Angriffsopfer Marc O’Polo
Sämtliche Daten durch einen Cryptotrojaner verschlüsselt: Das Modelabel Marc O’Polo gab den Ransomware-Angreifern nach, um den Geschäftsbetrieb möglichst schnell wieder hochfahren zu können. Lesen Sie das Protokoll eines Cyber-Angriffs.
Sämtliche Daten durch Ransomware verschlüsselt, und die Angreifer fordern Lösegeld für die Freigabe: Um ihren Geschäftsbetrieb möglichst schnell wieder anfahren zu können, geben die Verantwortlichen des Modelabels Marc O‘Polo den Erpressern nach und zahlen. Das Protokoll eines Cyberangriffs.
Das Auto war gepackt, am Freitag sollte die Reise in den wohlverdienten Urlaub losgehen. Die Stimmung bei Jürgen Hahn, im Herbst 2019 Finanzchef und Vorstandsmitglied bei der Marc O‘Polo AG in Stephanskirchen bei Rosenheim, war bestens. Zumal am Vorabend noch mit der Belegschaft auf dem Rosenheimer Herbstfest, dem regionalen Pendant zum Münchner Oktoberfest, kräftig gefeiert worden war. Doch dann kam alles anders als geplant. Freitag, der 13. September 2019, sollte für Hahn zum sprichwörtlichen „Schwarzen Freitag“werden. Der erholsame Urlaub rückte erst einmal in weite Ferne.
„Die größte Krise, die wir jemals hatten“
Die Katastrophe begann morgens um sieben Uhr. Der gesamte E-Mail-Verkehr bei Marc O‘Polo war plötzlich komplett ausgefallen, und alle IT-Systeme, die der Modeanbieter selbst betrieb, gaben keinerlei Lebenszeichen mehr von sich. In der Praxis bedeutete das: Es gab keine Telefone, Scanner oder Kassensysteme mehr, genauso wenig wie eine Möglichkeit, die eigene Logistikketten zu steuern und zu überwachen. Für einen Einzelhändler ist das der Worst Case. Im Grunde lag das gesamte Business brach. „Das war für uns die größte Krise, die wir jemals hatten“, blickt Hahn zurück, der über 14 Jahre für das Unternehmen tätig war: „Nichts, auf das wir uns immer blind verlassen konnten, hat noch funktioniert.“
Erschwerend hinzu kam, dass Marc O‘Polo im September 2019 eigentlich seine neue Kollektion an alle Filialen und Handelspartner ausliefern wollte. Die dafür notwendigen Daten, die zugleich im gesamten Filial- und Partnernetz verteilt werden sollten, lagen unerreichbar für alle Verantwortlichen des Unternehmens in den ausgefallenen IT-Systemen – zum Entsetzen des Managements: Denn damit stand nicht nur das aktuelle Geschäft still, auch der künftige Umsatz war akut gefährdet – und das kurz vor dem so wichtigen Weihnachtsgeschäft.
Nachdem der erste Schock überwunden war, begannen sich die Rädchen in der Marc-O‘PoloOrganisation zu drehen. Schnell wurde klar, dass man auf sich allein gestellt nicht in der Lage sein würde, die Situation zu meistern. So entschieden sich die Verantwortlichen für ein arbeitsteiliges Vorgehen. Der IT-Chef rief alle internen und externen IT-Spezialisten zusammen, während sich Hahn in seiner Eigenschaft als Chief Financial Officer (CFO) um die kaufmännischen Themen kümmern sollte.
Um die IT-Systeme schnellstmöglich wieder zum Laufen zu bringen, galt es, externe IT-Sicherheits- und Infrastrukturspezialisten heranzuholen. Doch das gestaltete sich alles andere als einfach, erinnert sich Hahn. „Es war
Freitag, viele sagten uns: Ja, wir kommen gerne mal am Montag vorbei.“
Der Ransomware-Notfallplan
Die Marc-O‘Polo-Verantwortlichen kamen schnell zu der Einsicht, dass sich die Probleme nicht auf die Schnelle lösen lassen würden, und richteten sich dementsprechend ein. Ein 24-Stunden-Service vor Ort wurde organisiert. Das Management sorgte angesichts des drohenden Notfall-Marathons vorsichtshalber auch für ausreichend Schlafplätze auf dem Unternehmens-Campus. Zudem gab es rund um die Uhr Essen, und auch Duschmöglichkeiten wurden bereitgestellt.
„Wir haben alles getan, um den Handlungsdruck hochzuhalten“, beschreibt Hahn die ersten Schritte. „Außerdem haben wir Kontakt zu unseren Rechtsanwälten hergestellt, um nicht noch unbeabsichtigte Rechtsverstöße, etwa im Bereich des Datenschutzes, zu verursachen.“Ein weiteres wichtiges Thema sei zudem die Abstimmung zwischen Vorstand und Hauptgesellschafter darüber gewesen, ob und wie das Unternehmen mit dem Erpresser verhandeln sollte. Auf diese Weise wurde schnell ein externer Verhandlungsführer gefunden, sowie das weitere Vorgehen mit den Behörden geklärt.
Die Krisenmaschine lief also an. Nach und nach trafen die angeforderten IT-Experten bei Marc O‘Polo ein: die ersten kamen noch am Freitagnachmittag, die letzten Spezialisten am Samstagvormittag. Das Team arbeitete das Wochenende durch und konnte sich so bis Montagmorgen einen Überblick über die genaue Sachlage verschaffen. So gerüstet war Marc O‘Polo dann in der Lage, in die Verhandlungen mit den Erpressern einzutreten.
