Rainer Waibel am Bedienpanel seiner CNC-Fräse.

Rainer Waibel am Bedienpanel seiner CNC-Fräse. (Foto: © Sven Völlers)

"Man konnte zusehen, wie sich die Dokumente verändern."

Betriebsführung

IT-Sicherheit geht auch Handwerksunternehmen etwas an. Wie eine scheinbar harmlose, personalisierte E-Mail ein Modellbauunternehmen aus Neuss lahmlegte.

Wenn Rainer Waibel von dem Cyberangriff auf sein Modellbauunternehmen spricht, dann ist seine Stimme ruhig und konzentriert. Vier Jahre ist es her, dass sein Modellbaubetrieb "Zech und Waibel", den er zusammen mit Mitinhaber Johannes Zech seit 1998 in Neuss führt, Opfer eines Hackerangriffs wurde. Schon damals war das Unternehmen, das sich auf den Prototypenbau für industrielle Hersteller spezialisiert hat, keineswegs blauäugig, was das Thema IT-Sicherheit angeht. "Wir waren grundsätzlich IT-technisch gut aufgestellt", sagt Waibel, "und hatten zum Glück auch Backup-Lösungen, sodass uns die ganz große Katastrophe, zu der sich der Angriff hätte ausweiten können, letztlich erspart geblieben ist."

Und dennoch: Trotz einer gesunden Einstellung zum Thema IT-Sicherheit und den Backups, die regelmäßig durchgeführt wurden, traf es das Unternehmen mit voller Wucht. Auslöser war ene scheinbar harmlose, personalisierte E-Mail von einem bekannten Absender. "Alles sah ganz realistisch aus", erinnert sich Rainer Waibel. Und so kam es, dass die unheilbringende Mail, die einen tückischen Trojaner enthielt, arglos geöffnet wurde. Sofort wurden alle Office-Dokumente verschlüsselt. "Man konnte am Bildschirm zusehen, wie sich die Dokumentenendungen veränderten", beschreibt der Modellbauer immer noch fassungslos seine Eindrücke. 

Verschlüsselte Forderung

Dann hieß es: Schnell handeln! Sofort wurden alle Rechner heruntergefahren und abgeschaltet. Doch der Trojaner war schnell: Die Ordnerstruktur war bereits befallen. "Dabei hatten wir noch Glück im Unglück", räumt Rainer Waibel ein. Sein Bruder ist zugleich IT-Dienstleister und war sofort zur Stelle. Schnell war ausgemacht, dass in jedem Dokument eine verschlüsselte Botschaft zu finden war. Diese enthielt die Forderung, dass eine hohe Summe mit Bitcoins zu zahlen sei. Wäre die Summe bezahlt, würde ein Entschlüsselungscode zugesandt, der den Vorgang wieder rückgängig machen würde. Waibel und sein Geschäftspartner entschieden sich dafür, den Vorfall bei der Kriminalpolizei anzuzeigen. Gleichzeitig übermittelten sie den Fall dem LKA. Beide rieten ihnen dazu, nicht zu zahlen.

Eine Entscheidung, die Rainer Waibel bis heute nicht bereut. "Wir haben alle verschlüsselten Daten in einen Container gepackt und ein neues Netzwerk aufgebaut." Eine Wiederherstellung der alten Daten wäre zu aufwendig gewesen, da sie sehr stark zerstört waren. Zum Glück waren die Kundendaten nicht betroffen, denn auch hier war das Unternehmen vorausschauend gewesen und hatte diese getrennt in einem Extra-Portal für Industriekunden gespeichert. Für die Zukunft entwickelte IT-Experte Jürgen Waibel als freiberuflicher System-Sicherheitsberater ein neues Sicherheitskonzept, bei dem das Kommunikationsnetzwerk vom Datennetzwerk getrennt sind. Somit ist im Fall der Fälle ein Überspringen des Virus nicht möglich. Ein kluger Schachzug für die Zukunft.

Mitarbeiter sensibilisieren

"Alles in allem ist uns ein Schaden von rund 25.000 bis 30.000 Euro entstanden", fasst Waibel zusammen. "Man muss wachsam sein", mahnt er und räumt ein, dass er seit dem Vorfall seine Mitarbeiter immer wieder sensibilisiert, genau hinzuschauen, von wem eine Mail kommt und welche Anhänge sie enthält. Sollte dennoch etwas zweifelhaft sein, empfiehlt der Modellbauer, die Mail an den IT-Fachmann zu schicken und den Fall klären zu lassen. Auch die Virenscanner sind bei Zech und Waibel immer auf dem neusten Stand. 

Die Erfahrungen aus dem kriminellen Angriff auf die Daten kamen dem spezialisierten Modellbau-Unternehmen, das seine Prototypen und Ersatzteile in die ganze Welt liefert, zugute, als es vor eineinhalb Jahren von einem weiteren Unglück heimgesucht wurde. Rainer Waibel atmet tief durch, als er davon berichtet, aber seine Stimme bleibt ruhig und optimistisch. "Wir hatten einen Großbrand in der Firma und waren trotzdem zwei Tage danach wieder online. Ohne die Erfahrungen aus dem Hackerangriff wären wir nicht so schnell wieder arbeitsfähig gewesen", resümiert der Neusser. "Heute sind wir aus dem Gröbsten raus. Und dann, naja, dann kam Corona." 

Text: / handwerksblatt.de

Das könnte Sie auch interessieren: