Interview
Bremer Unternehmer über Cyber-Erpressung: "Fast hätte ich gezahlt"
Einen Millionenbetrag verlangten Hacker von Christoph Weiss bei einer Cyberattacke auf sein Unternehmen. Er investierte in seine IT und sagt: Es ist ein Wettlauf mit den Hackern.
Der Bremer Unternehmer Christoph Weiss ist einer der wenigen, die darüber sprechen. Vor etwa zweieinhalb Jahren drangen Hacker in das IT-System seines Dentalunternehmens ein. Wochenlang spähten sie das System aus, verschlüsselten unbemerkt nach und nach sämtliche Daten; es war wie im Film: Eines Tages erschien nur noch eine Erpresser-Nachricht auf dem Computer-Monitor. Nichts ging mehr, kein Mail-Verkehr, keine Telefonate, kein Zugriff auf Kundendaten – die IT war komplett lahmgelegt. Nur mit Riesen-Glück kam sein Unternehmen davon. Heute ist er davon überzeugt, dass man öffentlich darüber reden muss. "Weil es immer häufiger passiert."
Herr Weiss, nicht viele sprechen über einen Cyber-Angriff auf das eigene Unternehmen. Sei es aus Sorge um das Image oder Scham, weil man offenbaren müsste, dass das IT-System angreifbar war. Was hat Sie dazu bewogen, es zu tun?
Als ich das erste Mal darüber gesprochen habe, war ein Jahr vergangen – und wir waren fast wieder im normalen Fahrwasser. Wenn man gerade erst betroffen ist, will man das nicht erzählen, weil man selber gar nicht weiß, ob und wie man wieder aus der Misere herauskommt.
Aber dann habe ich mich gefragt: 'Warum sollte ich nicht darüber sprechen?' – man hört immer davon und denkt, das würde nur die anderen treffen. Ich hatte die Gefahr damals nicht ernst genug genommen, und wenn ich darauf eingestellt gewesen wäre, hätte ich viel Geld und vor allem Sorgen sparen können. Und ich dachte, unser Fall könnte als Beispiel dienen, damit es anderen nicht passiert.
Hat Ihre Offenheit dem Image Ihres Unternehmens geschadet?
Bei mir war es offenbar sogar das Gegenteil. Ich hätte wahrscheinlich eine Karriere machen können als Speaker bei Cyber-Kongressen. Das habe ich tatsächlich einmal gemacht, aber dazu habe ich natürlich keine Zeit. Es haben viele angerufen, die auch Probleme hatten und wissen wollten, wie wir das gelöst haben; Firmen kamen auf mich zu und fragten, wie man damit umgehen kann. Dann war es wohl gut, dass ich darüber gesprochen habe.
Ihnen ist ein Angriff wie im Lehrbuch passiert. Können Sie das noch mal schildern?
Vereinfacht ausgedrückt haben wir irgendwann eine Mail mit einer Schadsoftware bekommen, die offenbar jemand angeklickt hat. Und so sind die Angreifer in unser System eingedrungen und waren da wohl wochenlang unterwegs und haben uns beobachtet. In einer Nacht von Freitag auf Samstag haben sie dann zugeschlagen. Alle Daten waren verschlüsselt, auch die Sicherheitskopien. Es ging nichts mehr, nicht telefonieren, keine E-Mails, wir hatten keinen Zugriff auf die IT. Stattdessen gab es eine Nachricht von den Hackern, in der sie Lösegeld verlangt haben.
Können Sie sich noch an den Moment erinnern, als Sie das gesehen haben?
Ja, ja (lacht). Das kommt ja in Raten. Bei mir rief an dem Samstag mein IT-Leiter an und fragte, ob ich kommen könnte. Ich habe das damals anschließend mit einem schweren Autounfall verglichen, bei dem sie im Wrack aufwachen und gar nicht wissen, wie es ihnen geht. Man kommt dann nach und nach zu sich und stellt fest, was da genau passiert ist. Wenn Sie mich fragen, wie es mir ging? Ich saß am Sonntag in meinem Büro und habe mich gefragt: "Wie schlecht geht es mir gerade?". Ich wusste nicht, wie es weitergeht und war mir nicht sicher, ob und wie wir da rauskommen.
Alles ist wahrscheinlich billiger als das Unternehmen zu verlieren. Das ist eine ganz einfache Rechnung. Wenn wir die Sicherheitskopie nicht gefunden hätten, hätte ich wohl zahlen müssen.
Christoph Weiss, Inhaber Bego-Unternehmensgruppe
Es klingt tatsächlich so, als hätte es keinen Weg gegeben, aus eigener Kraft da rauszukommen. Auch die Sicherheitskopien waren ja verschlüsselt. Ist das nicht eigentlich, wie der Name es sagt, ein "sicherer" Ort?
Wenn jemand in ihrem System sitzt und sie lange ausspäht, dann weiß der auch wo ihre externen Speicherorte sind. Sie sind halt in gewachsenen Systemen nicht optimal geschützt. Das ist so, als würde ihr zentraler IT-Mitarbeiter im System sein – und der kann machen, was er will. Und das machen die dann auch. Ich habe damals schon gesagt, dass es eine unternehmerische "Nahtoderfahrung" war. Diese Erfahrung, die sollte keiner machen müssen. Deswegen spreche ich auch drüber.
Ihre Firma gibt es noch, aber das war haarscharf – Sie hatten riesiges Glück.
Ja. Wir wussten, dass es noch eine Sicherheitskopie gab, aber wir wussten nicht, ob die auch verschlüsselt ist. Dann haben wir festgestellt, dass die Hacker die zwar löschen wollten – wir haben den Löschbefehl gefunden – das hat aber nicht funktioniert. Das war nämlich eine Band-Kopie, die Daten waren auf Band gespeichert. Und wir hatten einen Hardware-Fehler, das Bandlaufwerk hat manchmal gehakt. Und so war das auch bei der Cyberattacke. Deshalb wurde der Lösch-Befehl nicht ausgeführt und die Daten blieben unverschlüsselt. Wir hatten zwar Datenverluste, sind aber einigermaßen glimpflich da rausgekommen.
Hätten Sie ohne diese Sicherheitskopie den Erpressern das Geld gegeben?
Ganz ehrlich: Da wird man schwach. Ich bin wirklich froh, dass wir nicht zahlen mussten. Wir haben mittlerweile 550 Mitarbeiter. Da fragt man sich: was kostet mein Unternehmen? Damit wird schnell klar, wie die Abwägung erfolgt. Alles ist wahrscheinlich billiger als das Unternehmen zu verlieren. Das ist eine ganz einfache Rechnung. Wenn wir die Sicherheitskopie nicht gefunden hätten, hätte ich wohl zahlen müssen.
Sie haben danach in die IT Ihres Unternehmens investiert. Wie teuer war das? War das Invest in die neue Technologie mehr oder weniger als die geforderte Erpressungssumme?
Es hat natürlich trotzdem Geld gekostet, weil wir die ganzen Prozesse umgestellt haben und ein neues System aufbauen mussten. Das war mir aber egal, weil Erpressung eben einfach nicht erfolgreich sein darf. Wenn man es sich leisten kann, muss man sich das Invest in die IT-Sicherheit leisten. Es war eine siebenstellige Summe, die da geflossen ist. Wir hatten auch ein paar Tage keine Umsätze, wir mussten die Kunden informieren, das sind ja alles Kosten, die man nicht beziffern kann. Mitarbeiter mussten mehrere Wochen lang zehn Stunden am Tag arbeiten, das muss man auch bezahlen. Das war superteuer, aber früher oder später hätten wir die neuen Technologien ohnehin aufsetzen müssen. Die Attacke war dann der Auslöser.
Es ist vor allem auch unheimlich stressig. Eine emotionale Ausnahmesituation und nicht nur die Sorge vor hohen Kosten.
Ihr Team musste das ja mittragen, dass die Existenz des Unternehmen auf der Kippe steht und Sie waren ja selbst unter Druck. Wie bewältigt man das?
Klar, ich konnte erst mal nicht absehen, wie und ob es weiter geht. Wir wussten ja am Anfang gar nicht, wie wir überhaupt kommunizieren können, wir konnten ja keine Mails schicken. Telefonieren ist über Voice over IP – das ging also auch nicht – und wo ist überhaupt eine Adressliste? Wir haben am Sonntag überlegt: "Was machen wir morgen. Wir können ja nicht mal die Rechner anschalten."
Aber die Leute brauchen auch keinen frustrierten hektischen Chef. Da muss man sich die Ärmel hochkrempeln und nach vorne gucken – und dann löst man jeden Tag jede Menge Probleme. Das war eine unglaubliche Belastung, vor allem für das IT-Team. Die waren schlicht sauer und haben gesagt "Jetzt erst Recht". Und es hat auch lange gedauert, die mussten lange einen tollen Job machen – und sie haben es geschafft. Ich bin immer noch begeistert von unserem Team. Ich will das nicht noch einmal erleben, aber diese Teamarbeit war dann geradezu beglückend.
Hat man die Täter eigentlich gefunden?
Nein, das ist auch aussichtslos. Für diese Leute ist das ein Job. Die küssen morgens ihre Frau auf den Mund und sagen "Ich gehe zur Arbeit, Schatz, bin heute Abend wieder da." Und dann hacken die; das ist ein Geschäftsmodell. Und offensichtlich ist das einträglich.
Wenn Sie heute zurückblicken, fühlen Sie sich mit Ihrem Unternehmen nach der IT-Umrüstung sicher?
Ich fühle mich heute natürlich etwas sicherer als als vor zwei Jahren. Aber ich weiß eben wie schnell es gehen kann. Wir haben natürlich die neueste Technologie, die man haben konnte – das war auch teuer genug. Aber auch die Hacker entwickeln sich weiter. Das ist wie ein Wettlauf, da muss man immer vorne dabei sein. Auch die laufenden Kosten haben wir erhöht. Aber sich sicher zu fühlen, ist schon mal ein Grundfehler. Cybersicherheit muss man mit einem begründeten Maß an Demut betrachten und mit der Erkenntnis, dass man nie perfekt sein kann, sondern immer nur versucht, die Risiken zu reduzieren.
Wir verschicken auch Testmails, und immer noch klicken Mitarbeitende die Links an, obwohl wir entsprechende Anweisungen gegeben haben. Zugegeben, man sieht den Mails heute auch nicht immer an, dass sie gefälscht sind. Die sehen aus, als kämen sie von befreundeten Unternehmen. Das ist heute manchmal kaum mehr zu erkennen, deswegen soll man bei Links immer vorsichtig sein. Es gilt: Man muss heute immer etwas besser sein als die Angreifer.
Was empfehlen Sie anderen Unternehmen, die angegriffen wurden. Sollten auch die darüber sprechen?
Man kann darüber sprechen, aber sicher nicht bevor man weiß, wie man da selber herausgekommen ist. Nicht jeder muss seine und ihre Geschichte erzählen, aber es braucht auch keine falschverstandene Scham. Aus meiner Sicht hat man nicht notwendigerweise einen Image-Nachteil. Unternehmen scheitern oft aus falscher Scham. Für Cyberangriffe muss man sich nicht schämen. Das kann passieren und es passiert – leider gerade besonders häufig.
