Den 13. September 2019 wird Patrick Spethmann, Chief Operating Officer (COO) bei der Fashion-Marke Marc O’Polo, nicht so leicht vergessen. Als er an dem Freitag ins Büro kam, wurde schnell klar, dass das Unternehmen Opfer einer professionell ausgeführten Ransomware-Attacke geworden war. Der Zugriff auf alle IT-Anwendungen, Daten und Kassensysteme war blockiert. Nichts ging mehr. "ERP, Verkaufssystem, Controlling, Telefon, Microsoft Office – alles war weg", beschreibt Spethmann. Geschäftspartner warteten auf ihre Lieferung, doch die konnten ohne Daten nicht rausgehen. Die Mitarbeiter:innen konnten nicht mehr arbeiten, weil sie keinen Zugang mehr zu ihren Rechnern und Anwendungen hatten.
 
Die Lage war ernst, deswegen aktivierte Spethmann sofort sein Netzwerk und holte sich Unterstützung. "Wir reagierten schnell und nahmen Kontakt zur Forensik-Abteilung von T-Systems sowie PwC auf. Wir informierten unsere Bank und unsere juristischen Berater:innen", erinnert sich Spethmann. Zum Kreis derjenigen, die ihm in dieser Ausnahmesituation zur Seite standen, zählte auch die Management-Beratung Intargia, die Teil der Digital-Strategy & Analytics-Division des Beratungsunternehmens Valantic ist.

Krisenstab arbeitete das Wochenende durch

Der Krisenstab, den er gebildet hatte, arbeitete das Wochenende durch, um auf die Attacke zu reagieren. Ein externer Verhandlungsführer wurde hinzugezogen und der Austausch mit den zuständigen Behörden gesucht. Die Kommunikationsabteilung informierte noch am Sonntag mit einer Pressemitteilung. "Gemeinsam mit unserem Prozessmanager haben wir dann unsere strategischen Optionen abgewogen. An Tag drei richteten wir eine neue Domäne ein und installierten alle Systeme für das gesamte Unternehmen neu, implementierten analoge Lösungen und analysierten Schlüsselprozesse der einzelnen Workarounds", erklärt Spethmann. Für alle Mitarbeitenden wurde neue Hardware beschafft. Es dauerte zehn Tage, bis das Unternehmen die IT-System wieder starten konnte und vier Wochen, bis alle Systeme wieder liefen.

Die Learnings aus dem Angriff

Gefragt, was er gelernt habe, antwortet er als erstes: "Wählen Sie Ihre Partner in guten Zeiten aus, also bereits vor einer Krise." Die Kontakte für Forensik, Öffentlichkeitsarbeit, Management- und Rechtsberatung sollten auf einer Liste stehen – und die Liste sollte als Ausdruck im Büro hinterlegt sein.

Die Bedeutung der IT-Sicherheit im eigenen Unternehmen sei nicht zu unterschätzen, betont der COO. Teil der Sicherheitsstrategie sollte es sein, auf den Worst Case vorbereitet zu sein. Dafür müssen Richtlinien, Vorschriften und vor allem auch klar definierte Verantwortlichkeiten festgelegt werden. IT-seitig sei ein robustes Firewall-Konzept in der Serverlandschaft mit überschaubaren Benutzerrechten und Antivirenprogrammen auf den Servern empfehlenswert. Auch eine Segmentierung (ein Zonenmodell) auf Netzwerkebene sei entscheidend, damit nicht gleich das komplette System zum Erliegen kommt.

Die größte Sicherheitsgefahr

Und was ist bei Marc O’Polo jetzt anders als vor dem Angriff? "Wir haben Prozesse und Verantwortlichkeiten aufgesetzt und Regeln festgelegt", antwortet Spethmann und nennt ein Beispiel. Wenn ein Mitarbeiter einen Verdacht hat, dass eine Attacke vorliegen könnte, darf er auch alleine entscheiden, dass das komplette System als Vorsichtsmaßnahme heruntergefahren wird. Außerdem wurde ein externer Sicherheits-Partner hinzugezogen, dessen Maschinen registrieren, wenn etwas Ungewöhnliches auf den Servern passiert.

 
Spethmann bestätigt das, worauf viele IT-Sicherheitsexperten immer wieder hinweisen: Die größte Gefahr für die IT eines Unternehmens sitzt vor dem Rechner. Die eigenen Mitarbeitenden brauchen ein Bewusstsein dafür, aus welchen Richtungen Gefahr drohen kann. Deshalb gibt es bei Marc O’Polo seit einigen Jahren Awareness-Trainigs. "Die Sensibilisierung aller Beschäftigten als sogenannte Human Firewall" haben wir als größtes Learning mitgenommen. Dazu gehören Online-Schulungen und Expertenvorträge von professionellen Hacker:innen sowie nachgestellte Phishing-Kampagnen und besondere Passwort-Richtlinien, die regelmäßig überprüft werden", berichtet Spethmann. Sein Credo: Sicherheitsbewusstsein ist eine Haltung. Das Geld für die Sicherheitsmaßnahmen ist gut angelegt, findet er. "Wenn Ihr Unternehmen gehackt worden ist, wird es richtig teuer", argumentiert der COO.
 
Spethmann redet sehr offen über den Cyberangriff, doch die Frage, ob das Unternehmen Lösegeld gezahlt hat, beantwortet er nicht: "Das war damals eine individuelle Entscheidung, die Marc O’Polo treffen musste", lautet seine Begründung. Jedes Unternehmen müsse diese Entscheidung entsprechend der individuellen Lage treffen. Laut Medienberichten von damals hatte Marc O’Polo den Cyber-Erpressern Geld gezahlt, um die Daten wieder entschlüsseln zu können.

Lösegeld zahlen oder nicht?

Ob Unternehmen Angreifern bei einer Ransomware-Attacke den geforderten Betrag zahlen sollen oder nicht, ist eine Streitfrage. Thomas Lang, Geschäftsführender Partner bei Intargia, erklärt, dass die Zahlung dazu führen sollte, dass die Angreifer den Entschlüsselungsschlüssel bereitstellen. Vor allem wenn die Kriminellen auch die Backup-Daten zerstört haben und keine Backup-Daten mehr verwendet werden können, kann die Zahlung eines Lösegelds notwendig sein. Es ist jedoch nicht sicher, ob die Angreifer den Zugang zu den Daten und Anwendungen freigeben, nachdem sie das Geld erhalten haben. "Insofern sollte eine Lösegeldzahlung gut durchdacht sein. Sie kann sinnvoll, nötig und sogar kosteneffizient sein, birgt aber auch erhebliche Risiken, da man es immer mit Verbrechern zu tun hat", betont Lang. Und auf keinen Fall sollten die entschlüsselten Systeme wieder 1:1  in Betrieb genommen werden, da sie als kompromittiert gelten.