Wie ein Krimi liest sich der Vorfall bei der Elektro G. Möhle GmbH & Co. KG in Münster. Durch einen Trojaner im firmeneigenen IT-System wurde die Elektrogroßhandlung für über drei Wochen lahmgelegt – eine existenzbedrohende Situation. Im Interview mit der ElektroWirtschaft spricht Geschäftsführer Wolfgang Möhle über die Konsequenzen des Angriffes, seine Lösungsmöglichkeiten und seinen nervenaufreibenden Kontakt mit den Erpressern.
ElektroWirtschaft: Ein Trojaner hat Ihr firmeneigenes IT-System für drei Wochen lahmgelegt. Was war genau passiert?
Wolfgang Möhle: Begonnen hat es an einem Montag im Januar. Als wir unsere Arbeit im Büro aufnehmen wollten stellten wir fest, dass nichts mehr funktionierte und die Bildschirme weiß blieben. Auf den Bildschirmen wurden nur vier Buchstaben angezeigt – Teile des Trojaners. Wir haben daraufhin eine E-Mail-Adresse gefunden und uns wurde schnell klar, dass wir uns mit jemandem in Verbindung setzen sollten.
In Zusammenarbeit mit einem IT-Unternehmen haben wir erfahren, dass wir es hier mit dem Schadprogramm „Emotet“ zu tun haben, welches unsere Systeme komplett lahmgelegt hat. Ein Ausweg aus der Situation wäre nur ein ordnungsgemäßes, möglichst zeitnahes Backup unserer EDV-Systeme gewesen. So hätten wir alles wieder einlesen und die in der EDV nicht mehr vorhandenen Tage bzw. Wochen aufarbeiten können.
Zunächst waren wir guten Mutes, da wir davon ausgingen, die richtigen Maßnahmen in die Wege geleitet zu haben. Dies war jedoch leider nicht der Fall. Unsere IT-Sicherung wurde zwar bereits im November bei unserem IT-Dienstleister beauftragt, ist allerdings aus unerklärlichen Gründen nicht umgesetzt worden. Somit hatten wir keinen Zugriff auf ein aktuelles Backup, welches nicht verschlüsselt ist. Wir hatten ein eigenes System, das allen bekannten Sicherheitsregeln entsprechend angefertigt wurde, nur war dies im Netz und wurde mitverschlüsselt. Unsere vorhandenen Backups waren so alt, dass man mehrere Jahre hätte aufarbeiten müssen – ein nicht zu bewältigender Aufwand.
ElektroWirtschaft: Eine Situation, die einen unerwartet trifft. Wie haben Sie zunächst reagiert?
Wolfgang Möhle: Ich habe die Kriminalpolizei eingeschaltet und gefragt, was ich in dieser Situation überhaupt tun kann. Sie ging davon aus, dass es zu einer Lösegeldforderung kommen würde. Gleichzeitig haben wir uns bei verschiedenen Firmen nach einem Entschlüsselungs-Tool erkundigt. Dieses gibt es aber bis heute nicht.
Somit habe ich mit den vermeintlichen Erpressern per Mail Kontakt aufgenommen und sie konkret nach einer möglichen Forderung gefragt. Die Antwort in perfektem Englisch ließ nicht lange auf sich warten: Wir würden die Chance erhalten, uns für die Zahlung von 21 Bitcoins – das entspricht ungefähr 220.000 Euro – freizukaufen.
Uns war schnell klar, dass wir keine andere Möglichkeit hatten, als zu bezahlen – da wir über unsere veralteten Backups nicht mehr zurückarbeiten konnten. Sicher hätten wir im Laufe der vergangenen Jahre unsere Backups regelmäßig aktualisieren können, um den Wiederherstellungsaufwand in so einer Situation zu reduzieren. Aber hier waren wir – wie viele kleine und mittelständische Unternehmen sicherlich auch – einfach zu nachlässig. Dass unser Sicherungsauftrag von dem IT-Dienstleister nicht ausgeführt wurde, vervollständigte unser Unglück komplett. Ein Schadenersatzanspruch wird noch geprüft.
ElektroWirtschaft: Welche Auswirkungen hatte der Angriff konkret für Ihr Unternehmen? Waren Sie noch handlungsfähig?
Wolfgang Möhle: Wenn Sie überhaupt nicht mehr auf Ihre EDV zurückgreifen können, fühlen Sie sich in ein anderes Zeitalter zurückversetzt. Konkretes Beispiel: Preisanfragen unserer Kunden konnten ja nicht beantwortet werden. So klappte nur noch schon längst verloren gegangenes Geschäftsgebahren: Vertrauen gegen Vertrauen. Wir haben unseren Kunden ihre Preisansage geglaubt und sie uns, dass eine Rechnung – Monate später – eben diesen Preis auch beinhaltete. Alles andere wäre nicht möglich gewesen, nur handgeschriebene Vereinbarungen per Brief oder Fax hätten Preis-Abreden auch gerichtsfest gemacht. Jedes Gespräch mussten wir handschriftlich festhalten, da auch kein E-Mail-Verkehr möglich war. Wir konnten auch keine Rechnung schreiben und somit auch keine Geldeingänge verbuchen. Sie können sich vorstellen, was passiert, wenn man über einen langen Zeitraum nur Ausgaben hat und keine Einnahmen mehr generiert. Wir konnten unseren Kunden auch kein Zeitfenster für das Ende dieses Zustandes nennen, da wir selbst nicht wussten, wann wir die Entschlüsselung von den Erpressern erhalten. Letztendlich hielt dieser „Blindflug“ für uns dreieinhalb Wochen an.
ElektroWirtschaft: Wie gelang es, Ihre Geschäfte dennoch weiterzuführen?
Wolfgang Möhle: Für meine Mitarbeiter war diese Zeit Stress pur. Ohne IT-Unterstützung weiterzuarbeiten ist heute kaum vorstellbar. Versuchen Sie in einem chaotischen Lager ein Produkt zu finden, ohne zu wissen, wo es genau liegt. Es herrschte aufgrund dieser Umstände eine gewisse Endzeitstimmung. Dennoch haben wir entschieden, unsere Kunden weiterhin zufriedenzustellen, standen aber vor der grundsätzlichen Problematik, kein Geld mehr zu bekommen. Aufgeben stand nie zur Debatte.
ElektroWirtschaft: Was wissen Sie über die Erpresser? Hatten Sie Kontakt zu Ihnen?
Wolfgang Möhle: Es wird vermutet, dass sie zur russischen Mafia gehören. Aber sie könnten sich genauso in Bulgarien, Rumänien oder China aufhalten. Klar war, dass ich in Bitcoins bezahlen sollte. Die Summe war mir allerdings schlicht und ergreifend zu hoch. Also überlegte ich, wie ich die Erpresser überzeugen konnte, sich auch mit weniger zufrieden zu geben. Grundsätzlich war mir aber klar, dass ich mein Geschäft schließen kann, solang sie unser System nicht wieder entschlüsseln. Ein Balanceakt, der einem Pokerspiel gleichkommt. Nach langem Verhandeln konnte ich sie auf fast die Hälfte der Forderung herunterhandeln. Dennoch blieb die Frage offen, ob ich die Entschlüsselungssoftware von ihnen im Gegenzug erhalten würde.
Auch die Bezahlung in Bitcoins erwies sich als äußerst kompliziert. Eine herkömmliche Bank hat damit überhaupt keine Erfahrung. Das Kaufen von Bitcoins ist nur sehr kleinteilig und gestückelt möglich. Somit war auch klar, dass ich nur schrittweise bezahlen konnte. Die Erpresser erklärten, dass sie mir nach erfolgreicher Zahlung innerhalb von 30 Minuten den Schlüssel senden würden. Daraus wurden letztlich 18 Stunden. Diese Zeit des Abwartens war extrem nervenbelastend. Glücklicherweise hat der Schlüssel auch funktioniert und unser System war wieder frei. Die Aufarbeitung der vergangenen Wochen konnte beginnen.
