Ransomware bei Marc O' Polo

Protokoll eines Hackerangriffs

12.10.2020
Von 
Jürgen Hill ist Teamleiter Technologie. Thematisch ist der studierte Diplom-Journalist und Informatiker im Bereich Communications mit all seinen Facetten zuhause. 
Erpresst durch Ransomware, alle Daten durch Cyber-Kriminelle verschlüsselt – was dann? Das Protokoll des Cyberangriffs auf den Casualwear-Anbieter Marc O' Polo gibt die Antwort.
"Rien ne va plus" hieß es im September 2019 bei der Bekleidungskette Marco O' Polo. Ein Hacker hatte die IT, Kassensysteme, Scanner, Telefone etc. lahmgelegt.
"Rien ne va plus" hieß es im September 2019 bei der Bekleidungskette Marco O' Polo. Ein Hacker hatte die IT, Kassensysteme, Scanner, Telefone etc. lahmgelegt.
Foto: Sorbis - shutterstock.com

Das Auto war für den Urlaub ab Freitag gepackt. Die Stimmung bestens, zumal man am Vorabend mit der Belegschaft noch auf dem Rosenheimer Herbstfest, dem regionalen Pendant zum Münchner Oktoberfest, gefeiert hatte. Doch Freitag, der 13. September 2019, sollte für Jürgen Hahn, bis 31.10.2020 CFO und Vorstandsmitglied bei der Marc O' Polo AG in Stephanskirchen bei Rosenheim, zum sprichwörtlichen "Schwarzen Freitag" werden und ein erholsamer Urlaub in weite Ferne rücken.

"Die größte Krise die wir jemals hatten"

Denn aus dem Traum eines etwas geruhsameren Freitags zum Wochenausklang wurde nichts. Ab 7 Uhr morgens stoppte der E-Mail-Verkehr und alle Systeme, die der Casualwear-Anbieter selbst betrieb, waren tot. Sprich, es gab keine Telefone, Scanner oder Kassensysteme mehr und die Logistik funktionierte nicht mehr. Für das Unternehmen der Worst Case, denn so war es der Möglichkeit beraubt, Umsatz zu generieren. "Das war für uns die größte Krise, die wir jemals hatten", blickt Hahn zurück, der über 14 Jahre für das Unternehmen tätig war: "Nichts, auf das wir uns sonst immer verlassen hatten, hat noch funktioniert."

Erschwerend kam hinzu, dass das Unternehmen zu diesem Zeitpunkt seine neue Kollektion an Filialen und Handelspartner übergeben wollte. Die entsprechenden Daten hierzu waren alle elektronisch vorhanden und sollten überspielt werden. Auch das ging nicht. Womit sich zum Erschrecken des Managements noch eine andere Konsequenz herauskristallisierte: Der künftige Umsatz war gefährdet.

Nach einer halben bis einer Stunde Selbstmitleid trat das Unternehmen dann in Aktion. Schnell wurde dabei klar, dass man selbst nicht in der Lage war, die Situation zu meistern. So entschied man sich für eine Arbeitsteilung. Der IT-Verantwortliche kontaktierte die internen und externen IT-Spezialisten, während Hahn in seiner Eigenschaft als CFO die kaufmännischen Themen betreute. IT-Themen waren etwa Forensiker, IT-Infrastruktur, etc. Die Herausforderung war dabei, die Experten schnell ins Unternehmen zu bekommen. "Es war Freitag, vielen sagten dann, ja wir kommen mal am Montag vorbei", erinnert sich Manager Hahn.

Der Ransomware-Notfallplan

Ein Umstand, der für das Unternehmen nicht tragbar war. In seiner Not baute der Bekleidungsanbieter ad hoc einen 24h-Service auf und richtete Schlafplätze auf dem Unternehmens-Campus ein. Zudem gab es rund um die Uhr Essen und Duschen wurden bereitgestellt. "Wir haben den Druck enorm hochgehalten und ferner die Rechtsanwälte mit an Bord geholt, um etwa die Datenschutzverordnungen einhalten zu können", beschreibt Hahn die Situation. Ein weiteres wichtiges Thema war zudem die Abstimmung zwischen Vorstand und Hauptgesellschafter darüber, wie das Unternehmen mit dem Erpresser verhandeln konnte.

Auf diese Weise wurde zum einen schnell ein externer Verhandlungsführer gefunden, sowie das Vorgehen mit den Behörden geklärt. Zum anderen war es so möglich, auf IT-Seite doch noch die benötigten Experten herbeizurufen. Die Ersten trafen dabei gegen 13.30 Uhr am Freitag ein, die letzten benötigten Spezialisten kamen am Samstag gegen 10 Uhr. So konnte man Samstag und Sonntag durcharbeiten und kannte dann am Montagmorgen die genaue Sachlage. Womit man auch in der Lage war zu verhandeln.