Aus CFO-Sicht stand der Betrieb am Freitag noch vor einer ganz anderen Herausforderung: Es mussten alle Geschäftskonten gesperrt werden. „An einem Freitagnachmittag bei den Banken die Accounts zu schließen, ist nicht ganz einfach. Es hat auch nicht jede Bank mitgemacht“, berichtet Hahn. Der Manager rät deshalb allen Verantwortlichen, auch diesen Prozess zu üben und auf die To-do-Liste eines Emergency-Response-Plans zu setzen.
In Sachen Krisenkommunikation entschied sich das Mode-Label, die Schotten dicht zu machen. Ein anderer wichtiger Punkt sei laut Hahn gewesen, schnell das Betriebsgelände zu räumen und leer zu bekommen. Hierzu wurden alle Abteilungen nach Hause geschickt. Der gesamte Campus wurde quasi zur No-Go-Area deklariert – Zutritt nur mit Sondergenehmigung. Vor Ort blieb lediglich die IT-Mannschaft. Die Krisenphilosophie der Unternehmensführung: Sicherstellen, dass es keine Zwischenfragen aus der Belegschaft gibt, um so konzentriert an den wichtigen Themen arbeiten zu können.
Die Lösegeldzahlung
Das betraf in erster Linie die Frage, wie und was mit den Erpressern verhandelt werden sollte. Ein wichtiger Baustein in Sachen Krisenbewältigung war laut CFO der Einsatz eines externen Verhandlungsführers. „Dies schaffte eine gewisse Distanz zum Verhandlungspart
ner auf der Gegenseite, denn wir hätten zu emotional gehandelt und wir brauchten jemanden, der uns vor einer gewissen Spontaneität schützte“, begründet Hahn die Entscheidung, einen externen Verhandlungsführer hinzuzuziehen.
Marc O‘Polo entschied sich, das von den Erpressern geforderte Lösegeld zu bezahlen. Weltweit machen das gut ein Viertel der von Ransomware betroffenen Unternehmen, hatte eine im Mai 2020 veröffentlichte Studie von Sophos gezeigt. Es gibt allerdings regional deutliche Unterschiede. Während in Indien zwei Drittel der erpressten Unternehmen auf die Forderungen der Cyber-Gangster eingehen, sind es in Deutschland nur zwölf Prozent. Grundsätzlich lohne es sich nicht, das Lösegeld zu bezahlen, so ein Kernergebnis der Sophos-Studie. Die Gesamtkosten einer erfolgreichen RansomwareAttacke lägen im Durchschnitt deutlich höher, wenn die Betriebe auf die Forderungen der Erpresser eingingen.
Es ist also umstritten, wie mit RansomwareErpressern umzugehen sei. Erst im Frühjahr dieses Jahres hatten der Deutsche Städtetag, der Deutsche Landkreistag, der Deutsche Städteund Gemeindebund, das Bundeskriminalamt und das BSI an von Ransomware betroffene Kommunalverwaltungen appelliert, sich grundsätzlich nicht auf Lösegeldzahlungen einzulassen. „Jede Lösegeldzahlung macht eine Erpressung zum Erfolg für den Erpresser und motiviert diesen und andere potenzielle Angreifer zur Fortsetzung und Weiterentwicklung der Angriffe“, hieß es in einer gemeinsamen Erklärung. Außerdem bestehe das Risiko, dass nach einer Zahlung nicht das erhoffte Ergebnis eintritt oder weitere Forderungen erhoben werden.
Marc O‘Polo hatte Glück. Am Dienstag bezahlte das Unternehmen das geforderte Lösegeld. Als die Bitcoin-Zahlung in die Blockchain ging, sorgte dies bei CFO Hahn durchaus für ein mulmiges
Gefühl. Die bange Frage lautete, ob die CyberGangster einen funktionierenden Schlüssel herausrücken würden, um die gekaperten Marc-O‘Polo-Daten wieder frei zu bekommen.
Entwarnung gab es dann in der darauffolgenden Nacht. Gegen 23 Uhr am Dienstag wusste Hahn, dass er die passenden Schlüssel für sein Lösegeld erhalten hatte. Am Mittwochmorgen konnte dann mit dem Entschlüsseln begonnen werden. Insgesamt dauerte es dann aber noch vier Wochen, bis alle Systeme wieder liefen.
Der CFO hatte im Nachgang der RansomwareErpressung allerdings noch ein ganz anderes Problem. Wie sollte er eine solche Summe unter Umsatzsteuer- und EinkommenssteuerAspekten verbuchen? Denn mit einer ordentlichen Rechnung, die den Ansprüchen deutscher Steuerbehörden genügt, war von Seiten der Erpresser nicht zu rechnen. Hahn musste mit den Finanzbehörden und den Wirtschaftsprüfern klären, wie das Lösegeld zu verbuchen sei.
Security-Lehren nach dem Hackerangriff
Als Lehre aus dem Vorfall investiert Marc O‘Polo mittlerweile deutlich mehr in die IT-Security. Zudem wurde die IT-Infrastruktur komplett neu aufgesetzt. Rückblickend rät Hahn anderen von Ransomware betroffenen Unternehmen, im Fall der Fälle unbedingt Spezialisten hinzuziehen und externe Hilfe zu suchen. Des Weiteren sei eine Atmosphäre zu schaffen, die ein sehr konzentriertes Arbeiten zulässt.
Ferner empfiehlt er in eine solchen Situation, schnell einen klaren Handlungsrahmen abzustecken. Das schaffe Klarheit in Sachen Verhandlungsoptionen. Und last, but not least brauche es in einer solchen Extremsituation einen besonderen Teamspirit. Bei Marc O‘Polo kümmerten sich die Geschäftsführer um den Pizza-Nachschub, und die Führungskräfte schmierten Marmeladenbrote, um das Notfall-Team bei Kräften zu halten.