Als einer seiner Mitarbeiter ihn fragt, ob er sofort in die Firma kommen könne, ist Christoph Weiss klar, dass etwas passiert ist. Ein Tag im Juni 2020, ein Sonnabend, Wochenende. Eine Zeit also, in der Anrufe von der Arbeit eigentlich nicht kommen. Kommen sie doch, das weiß der Unternehmer, handelt es sich sehr wahrscheinlich um einen Notfall.
Weiss fährt ins Büro – und was er dort sieht, bestätigt seine Befürchtungen. Nachdem die Computer in der Firma hochgefahren worden sind, erscheint nicht wie sonst der Desktop, sondern eine Nachricht. „Es war wie im Film“, sagt er heute. „Nichts ging mehr. Alles war lahmgelegt.“ Weiss' Firma wurde gehackt.
Seit 1997 ist Christoph Weiss Geschäftsführer von Bego. Übernommen hat er den Betrieb von seinem Vater. So etwas wie an diesem Juni-Sonnabend hat er noch nicht erlebt. Das Erste, was er und seine Mitarbeiter machen, ist simpel, aber effektiv: Das Team kappt die Verbindung zum Internet. Wer auch immer sich in die Systeme von Bego eingeschleust hat, kann so keine Daten mehr abfischen. Das größte Problem bleibt aber: Die Daten des Unternehmens sind verschlüsselt, Weiss kann nicht mehr auf sie zugreifen. „Wir konnten nicht mal E-Mails schreiben. Alles war gesperrt“, sagt der Geschäftsführer.
Unternehmer Christoph Weiss
Bego ist kein IT-Unternehmen, sondern beliefert Zahnärzte und Zahntechniker mit Instrumenten und Werkstoffen. Ohne Computertechnik geht es aber auch hier nicht. Die Netzwerke sind wie eine zentrale Nervenbahn, die alle Einheiten der Firma verbindet. Sie sorgt für reibungslose Abläufe zwischen den Abteilungen, für Koordination und Kommunikation. Ist sie gekappt, ist das Unternehmen bewegungsunfähig.
Weiss vergleicht die ersten Stunden und Tage, nachdem die Cyberattacke entdeckt worden war, mit dem Gefühl nach einem Autounfall. Als wäre er aufgewacht, ohne zu wissen, was passiert sei; als könne er seine Beine nicht mehr bewegen, ohne zu wissen, ob er gelähmt sei. Weiss sagt: „Das war eine unternehmerische Nahtod-Erfahrung.“
Der Bremer Mittelständler ist plötzlich Teil einer Welt, die er nur aus der Zeitung kennt, aus Filmen, aus Romanen. Geschichten, die weit weg sind. Wer den Begriff „Hacker“ im Internet sucht, findet Bilder von Menschen, die mit Kapuze oder Skimaske vor einem Bildschirm sitzen. Hilflose Versuche, die sichtbar zu machen, die in der Regel unerkannt bleiben.
Attacken, wie sie Weiss erlebt hat, ereignen sich täglich. Und es trifft jeden: den kleinen Handwerker genauso wie den großen Konzern, den Mittelständler genauso wie den Freiberufler. Zwischen Bremen und Berlin, Flensburg und Konstanz. Jeder ist verwundbar.
Das wissen auch die Kriminellen. „Die Anzahl der Angriffe auf Wirtschaftsunternehmen steigt stetig an, und kriminelle Attacken verursachen Rekordschäden“, warnt etwa das Bundesamt für Sicherheit in der Informationstechnik. Auch in Bremen verzeichnet die Polizei einen Anstieg der Angriffe auf hiesige Firmen. Eine Erhebung des Versicherers Hiscox ergab, dass vergangenes Jahr 46 Prozent der deutschen Unternehmen Opfer von Attacken aus dem Internet wurden. Auch in Bremen und umzu gibt es etliche betroffene Firmen, 2019 traf es etwa den norwegischen Aluminiumhersteller Hydro mit Standort in Achim-Uphusen. Weltweit standen für mehrere Tage Fabriken still. Die Daten der Handwerkskammer Hannover wurden vergangenen Herbst von Kriminellen verschlüsselt. Kurze Zeit später traf es das Bremer Raumfahrtunternehmen OHB. Und: Längst nicht jeder Fall wird bekannt.
In vielen Fällen spielt Ransomware die Hauptrolle – eine Schadsoftware, die durch einen unbedachten Klick auf eine E-Mail oder eine Website auf den Computer geladen wird. Sie verschlüsselt alle Daten; nur mit einem Code lassen sie sich wieder entsperren.
Daten gegen Geld – so war es auch bei Weiss. „In der Nachricht auf unseren Computern wurden wir freundlich aufgefordert, doch in Verhandlungen einzusteigen“, erzählt er heute. Für den Unternehmer kam das nicht infrage. Auch, weil die Polizei davon abriet: Wer bei einem Erpressungsversuch klein beigebe, der lande auf einer Liste – und gerate schneller wieder ins Visier der Verbrecher. „Man kommt dann zwar wieder an seine Daten – aber das entfernt den Trojaner nicht aus dem System“, sagt Weiss. Der 54-Jährige hat sich professionelle Hilfe von einer IT-Beratung geholt, die zum Schein auf das Angebot der Kriminellen eingeht: Die fordern einen siebenstelligen Betrag, um die Daten wieder freizugeben.
Gleichzeitig arbeiten die Experten an der Lösung des Problems. Zwar hat Bego regelmäßig Sicherheitskopien gemacht, doch die helfen in diesem Fall nicht. „Die Angreifer haben uns über die Schadsoftware wochenlang beobachtet und kannten unsere Sicherheitsmaßnahmen“, sagt Weiss. Die Back-ups seien einfach mitverschlüsselt worden.
„130 Jahre Firmengeschichte waren schön“, denkt Weiss sich damals. Aber das könne es nun gewesen sein. Er informiert die Kunden, erklärt die Situation: Bego sei angegriffen worden, könne momentan nicht liefern. „Sie waren zum Glück sehr verständnisvoll und haben uns Zeit gegeben.“ Weil alle Kollegen anpacken und mit ihren privaten Handys und Laptops arbeiten, ist Bego nach einer Woche wieder lieferfähig. „Ich bin sehr dankbar für meine Mitarbeiter“, sagt der Unternehmer.
Es ist selten, dass Unternehmer offen darüber sprechen, wenn ihre Firma Opfer eines Cyberangriffs wurde. Weiss will das ändern. Kurz nach dem Vorfall habe er befreundeten Unternehmern davon erzählt; im Vertrauen hätten auch die ihm daraufhin von eigenen Cyberangriffen berichtet. Den Bremer ärgert das: dass das Thema oft nur hinter vorgehaltener Hand auf den Tisch komme. „Nur weil es mir passiert ist, muss es ja nicht auch anderen passieren.“ Würde man offener darüber sprechen, glaubt Weiss, würde das allen helfen – weil persönliche Erfahrungen anders sensibilisierten als ein Text in einer Zeitung.
Mit einem alten Back-up, das nicht von der Schadsoftware betroffen ist, stellt Bego die Daten wieder her. Die IT-Systeme werden neu aufgesetzt, von Grund auf. Nicht ganz billig sei das gewesen, sagt Weiss, aber immer noch besser, als Lösegeld zu bezahlen. Gleichzeitig sei diese Investition in die IT eine Investition in die Zukunft.
So wie vor dem Angriff sei es bei Bego bislang nicht wieder geworden, sagt Weiss – auch ein Jahr danach nicht. „Wir haben jetzt ein neues Normal“, sagt Weiss, die „naive Bequemlichkeit“ von vor anderthalb Jahren habe man abgelegt. Prozesse, die früher einfacher liefen, seien nun komplizierter – dafür aber auch sicherer.