Für die Verhandlungen zog das Unternehmen einen externen Verhandlungsführer hinzu.
Für die Verhandlungen zog das Unternehmen einen externen Verhandlungsführer hinzu.
Foto: vchal - shutterstock.com

Aus CFO-Sicht hatte der Freitag noch eine andere Herausforderung auf Lager - es mussten alle Geschäftskonten gesperrt werden. "Und freitagnachmittags bei der einen oder anderen Bank die Accounts zu schließen, ist nicht einfach und nicht jede Bank hat mitgemacht", erzählt Hahn und rät deshalb allen Verantwortlichen, dies einmal zu üben und auf die To-Do-Liste eines Emergency-Response-Plans zu setzen.

Ein anderer wichtiger Punkt war laut Hahn, schnell den Campus leer zu bekommen. Hierzu wurden alle Abteilungen nachhause geschickt. Das Unternehmensgelände wurde quasi zur No-Go-Area - Zutritt nur mit Sondergenehmigung. Vor Ort blieb lediglich die IT-Mannschaft. So wurde sichergestellt, dass es keine Zwischenfragen aus der Belegschaft gab und konzentriert an den betroffenen Themen gearbeitet werden konnte.

Die Lösegeldzahlung

Ein wichtiger Baustein bei der Krisenbewältigung war laut CFO der externe Verhandlungsführer. "Dies schaffte eine gewisse Distanz zum Verhandlungspartner auf der Gegenseite, denn wir hätten zu emotional gehandelt und wir brauchten jemand, der uns vor einer gewissen Spontanität schützte", begründet Hahn die Entscheidung, einen externen Verhandlungsführer hinzuzuziehen.

Vor diesem Hintergrund konnte das Unternehmen dann am Dienstag das erpresste Lösegeld bezahlen. Als die Bitcoin-Zahlung in die Blockchain ging, war dies für den CFO mit einem Wechselbad der Gefühle verbunden. Denn für den Financer war damit nicht nur die bange Frage verknüpft, ob er auch wirklich einen funktionierenden Schlüssel erhält.

Gegen Zahlung eines Lösegelds in Bitcoin - über die Summe schweigt das Unternehmen - erhielt die Firma glücklicherweise einen funktionierenden Schlüssel.
Gegen Zahlung eines Lösegelds in Bitcoin - über die Summe schweigt das Unternehmen - erhielt die Firma glücklicherweise einen funktionierenden Schlüssel.
Foto: Wit Olszewski - shutterstock.com

Ihn beschäftigte auch, wie er eine solche Summe unter Umsatzsteuer- und Einkommenssteuer-Aspekten verbucht, denn mit einer ordentlichen Rechnung, die den Ansprüchen deutscher Steuerbehörden genügt, war durch den Erpresser nicht zu rechnen. Womit der CFO einen weiteren Nebenkriegsschauplatz hatte: Es war mit den Finanzbehörden und den Wirtschaftsprüfern zu klären, wie solch eine Summe zu verbuchen ist.

Gegen 23 Uhr am Dienstag fühlte sich Hahn wieder einigermaßen als Herr der Lage: Das Unternehmen wusste, dass es den richtigen Schlüssel erhalten hat. Am Mittwochmorgen konnte dann mit dem Entschlüsseln begonnen werden. Insgesamt dauerte es dann noch vier Wochen, bis alle Systeme wieder liefen.

Security-Lehren nach dem Hackerangriff

Als Lehre aus dem Vorfall investiert Marc O´Polo mittlerweile deutlich mehr in die IT-Security. Zudem wurde die IT-Infrastruktur komplett neu aufgesetzt. Rückblickend rät Hahn anderen eventuell betroffenen Unternehmen, im Fall der Fälle unbedingt Spezialisten hinzuziehen und externe Hilfe zu suchen. Des Weiteren sei eine Atmosphäre zu schaffen, die ein sehr konzentriertes Arbeiten zulässt.

Ferner empfiehlt er in eine solchen Situation sehr schnell einen klaren Handlungsrahmen abzustecken, was auch Klarheit in Sachen Verhandlungsoptionen gibt. Und last, but not least benötige eine solche Extremlage einen besonderen Teamspirit. Bei Marc O´Polo kümmerten sich etwa Geschäftsführer um den Pizza-Nachschub und Führungskräfte schmierten Marmeladenbrote, um das Notfall-Team bei Kräften zu halten.