ElektroWirtschaft: Fühlten Sie sich in dieser Notlage ausreichend unterstützt? Gab es besondere Hilfeleistungen?
Wolfgang Möhle: Ja, je personengeführter ein Unternehmen in der Elektroindustrie ist, desto eher waren sie in dieser schweren Situation bereit, mir zu helfen. Ich habe auch in einem Brandbrief an meine Lieferanten erklärt, dass wir uns in einem „Tunnel ohne Licht“ befinden und Unterstützung benötigen, damit wir diese Zeit überstehen können. Ein Großteil ist uns hier auch entgegengekommen, hervorzuheben ist hier insbesondere die Schalterindustrie. Von Konzernen wurden Zahlungsaufschübe weniger akzeptiert.
ElektroWirtschaft: Welche Lehren haben Sie aus dem Vorfall gezogen und welche Sicherheitsmaßnahmen haben Sie inzwischen ergriffen?
Wolfgang Möhle: Wir haben unser gesamtes E-Mail-System, welches bisher auf eigenen Mail-Servern lief, ad acta gelegt und uns für die Cloud-Lösung von Microsoft entschieden. Wir fühlen uns hier besser unter Kontrolle – auch hinsichtlich notwendiger Update-Aufforderungen.
Grundsätzlich wird das regelmäßige Aktualisieren der Backups absolut unterschätzt – auch von großen Unternehmen. Es besteht die Problematik, dass diese Trojaner auch sechs bis acht Wochen im System „schlafen“ können. Daher ist jedes Backup, welches in dieser Zeit erstellt wird auch bereits infiziert und dementsprechend nutzlos. Eine fast hundertprozentig sichere Datensicherung kann sich eigentlich nur ein Konzern leisten. Deshalb ist es so wichtig, darauf aufmerksam zu machen. Es kann wirklich jeden erwischen.
Es ist für uns auch nicht mehr nachvollziehbar, wer bei uns im Unternehmen die infizierte E-Mail geöffnet hat. Ich kann nur zu großer Vorsicht aufrufen, nicht direkt jeden E-Mail-Anhang zu öffnen, sondern sehr wachsam zu sein. Wir werden unsere Mitarbeiter hier auch intensiv aufklären.
ElektroWirtschaft: Helfen Cyber-Versicherungen?
Wolfgang Möhle: Ja, sie würden helfen. Allerdings nur dann, wenn man selbst alle nötigen Sicherheitsvorkehrungen getroffen hat. Hat man kein ordnungsgemäßes Backup-System, benötigt man auch keine Cyber-Versicherung.
ElektroWirtschaft: Befürchten Sie weitere Cyber-Attacken?
Wolfgang Möhle: Grundsätzlich ja. Expertenmeinungen sagen, dass diejenigen, die schon einmal angegriffen wurden, auch weiterhin als gefährdet gelten.
ElektroWirtschaft: Was raten Sie anderen Unternehmen?
Wolfgang Möhle: Wir halten es für die beste Lösung, unsere Backups wöchentlich für ein Quartal mit neuen Festplatten durchzuführen. Die Kosten halten sich hierfür in einem überschaubaren Rahmen. Das Wichtigste ist aber, das tatsächlich auch festgehalten wird, dass die Sicherung durchgeführt wurde – ähnlich wie eine Liste der Toilettensäuberung in einem Hotel oder in einer Gaststätte. So hat man eine hohe Sicherheit – im Fall der Fälle wird es zwar immer noch teuer, aber die Wiederherstellung der EDV wird beherrschbar.
ElektroWirtschaft: Herzlichen Dank für das offene Gespräch! Wir wünschen Ihnen bei der Aufarbeitung alles Gute!
Für weitere Fragen rund um den Trojaner-Angriff steht Ihnen Wolfgang Möhle unter wmoehle@gmoehle.de zur Verfügung.
