Bei einem Cyber-Angriff können sämtliche Daten eines Handwerksbetriebs verloren gehen. Ein Unternehmer erinnert sich zurück, wie es war, als Hacker plötzlich in sein Netzwerk eindrangen. Eine andere Betriebsinhaberin erzählt, warum sie einen Angriff bewusst zuließ.
Albert Pöllath hätte 2019 beinahe alle Daten seines Unternehmens verloren. Der Spezialist für Tore, Türen und Antriebe aus dem oberpfälzischen Erbendorf wurde Opfer einer Cyber-Attacke. Der Angriff kam überraschend, denn Pöllaths damaliger IT-Dienstleister beteuerte stets, dass der Betrieb gut geschützt sei und kein Grund zur Beunruhigung bestehe. Zunächst waren nur drei Computer im Netzwerk betroffen. Pöllaths IT-Berater sah weiter keinen Grund zum Handeln.
Doch der Betriebsinhaber zeigte sich zunehmend beunruhigt und recherchierte schließlich selbst, ob sein Betrieb wirklich ausreichend geschützt sei. Das Ergebnis war niederschmetternd. Pöllath alarmierte den Dienstleister sofort eine neue externe Datensicherung anzulegen. Gerade noch rechtzeitig, wie sich wenig später herausstellte. Nur Stunden nachdem die langwierige Sicherung abgeschlossen war, verschlüsselten die Hacker das komplette Netzwerk. Nichts ging mehr.
Betriebe sollten sich nicht erpressen lassen
"In einem solchen Moment kann dein ganzes Lebenswerk, die viele Arbeit und das Geld, das du in deine Firma investiert hast, zerstört werden", sagt Pöllath rückblickend. Glücklicherweise konnte der Betrieb mit der neuen Sicherung schnell wieder auf alle Daten zugreifen und seine regulären Arbeitsabläufe relativ schnell wieder aufnehmen. Auf die Lösegeldforderungen der Erpresser ging Pöllath nicht ein und rät auch anderen Betroffenen, dies nicht zu tun. "Sie haben keine Garantie, dass die Hacker das System wirklich wieder freigeben oder vielleicht nicht noch höhere Forderungen stellen."
Pöllath nahm den Vorfall zum Anlass, die IT-Sicherheit in seinem Unternehmen zu hinterfragen und neu aufzustellen. Als Erstes wechselte er den IT-Dienstleister, über den er sich bis heute noch ärgert: "Es gibt leider einige schwarze Schafe auf dem Markt und Betriebe sollten genau hinschauen, mit wem sie zusammenarbeiten. Leider ist es für den Laien jedoch kaum möglich, gute von schlechten Anbietern zu unterscheiden."
Pöllath empfiehlt, im persönlichen Gespräch einmal nachzufragen, ob der Dienstleister die 3-2-1-Regel kennt und beachtet. Nach dieser goldenen Regel sollten Daten immer dreifach auf zwei unterschiedlichen Medien gesichert werden, wobei sich eine davon außerhalb des Betriebs befindet. Mit seinem neuen Dienstleister ist Pöllath hochzufrieden. Die Systeme wären deutlich weniger fehleranfällig als früher. Das sei eine andere Liga.
Auch kleinere Betriebe sollten nicht versuchen, sich selbst um die hochkomplexe IT-Infrastruktur zu kümmern, sondern professionelle Unterstützung suchen. Denn es gebe einige Sicherheitsfaktoren, die der Unternehmer gar nicht allein überblicken könne.
Anhänge und Links sind das größte Einfallstor
Die Hardware ist ein zweiter Aspekt, auf den der Betriebsinhaber seit dem Angriff verstärkt achtet. Bei allen neuen Investitionen, die Pöllath in seine IT tätigt, denkt er den Sicherheitsaspekt von vornherein mit und wählt danach seine Technik aus. Einen großen Stellenwert haben für ihn zudem Schulungen, um bei den Mitarbeitern ein Sicherheitsbewusstsein aufzubauen. "Das Haupteinfallstor sind E-Mails mit infizierten Anhängen und Links, die unbedacht geöffnet werden."
Nicht zuletzt rät Pöllath den Unternehmern, sich persönlich mit IT-Sicherheit auseinanderzusetzen. "Es geht schließlich um meine Existenz, die sollte ich nicht allein in die Hände anderer legen". Der Betriebsinhaber informiert sich fortwährend, wie sich das Unternehmen am besten schützen lässt. Dazu zählt er momentan die Zwei-Faktor-Authentisierung. Dafür muss ein Nutzer seine Identität über zwei voneinander unabhängige Komponenten nachweisen, um einen Zugriff zum System zu erhalten. "Für die IT-Sicherheit gilt das gleiche, wie für alle Lebensbereiche: Hirn einschalten und mit offenen Augen durch die Welt gehen", resümiert Albert Pöllath.
Ein geplanter Angriff kann Schwachstellen aufdecken
Christina Böhm führt das SR-Malereiunternehmen im oberfränkischen Strullendorf. Früher dachte die Betriebsinhaberin, dass ihre Firma mit rund 30 Mitarbeitern zu klein sei, um für Hacker ein attraktives Ziel zu sein. Doch inzwischen ist sie sensibilisiert, nachdem sie von immer mehr Angriffen auf andere Handwerksbetriebe hört, darunter ein Cyber-Angriff mit einem wirtschaftlichen Schaden von 150.000 Euro.
"Glücklicherweise ist ein solcher Angriff bislang an uns vorübergegangen, aber wir dürfen uns nicht entspannt zurücklehnen." Sie hat sich deshalb Unterstützung bei der Handwerkskammer für Oberfranken geholt und mit dem Digitalberater Holger Bär einen sogenannten White-Box-Test durchgeführt. Das ist ein erlaubter Angriff auf das Firmennetzwerk, um Schwachstellen aufzudecken. Die Firewall erkannte den Angriff und koppelte alle Rechner automatisch vom Netzwerk ab, um eine Infizierung zu vermeiden. "Uns wurde gesagt, dass das die beste Reaktion ist und wir sehr gut vor einer Cyber-Attacke geschützt sind."
Christina Böhm möchte aber noch mehr tun. So führt sie regelmäßig Mitarbeiterschulungen durch und will eine Cyber-Versicherung abschließen, um für den Ernstfall gewappnet zu sein. "Man muss am Ball bleiben, denn die Hacker tun es auch", sagt sie.