Hamburger IT-Strategietage 2021

Learning by Losing

Marabu-CIO: Ja, wir wurden gehackt, aber das ist keine Schande

01.03.2021
Von 


Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
Marabu wurde Opfer einer Cyperattacke inklusive Erpressungsversuch – und ging damit an die Öffentlichkeit. Welche Erfahrungen der Farbenhersteller damit machte, berichtete CIO Stefan Würtemberger.
Marabu-CIO Stefan Würtemberger: Neun Wochen nach dem Cyberangriff waren die IT-Systeme zu 95 Prozent wieder intakt.
Marabu-CIO Stefan Würtemberger: Neun Wochen nach dem Cyberangriff waren die IT-Systeme zu 95 Prozent wieder intakt.

Natürlich gibt es unzählige solcher Angriffe wie jener, den Marabu erleben musste. Trotzdem wird fast nie darüber geschrieben, weil Betroffene nicht darüber sprechen wollen. Stefan Würtemberger will, und er darf. "Die Geschäftsleitung ist ganz bewusst damit an die Öffentlichkeit gegangen." Nach dem Motto: Ja, wir wurden gehackt, aber das ist keine Schande - und kann euch auch passieren.

Würtemberger war als CIO erst knapp zwei Monate im Amt, als am 29. November 2019 innerhalb von sechs Stunden alle Serversysteme des Unternehmens unbrauchbar und verschlüsselt waren. Der Angriff legte den E-Mail- und Internetzugang lahm, das ERP-System, die Fileservices und die Telefonanlage. Gegen eine Zahlung von 4,7 Millionen Euro, zahlbar in Bitcoins - so die Forderung der Erpresser - würden die Systeme kurzfristig wieder freigeschaltet.

Marabu wollte auf keinen Fall bezahlen

Die Verantwortlichen riefen die Polizei. Am nächsten Tag trafen Ermittler der Kripo und des Landeskriminalamts am Marabu-Hauptsitz in Stamm bei Stuttgart ein, Das sind Spezialisten, die in solchen Fällen mental und psychologisch Unterstützung leisten. Die Kommunikation mit den Verbrechern überlassen sie dabei grundsätzlich den Erpressten, weil am Ende auch nur sie entscheiden können, ob sie die Forderung erfüllen wollen oder nicht.

Was macht man bei einem Cyberangriff? Marabu-CIO Stefan Würtemberger gab seine Praxiserfahrungen weiter.
Was macht man bei einem Cyberangriff? Marabu-CIO Stefan Würtemberger gab seine Praxiserfahrungen weiter.

Die Marabu-Verantwortlichen traten mit den Gangstern gar nicht erst in Kontakt, fest entschlossen, sich nicht erpressen zu lassen. Und spätestens mit der Pressemitteilung, die das Unternehmen dann zu dem Fall herausgab, müssen sich die Erpresser über diese Entscheidung im Klaren gewesen sein.

Stefan Würtemberger und seine Kollegen bildeten einen Krisenstab, um die Systeme so schnell wie möglich zumindest wieder arbeitsfähig zu machen. Dabei mussten sie zunächst feststellen, dass die Angreifer auch ein zentrales Backup abgeklemmt hatten. Der CIO räumt ein, dass das Monitoring bei Marabu damals noch keineswegs optimal, ja das Unternehmen technisch insgesamt an der einen oder anderen Stelle noch nicht ganz so weit war, wie es technisch wünschenswert gewesen wäre - und wie es heute der Fall ist.

Alle Werke standen für einige Tage still

Auch die Kommunikation in der Krise - und über sie - war schwierig, weil wie beschrieben weder die E-Mail-Clients auf den Rechnern noch die Telefonanlage funktionierten. "Wir sprachen via Smartphone miteinander und gründeten WhatsApp- und Chat-Gruppen, auch um international in Verbindung zu bleiben."

Schließlich waren von dem Angriff auch Standorte in anderen Ländern betroffen. Alle Werke mussten für einige Tage geschlossen werden, bis Produktionsdaten auf Papier beschafft waren. Damit konnte die Fertigung im Hauptwerk samt ERP nach fünf Tagen wieder anlaufen. Im Tagesrhythmus wurden auch die Werke in anderen Ländern reaktiviert. Und nach neun Wochen waren die IT-Systeme zu 95 Prozent wieder intakt.

In so einer Situation klappt natürlich auch nicht immer alles wie gewünscht, daraus macht der Marabu-CIO keinen Hehl. "Wie hatten zum Beispiel bei einem Dienst angekündigt, dass er am nächsten Tag wieder läuft. Tatsächlich hat das aber dann noch drei Wochen gedauert."

Der bezifferbare Schaden durch den Angriff belief sich auf circa eine Million Euro - wobei sich nicht alle Schäden berechnen lassen. Marabu war zum Glück versichert, allerdings hatte die Versicherung bis Ende Februar 2021 noch nicht gezahlt.

Ein Drittel des IT-Budgets für Security

Stellt sich am Ende natürlich die Frage, was Stefan Würtemberger und sein Team, was das ganze Unternehmen aus dem Fall gelernt hat. Und was andere daraus lernen sollten.

IT und OT lieber trennen? Der Marabu-CIO hält das nicht für einen gangbaren Weg, seiner Ansicht nach ist der Aufwand für ein getrenntes Management beider Bereiche zu hoch. Und ein Freund der Cloud sei er auch nach wie vor, weil "Cloud-Strukturen viel schneller etabliert sind als on Premise, und man kriegt solche Strukturen auch sicher."

Wenn man den dafür notwendigen Aufwand nicht scheut: Anders als vor der Attacke werden die Marabu-Systeme jetzt an sieben Tagen der Woche rund um die Uhr überwacht. Die Kosten dafür sind hoch, vor allem für einen Mittelständler. Marabu verwendet heute ein Drittel seines IT-Budgets für das Thema Security.

Keine Angst vor Reputationsverlust

Die Forensiker des LKA haben ihre Arbeit bei Marabu - mehr als ein Jahr nach dem Angriff - bis heute nicht beendet. Sie wollen so viele Erkenntnisse wie möglich mitnehmen, um daraus für andere, zukünftige Fälle zu lernen. Stefan Würtemberger nennt das "Learning by Loosing". Für die zukünftige Arbeit bei Marabu setzt er aber natürlich eher auf Prävention: "Wir arbeiten vor allem daran, die Awareness von allen weiter zu erhöhen durch systematische Schulung."

Und die Reaktionen von außen auf die Veröffentlichung des Falles? "Die Verständnis war unheimlich groß, viele haben uns Hilfe und Unterstützung angeboten. Auch deshalb glaube ich, dass die große Angst vor dem Reputationsverlust in solchen Fällen oft übertrieben ist," so der Marabu-CIO.