Aktuelles Unternehmensführung

Kiesel: Kiesel-Gruppe wird Opfer einer kriminellen Cyber-Attacke

Donnerstag, der 11. Juni 2020 ist ein Datum, das man im Management der Kiesel-Gruppe, ihres Zeichens zweitgrößter Händler für Baumaschinen in Deutschland, kaum vergessen wird. Es ist Fronleichnam, Feiertag in vielen Bundesländern, ein Großteil der Belegschaft genießt den freien Tag, als mittels E-Mail-Anhang ein erster Zugriff auf das IT-System der Unternehmensgruppe erfolgt. Ab da gleicht die Entwicklung einem Cyber-Krimi. Zunächst unbemerkt breitet sich der Angreifer im System aus und verschafft sich Stück für Stück Zugriff auf die zentralen Systeme, verschlüsselt Daten und macht Backups unbrauchbar.

Die Liste der von Cyber-Kriminalität betroffenen Unternehmen zieht sich durch alle Branchen und lässt auf den ersten Blick eine gewisse Zufälligkeit vermuten. Doch in allen Fällen sind Organisationen betroffen, deren Unternehmenserfolg kein Geheimnis ist, was auf eine gewisse Finanzkraft schließen lässt. Bei Kiesel bemerkt am Morgen des 12. Juni ein Mitarbeiter der IT-Abteilung bei Arbeitsbeginn eine Anomalie und schlägt Alarm.

Der Krisenstab entschließt sich, das IT-System des Unternehmens (mehr als 1 000 Arbeitsplätze an mehr als 50 Standorten in Deutschland, Österreich und Polen) vom Netz zu trennen. Untersuchungen der Infrastruktur offenbaren das Ausmaß des Schadens. Weite Teile der IT, allen voran das zentrale ERP-System, sind verschlüsselt. Kurz danach meldet sich der Erpresser mit einer Lösegeldforderung im siebenstelligen Eurobereich, zahlbar in Bitcoins binnen 24 Stunden.

Externe Hilfe ist unerlässlich

»Es kam für uns zu keinem Zeitpunkt in Frage, auf die Lösegeldforderung einzugehen«, stellt Maximilian Schmidt, Mitglied der Geschäftsleitung und Krisen-Manager der Stunde, klar. »Zumal es keinerlei Gewähr gibt, dass man nach der Bezahlung auch wirklich den Code für die Entschlüsselung bekommt.«


Umgehend werden externe Fachleute hinzugezogen, die das unternehmenseigene IT-Team dabei unterstützen, zunächst den Schaden einzugrenzen und das Ausmaß zu beurteilen. Das zuständige Landeskriminalamt wird eingeschaltet und Anzeige gegen Unbekannt erstattet. Auch die Datenschutzbehörde wird vorschriftsmäßig informiert.

Ein 1 000-Teile-Puzzle

Da zunächst unklar ist, durch welche Lücke im Sicherheitssystem der Angriff ausgeführt wurde, müssen die komplette Hard­ware eingesammelt und einer zentralen Überprüfung unterzogen werden. Erst im Anschluss können die Geräte wieder bespielt und an die Nutzer zurückgegeben werden.

»Als Handelshaus leben wir davon, Ware zu kaufen und zu verkaufen, Service und Ersatzteile anzubieten. Ohne ein ausgefeiltes ERP-System und unsere IT-Infrastruktur im Hintergrund ist das heute fast unmöglich«, beschreibt Schmidt die Lage. »Und von einem Moment zum anderen war nichts mehr davon verfügbar.«

Als eine der Stärken der Kiesel-Organisation gilt ihre Dezentralität mit mehr als 50 Standorten in Europa. »Allein das Einsammeln und Versenden der Hard­ware war eine Sisyphusarbeit«, so Schmidt.

Währenddessen fahren Servicetechniker ohne Laptop raus, Vertriebler halten den Kontakt zu den Kunden mithilfe ihres Handys. Es gelingt, die Abläufe vorübergehend auch ohne IT aufrecht zu erhalten. In der Zentrale im oberschwäbischen Baienfurt bei Ravensburg wird währenddessen in Kleinarbeit und unter höchstem Zeitdruck Server für Server, Bit für Bit gescannt und gereinigt.

Jederzeit wieder möglich

Vier Wochen nach der Attacke ist an allen Standorten wieder ein eingeschränkter Betrieb möglich, die Hardware größtenteils wieder einsatzbereit. »Eine solche Attacke kann heutzutage jedes Unternehmen treffen. In der Tat ist es in Deutschland längst keine Frage mehr ob, sondern vielmehr wann«, ist sich Andreas Mendrzyk, Leiter IT bei Kiesel, sicher. »Neben der Suche nach der Ursache war für uns schnell eines klar: So eine Attacke kann uns jederzeit wieder treffen. Es bleibt uns nur, uns für solche Ereignisse besser zu wappnen, sodass Eindringlinge möglichst wenig Schaden anrichten können. Deshalb nutzen wir die gewonnenen Erkenntnisse dazu, unsere Abwehr völlig neu zu konzipieren und setzen dabei auf modernste Technik und nicht zuletzt die Sensibilisierung jedes einzelnen Mitarbeiters«, führt er weiter aus.

Aus Schaden lernen

»Der Angriff traf uns in einem Moment, als wir dachten, wir hätten die Corona-Krise mit einem blauen Auge überstanden«, resümiert der geschäftsführende Gesellschafter Toni Kiesel. »Gerade erst hatten wir die Mitarbeiter aus dem Home-Office und der Kurzarbeit zurück an die Arbeitsplätze holen können und wollten für den Rest des Jahres 2020 Vollgas geben. Doch von einem Moment auf den anderen ging plötzlich gar nichts mehr. Ohne IT steht die moderne Wirtschaft still, da brauchen wir uns nichts vor zu machen. Dennoch bin ich nach wie vor ein Verfechter der Digitalisierung«, sagt Toni Kiesel. »Aber man muss die Spielregeln kennen und danach handeln. Wir haben für uns die notwendigen Direktiven bereits definiert. Ausnahmen wird es hier in Zukunft keine mehr geben.«

Das durch den Schaden gewonnene Wissen will man in der Zukunft weitergeben, um andere vor solchen Ereignissen zu warnen. »Deshalb werden wir diesem Thema im Rahmen der ›Zukunftskonferenz BAM (Bits and Machines)‹, die Ende Januar 2021 zum zweiten Mal im »Coreum« in Stockstadt/Rhein stattfinden wird, entsprechend Raum einräumen. Schließlich ist das ein Gebiet, auf dem wir durchaus etwas zu berichten haben«, so Toni Kiesel.    t

Nach oben
facebook Instagram youtube twitter rss LinkedIn