Der Fall des folgenden Cyberangriffs ist schon fast ein Jahr her. Da die Firma und vor allem die Unternehmerin, selbst Vize-Präsidentin der IHK, nicht nur regional ziemlich bekannt ist, sondern auch sehr offen über die Cyberattacke auf den eigenen Betrieb spricht, lässt sich einiges daraus lernen.

Cyberattacke auf Unternehmensgruppe Bauer

Am Sonnabend, 11. Juni 2022, um 9.05 Uhr klingelt bei Anja Bauer das Telefon: „Könnt Ihr ins Büro kommen, wir sind gehackt worden.“ Es ist der Morgen nach dem Sommerfest der Unternehmensgruppe Bauer, einem Autohaus mit etlichen bekannten Marken samt Reifendienst und Standorten in Flensburg, Schleswig, Husum sowie Weddingstedt bei Heide. Es war die Nacht einer Party, bei der um 1.21 Uhr nachts garantiert kein IT-Mitarbeiter online ist, als alle Sicherheitssysteme runtergefahren, alle Server verschlüsselt werden und die Backups nicht mehr zu erreichen sind. 125 Gigabyte Daten fließen in dieser Nacht ab.

Gerade der kleine Dithmarscher Standort spielt in dieser Geschichte eine entscheidende Rolle. Die Frage, warum das eigene Unternehmen Ziel eines Cyberangriffs war, beantwortet Anja Bauer (55) heute so: „Der Grund war unsere Systemrelevanz im Ukrainekrieg – die Bundeswehr lässt bei uns in Weddingstedt ihre Tankwagen warten.“

Plötzlich wird ein Autohaus mit der Reparatur doppelwandiger Tankwagen für russischer Kriminelle zum Rüstungszulieferer. Und der Autohändler mit 250 Beschäftigten im nördlichen und westlichen Schleswig-Holstein zum Opfer eines sogenannten Ransomware-Angriffs.

Folge: Alle 28 Server sind verschlüsselt: „Wir sollten im Darknet mit den Erpressern die Lösegeldforderung aushandeln“, erzählt die Unternehmerin. Von einer Gruppe erpresst, die sich „Black Basta“ nennt. „Wir sind nicht ins Darknet gegangen und haben keinen Kontakt zu den Erpressern aufgenommen.“ 80 Prozent aller gehackten Unternehmen würden immer wieder gehackt, bis sie pleite sind, sagt Anja Bauer. „Wir hatten das Gefühl, alles in der Hand zu haben.“

Im kaufmännischen Blindflug

Eine optimistische Einschätzung, wie sich rasch herausstellt: Weder Mails noch Netzwerke sind nach der Ransomware-Attacke zugänglich. Eigentlich gebe es drei Sicherungen. Nun aber: kein Telefon, keine Angebote, keine Kundendaten, keine Gehaltsmitteilungen. „Wir sind in alle vier Standorte gefahren und haben alle Rechner, Laptops, Switche, Drucker – wie man umgangssprachlich so schön sagt – platt gemacht, neu aufgesetzt und die Mail-Adressen wieder eingerichtet.“

Was folgte, war ein kompletter kaufmännischer Blindflug: Auf wen war wohl dieses Auto zugelassen? Wurde jener Wagen hier schon einmal repariert? „Wir konnten nicht sehen, wer was bezahlt hat“, erinnert sich Anja Bauer. Und ohne Kontakt zum Netzwerk der Münchner BMW-Zentrale sind plötzlich nicht einmal einfache Elektronik–Updates möglich.

„Wir haben erstmal Inventur gemacht, um zu wissen, was da ist“, sagt Anja Bauer: Jedes Auto, jede Schraube, jeder Geldschein, jeder Reifen.

Doch in der Krise steckte auch eine Chance: „Wir konnten die in über 90 Jahren Firmengeschichte gewachsene Struktur überdenken.“ Man habe mit Steuerberatern und Rechtsberatern beschlossen, dass die beste Firmenstruktur folgende sein dürfte: eine neue Firma mit den Marken BMW und Mini und eine zweite mit den Marken Fiat, Jeep, Abarth, Point-S, Lackiererei, Tankprüfung und Iveco.

Komplette Firmenneugründung in 19 Tagen

So wurden also sieben Unternehmen liquidiert – und zwei neue gegründet. „Es dauerte nur 19 Tage von der Nachricht, dass wir von einer russischen Bande Krimineller gehackt wurden, bis zur Eröffnung zweier neuer Gesellschaften – das geht nur mit einem Super-Team“, sagt Anja Bauer heute. Die Kripo habe den Schaden damals auf 200 Millionen Euro geschätzt. „Ich würde sagen, da hat sie gut geschätzt.“

Und die Schwachstelle? Findet sich immer. Es soll ein Chip im elektronischen Alarmsystem gewesen sein. Doch bei allem Sicherheitsdenken und dem Wunsch, ein gut gesichertes System noch einmal zu verbessern, bleibt die Erkenntnis: Vollständiger Schutz ist unmöglich.