Cyber-Resilienz statt Schockstarre – Ein Interim-CEO berichtet über einen Hackerangriff und seine Lehren aus diesem Mandat

Ein Gespräch mit unserem Partner und Mitglied der Geschäftsleitung Norbert A. Gregor

Norbert, Du hast in einem Mandat in der CEO-Rolle einen Cyber-Angriff erlebt. Wie hast Du den Moment wahrgenommen?

Ich wurde während einer Dienstreise vom IT-Leiter angerufen: Alle Admin-Bildschirme waren weiß, die Prozesse standen still, niemand wusste, was passiert war. Ich habe die Reise sofort abgebrochen. Es war der erste Cyber-Angriff in der Geschichte des Unternehmens – und ehrlich gesagt auch für mich persönlich eine zutiefst angespannte Erfahrung. Man spürt unmittelbar eine Verantwortung, die weit über Technik hinausgeht: Es geht um Arbeitsplätze, Kundenbeziehungen, Vertrauen, Unternehmensexistenz. Psychologisch und sogar körperlich ist das ein Ausnahmezustand. Die Ermittler stellten fest, dass wir, respektive ich, mindestens vier Wochen lang digital beobachtet wurden, bevor man uns verschlüsselte. Mir wurde damals erst klar, welchen Risiken wir ausgesetzt sind und wie sorglos wir arbeiten, ohne zu merken, dass jemand in unsere Systeme eingedrungen ist und sich versteckt.

Was war die Ursache dafür, dass der Angriff gelang?

Rückblickend müssen wir offen sagen: Wir waren selbst schuld. Das Unternehmen hatte über Jahre kaum in Cyber-Abwehr investiert. Wir arbeiteten mit veralteten Systemen und ohne Sicherheitsarchitektur. Wir hatten „digitale Hygiene“ kaum trainiert und es gab schlicht keine Disziplin im Umgang mit Risiken. Eine IT-Landschaft, die historisch gewachsen und nie wirklich erneuert wurde – das ist wie ein Haus mit offenen Türen. Diese Ehrlichkeit ist schmerzhaft, aber notwendig.

Welche unmittelbaren Auswirkungen hatte der Angriff auf das Mandantenunternehmen?

Alle wesentlichen Daten waren durch die Angreifer verschlüsselt, die Administration war lahmgelegt. Wir konnten Wareneingänge nicht mehr prüfen, Warenausgänge nur noch manuell abwickeln. Das Debitorenmanagement brach zusammen. Besonders kritisch: laufende kundenspezifische Projekte kamen vollständig zum Stillstand. Die Produktion lief glücklicherweise weiter, weil sie noch auf der uralten AS400 lief – ein System, das so alt war, dass die Hacker es wohl schlicht übersehen hatten oder gar nicht kannten. Selten war historische Technologie so wertvoll ...

Wie hast Du als CEO die ersten Entscheidungen getroffen?

Ich habe sofort drei Prioritäten gesetzt: Erstens Ruhe bewahren und Führung zeigen. Zweitens die Organisation in einem geschützten Modus stabilisieren. Drittens sofortige externe Unterstützung hinzuziehen. Wir haben alle Mitarbeitenden transparent informiert, die Kunden vorsichtig über Verzögerungen verständigt und Lieferanten ehrlich und offen um Unterstützung gebeten (Viele erkannten vermutlich, dass so etwas auch ihnen selbst mal passieren könnte). Gleichzeitig habe ich fristgerecht Selbstanzeige erstattet – denn es bestand die Gefahr, dass personenbezogene Daten kompromittiert wurden und gegen mich persönlich sonst Regressansprüche im Falle von grober Fahrlässigkeit als CEO drohten.

Welche Rolle spielte die „Cyber-Polizei“, und wie läuft so eine Anzeige ab?

In Bayern erfolgt die Meldung über die ZAC – Zentrale Ansprechstelle Cybercrime der Bayerischen Polizei sowie über die Zentralstelle Cybercrime Bayern (Generalstaatsanwaltschaft Bamberg). Kurz nachdem ich die Selbstanzeige gestellt hatte, stand ein Team von sieben bewaffneten Cybercrime-Spezialisten im Unternehmen, auch um Rechner zu sicherzustellen. Die Unterstützung war hochprofessionell – technisch wie vor allem psychologisch. Die Chats mit den Hackern führten ausschließlich diese Experten. Auch wenn die Aufklärungsquote bei unter einem Prozent liegt: Die Professionalität und Ruhe dieser jungen Ermittler war beeindruckend. Ich konnte nach meiner Selbstanzeige juristisch entlastet werden, zumal wir zufällig vor dem Angriff als eine meiner Prioritäten im Mandat, eine neue IT-Richtlinie verabschiedeten und auch darin baten, Privates mit Geschäftlichem auf Bürorechnern möglichst nie zu vermischen.

Welche Auswirkungen hatte der Angriff auf Mitarbeitende, Kunden und Lieferanten?

Hier erlebten wir etwas, das mich bis heute bewegt. Wir schickten fast 60 Mitarbeitende aus den nicht-produzierenden Bereichen nach Hause – bei voller Gehaltszusage. Fast alle blieben aber freiwillig und halfen in der Fertigung, um beim Abarbeiten der übervollen Auftragsbücher zu helfen. Viele Kunden schickten uns die von uns vorab gesandten technischen Zeichnungen zurück, damit wir überhaupt weiterarbeiten konnten. Lieferanten übermittelten Kontoauszüge, weil unser ERP-System tot war. Diese Solidarität war unglaublich. Man erkennt in solchen Momenten, wie viele Werte im Verborgenen einer Organisation und seiner Beziehungen leben – wenn man sie richtig pflegt.

Welche Fehler im System wurden sichtbar?

Der Angriff war ein schonungsloser Spiegel für das gesamte Management:

- fehlende Cyber- und Sicherheitsstrategie mit präventiven, detektiven und auch reaktiven Maßnahmen und auch keine Anwenderschulung gegen Phishing Bedrohungen

- Unterschätzen von möglichen Ransomware-Angriffen und keine Risiko-Analyse

- keine Sensibilisierung der Mitarbeitenden

- veraltete ERP-Systeme

- keinerlei Segmentierung oder Isolationsmechanismen

- fehlende Incident-Response-Pläne

- keine Backup-Strategie, die im Ernstfall funktioniert hätte

Wir waren verwundbar – und hatten es gewusst. Aber im Alltag verschiebt man solche Themen immer wieder. Der Angriff hat uns gelehrt, dass Cyber-Resilienz Teil jeder Unternehmensführung sein muss!

Wie hast Du verhindert, dass das Unternehmen dem Erpressungsdruck nachgibt?

Aus meiner Lateinamerika-Erfahrung war für mich von Anfang an klar: Wir lassen uns weder korrumpieren noch erpressen und zahlen daher kein Bitcoin-Lösegeld. Ja, zu zahlen wäre vielleicht kurzfristig die einfachere Lösung gewesen. Langfristig, aber die viel teurere, denn man wird dann in einschlägigen Kreisen auf einer digitalen Liste derjenigen geführt, die zahlen – und damit potenziell immer wieder neu angegriffen. Diese Spirale kann Unternehmen zerstören. Die einzige Option war daher: sauber neu aufsetzen – auch wenn es zunächst viel mühsamer ist.

Was waren die positiven Effekte, die aus der Krise entstanden sind?

So paradox das klingt: Der totale Breakdown hat uns ermöglicht, viele Altlasten bei Stammdaten und Prozessen konsequent zu entsorgen. Wir implementierten das neue S4HANA-System ohne den üblichen alten Datenballast und verbesserten unsere Prozesse drastisch. Wir bauten eine neue Sales-Excellence zur Echtzeit-Datenanalyse auf. Wir führten eine Multi-Faktor-Authentifizierung ein und konnten nun Systeme bei verdächtigem Verhalten isolieren. Vor allem aber: Die Organisation wuchs zusammen. Man lernte sich anders kennen als im normalen Arbeitsalltag – als Team, als Lieferantennetzwerk, als Kundenbeziehungssystem. Das war ein Wert, den kein IT-Projektplan je erzeugen kann.

Wo lagen für Dich persönlich die größten Herausforderungen?

Die psychologische Last, wenn du dich wirklich mit dem Unternehmen und den Menschen identifizierst. Als CEO trägt man alles: Verantwortung, Risiko, Außenkommunikation, Rechtsfragen. Man muss Ruhe ausstrahlen, selbst wenn einen innerlich der hohe Verantwortungsdruck belastet. Dieser Spagat ist enorm. Aber ich habe gelernt: Haltung ist ansteckend. Wer Ruhe bewahrt, stabilisiert das ganze System.

Welche Lehren hast Du als Interim CEO gezogen und was empfiehlst Du anderen?

Erstens: Führung wird in solchen Momenten psychologisch entschieden – nicht technisch. Zweitens: Prävention ist Chefsache und kein IT-Nebenprojekt. Cyber-Abwehr gehört ins Board, in die Kultur, in die Prozesse. Drittens: Sei ehrlich mit dir selbst. Wenn Systeme veraltet sind, wenn Abwehr fehlt, wenn Disziplin nicht existiert – dann ist das ein Führungsversagen und das sollte den Shareholdern des Unternehmens erspart werden. Viertens: Niemals Lösegeld zahlen! Mut ist die strategisch sicherste Haltung und nur diese zahlt sich aus, unterstreicht eine ethisch fundierte Unternehmenskultur und zeigt Stärke gegenüber Kriminellen Fünftens: Schätze die Menschen, die für dein Unternehmen arbeiten. Denn die Bereitschaft zum Helfen zeigt sich nur bei Loyalität zum Unternehmen und zum Vorgesetzten. Nur eine gute Führungskultur sowie gelebte Solidarität als Teil der Unternehmenskultur fundieren die eigentliche Cyber-Resilienz. Technik ist nur der Rahmen.

Hinweis: Aus Gründen des Datenschutzes und der Vertraulichkeit können weder Namen noch operative Details des Mandats genannt werden.