Ein Cyberangriff legte Metabo 2017 für mehrere Tage lahm. Foto:dpa Foto:  

Ein IT-Experte des Werkzeugherstellers Metabo aus Nürtingen berichtet, wie eine Cyberattacke das Unternehmen getroffen hat – und wie die Mitarbeiter damit umgegangen sind.

Stuttgart - Von den ersten Auffälligkeiten bis zur Erpressernachricht vergingen nur wenige Minuten. Der 27. Juni 2017 ist Thomas Rinas noch gut in Erinnerung. Der IT-Leiter des Nürtinger Elektrowerkzeugherstellers Metabo musste in kürzester Zeit entscheiden, wie es nach einer Cyberattacke weitergeht – zu einem Zeitpunkt, da er selbst noch nicht so genau wusste, was überhaupt vorgefallen war. „Wir wussten zunächst nicht einmal, welche IT-Systeme wir überhaupt retten können“, sagt Rinas. Man entschied sich, vorerst den Stecker zu ziehen.

Cyberdesaster durch Buchhaltungssoftware

Der Cyberangriff ging von einem Programm aus, das Metabo in der Buchhaltung verwendete. Im Team des Softwareherstellers saß ein Hacker, der einen Trojaner programmiert hatte. Die auch Ransomware genannten Schadprogramme verschlüsseln eigene Daten – um Unternehmen zu schädigen oder Lösegeld zu erpressen. Mit einem Update der Buchhaltungssoftware landete das Schadprogramm im Computernetzwerk des Nürtinger Unternehmens – ein Kollateralschaden, denn gegolten hatte der mutmaßlich von Russland lancierte Not-Petya-Angriff eigentlich der Ukraine. Weil dort dieselbe Software wie bei Metabo eingesetzt wird, traf es auch die Werkzeugbauer als eines der ersten Unternehmen in Deutschland.

Den Stecker ziehen, das bedeutete laut Rinas: „Man wird in die Steinzeit zurückgebombt.“ E-Mail, Netzwerk, Telefone – nichts ging mehr. Eine Krisen-Mail-Adresse richtete die IT bei einem Netzanbieter ein, Mitarbeiter mussten Festplatten von einem Elektronikmarkt organisieren und hatten mehr als 1000 Rechner neu einzurichten. „Turnschuhinformatik“ nennt Rinas die mit viel Gerenne verbundenen Aufgaben. In der Zwischenzeit stand die Produktion längst still, und die Auslieferung war blockiert. Rund um den IT-Leiter entstand ein Krisenmanagement, das sich vor allem mit Stift und Papier organisierte. „Ein analoges Verfahren rettete die digitale Welt“, fasst Rinas die Erfahrung zusammen.

Es dauert Tage, bis der Betrieb wieder läuft

Nach fünf Tagen sind erste Teilbereiche des Unternehmens wieder einsatzbereit, nach neun Tagen laufen wieder Bohrmaschinen und Kreissägen vom Band. „Der größte Erfolgsfaktor war der Spirit“, meint Rinas. Alle Mitarbeiter hätten mitangepackt, nicht nur die Informatik. Weniger gut ist der IT-Manager jedoch auf die Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu sprechen. Alles, was er von dem Amt gewollt hätte, sei eine Adresse gewesen, an die er sich wenden kann, sagt Rinas: „Ohne Erfolg.“

Als Konsequenz aus dem Erlebten haben die Informatiker von Metabo diverse Vorsichtsmaßnahmen getroffen. Mittlerweile müssten die Administrator-Zugänge eigens bestellt werden und würden nach einer gewissen Zeit wieder ablaufen. Auch bei den im Unternehmen verwendeten Programmen habe man aufgeräumt, erklärt Rinas weiter. Aber fühlt er sich jetzt sicher vor weiteren Angriffen? Die Angriffsarten, die er schon kenne, machten ihm keine Sorgen mehr, sagt Rinas. Und relativiert: „Was wir erlebt haben, war eine ungezielte Attacke. Wenn jemand einen gezielten Angriff startet, ist die Abwehr mit ziemlicher Sicherheit noch schwieriger.“ Diese Cyberattacken seien aus Sicht der Täter wohl besonders effizient: „Man kann aus der Deckung heraus arbeiten und die eigenen Spuren so verwischen, so dass man nur ein geringes Risiko eingeht, erwischt zu werden.“

„Attacken abzuwehren wird immer schwerer“

Für mittelgroße Unternehmen wie Metabo ist das Thema Cybersicherheit eine besondere Herausforderung. In den Jahren 2009 und 2010 stand Metabo vorübergehend vor dem Aus. Man musste aufgrund des Spardrucks einen Mittelweg bei der IT-Sicherheit finden. Mit dem Sicherheitsrisiko der Gegenwart sind Unternehmen wie der Werkzeughersteller stark gefordert: „Wir wurden durch diese bislang unbekannte Form der digitalen Attacke ohne jede Vorwarnung in die vorderste Front der Cyberkriminalität katapultiert“, sagt Rinas. Was bedeutet das für die Zukunft? „Mit der Digitalisierung wächst die Komplexität weiter, und es wird immer schwieriger für Unternehmen, alle Attacken abzuwehren“, schätzt Rinas die Situation ein.