Wir waren taub. Wir waren stumm. Am 13. September 2019 wurde Marc O’Polo Opfer eines Cyberangriffs. Was das bedeutete? ERP, Verkaufssystem, Controlling, Telefon, Microsoft Office – alles war weg. 2.000 Kund:innen warteten auf ihre Lieferung. Ohne Daten keine Lieferung. 800 Mitarbeiter:innen ohne Arbeit – keine Hardware, keine Laptops, keine Drucker und keine Scanner. In den Geschäften blieben die Kassen leer. Die Kassensysteme und die gesamte Logistik funktionierten nicht mehr. Mitarbeiter:innen organisierten sich aus umliegenden Drogeriemärkten Quittungsblöcke, um das System zumindest manuell am Laufen zu halten.
Die alles verändernde Nachricht der kriminellen Hacker:innen kam über den Desktop geflimmert. Erst versuchten wir noch, den Verbindungsabbruch aller Systeme inhouse zu klären und auf unsere Backups zurückzugreifen – doch auch die wurden verschlüsselt. Alle administrativen Konten und alle Verbindungen mit Co-Working-Unternehmen wurden gesperrt. Die Odyssee war erst am Anfang.
Nach Entdeckung der Erpressung reagierten wir umgehend und nahmen Kontakt zur Forensik Abteilung von T-Systems sowie PwC auf, informierten unsere Bank, unsere juristischen Berater:innen und die Managementberatung Intargia. In den nächsten Tagen bestimmten organisatorische Maßnahmen unser Handeln. Wir setzten einen 24h-Service auf, richteten Schlafplätze auf dem Marc O’Polo Campus ein und stellten Essen und Duschen rund um die Uhr bereit.
Welche strategischen Optionen haben wir?
Um eine gewisse Distanz zum Verhandlungspartner auf der Gegenseite zu schaffen, koordinierten wir einen externen Verhandlungsführer. Wir hätten sonst zu emotional und zu spontan gehandelt. Auch mit Behörden und Expert:innen waren wir in engem Austausch.
Zudem überprüften wir unsere strategischen Optionen, trafen uns mit unserem internen Prozessmanager, setzen eine Presseerklärung auf und ließen uns von unseren Tech-Teams auf dem Laufenden halten. Am dritten Tag war klar, dass wir aus der alten Domäne nichts mehr verwenden können und so richteten wir eine neue ein, installierten alle Systeme für die gesamte Firma neu, implementierten analoge Lösungen und analysierten Schlüsselprozesse der einzelnen Workarounds.
Ganze zehn Tage später erst konnten wir unser IT-System wieder starten und ganze vier Wochen dauerte es, bis alle Systeme wieder liefen und der Alptraum hatte ein Ende. Doch es kann wieder passieren. Aber nie wieder mit solcher Wucht. Das haben wir daraus gelernt – und, dass wir die Liste der technischen Schwächen und organisatorischen Mängel erheblich kürzen müssen.
Machen Sie nicht die gleichen Fehler die wir gemacht haben.
Die Don’ts:
– Nehmen Sie die Versprechen Ihrer IT-Verantwortlichen nicht als Garantien an
– Hosten Sie nicht alle Ihre Systeme auf einer Domäne
– Unterschätzen Sie niemals die Bedeutung Ihrer IT-Sicherheit
– Vergessen Sie nicht: Das größte Risiko sitzt vor dem Laptop
– Verlassen Sie sich im Falle eines Angriffs nicht auf die offiziellen Stellen (Manchmal können sie helfen, manchmal nicht, machen Sie also Ihren eigenen Plan)
Die Do’s
– Wählen Sie Ihre Partner in guten Zeiten aus und führen Sie eine Liste mit Kontakten – die gedruckte Version
– Fordern Sie Ihre IT heraus. Machen Sie Pentestings, Red-and-purple-teaming und all den anderen Schnickschnack
– Kennen Sie Ihre Prozesse gut. Wie können Sie Ihr Geschäft ohne IT betreiben?
– Bewahren Sie Ihre Back-ups sicher auf. Und ich meine wirklich sicher….
– ….und haben Sie einen Plan.
Vorbereitung und Strategie
So können wir nur empfehlen, die IT-Sicherheit im eigenen Unternehmen nicht zu unterschätzen und sie als Mission zu sehen. Legen Sie sich präventiv eine Sicherheitsstrategie für den Worst Case zu. Darin verankert sollten nicht nur organisatorische Abläufe, sondern auch Richtlinien und Vorschriften und vor allem auch klar definierte Verantwortlichkeiten sein. Sprechen Sie und „üben“ Sie den ernsten Fall mit Ihrer Bank. Wir mussten unsere Accounts schließen, dabei hat nicht jede Bank mitgemacht. Technologisch appelliere ich für ein adäquates Firewall-Konzept in der Serverlandschaft, wenige Benutzerrechte und Antivirenprogramme auf den Servern. Ganz entscheidend ist eine Segmentierung (Zonenmodell) auf Netzwerkebene, damit nicht mehr das gesamte System lahmgelegt werden kann.
Das größte Sicherheitsrisiko sitzt jedoch nach wie vor dem Laptop. Die Sensibilisierung der Mitarbeiter:innen als „Human Firewall“ haben wir daher als feste strategische Initiative bei Marc O’Polo initiiert. Dazu gehören nicht nur E-Learnings und Expertenvorträge von Ethical Hacker:innen, sondern auch simulierte Phishing-Kampagnen und neue Passwort-Richtlinien.
Last, but not least haben wir diese Ausnahmesituation trotz der Schwachstellen dank unseres außergewöhnlichen Teamspirit gemeistert. So kümmerte sich unser Geschäftsführer um den Pizza-Nachschub und Führungskräfte schmierten Marmeladenbrote, um das Notfall-Team bei Kräften zu halten.
Patric Spethmann ist COO von Marc O‘ Polo.
