahrungen.

Jetzt für den Notfall absichern

Mit der richtigen Vorbereitung können die Schäden, die durch Cyberangriffe entstehen, klein gehalten werden. Denn: durch langfristige Planung und vorausschauende Prävention können Sie Ihren Betrieb trotz einer Cyberattacke aufrecht erhalten oder zumindest schnell wieder zurück zu Business as usual.

Tobias Diemer

Verfasst von Tobias Diemer

Projektmanager Kommunikation

Diese News könnte Sie auch interessieren: