„Wir haben die Situation angenommen und als Projekt betrachtet“

Am 14. Februar 2020 wurde die IHI Charging Systems International an den Standorten Ichtershausen, Heidelberg und dem italienischen Cernusco Ziel einer Cyber Attacke. Im Gespräch mit dem WIRTSCHAFTSSPIEGEL hält Dr. Daniel Bader, der Geschäftsführer des Ichtershäuser Werkes, eine Rückschau auf die Ereignisse und sagt, wie man als Unternehmer mit solchen Situationen umgehen sollte.

Cyber Attacke, Beispiel anhand eines Unternehmens

Cyberangriffe auf Unternehmen | Fotos: Torsten Laudien, IHI

Den 15. Februar 2020 wird Daniel Bader so schnell nicht vergessen. Eigentlich wollte er seiner Schwester beim Renovieren helfen, als ihn ein Anruf aus seinem Unternehmen erreichte. Überall Fehlermeldungen in den IT-Systemen und Produktionsausfälle. Bader trommelte sein Führungsteam und seine IT-Leute zusammen und fuhr ins Ichtershäuser Werk.

Dort hat sich das Schadbild schnell gezeigt. Eine Anmeldung an den Systemen war nur noch mit dem zuletzt angemeldeten Benutzer (zwischengespeichertes Kontoprofil) möglich. Ein Blick in den Explorer zeigte viele unbekannte Dateien mit der Dateiendung .cl0p. Kein System hat mehr Dienste und Anwendungen bereitgestellt. Auch die Backups waren verschlüsselt. „Es war nicht nur eine Störung, sondern alles war kaputt“, sagt Bader. Ein Werk von Erpressern. IHI ging jedoch nicht auf die Erpressung ein.

In solchen Situationen wird schnell klar, wie sehr Unternehmen auf IT angewiesen sind. Erste wichtige Erkenntnis: Man muss die Situation annehmen. Heute sagt Bader: „Wir haben es als Projekt begriffen und auch so behandelt“. Und das alles auf Papier.

Ganz wichtig sei in solchen Fällen eine geordnete Kommunikation nach innen und außen. Kunden, Lieferanten und auch Banken mussten informiert werden. Außerdem die Öffentlichkeit und das Landeskriminalamt. „Das machen viele nicht“, weiß Bader heute. Es sei aber von immenser Wichtigkeit, offen und transparent mit der Situation umzugehen. Kunden und Lieferanten hätten viel Verständnis gezeigt und dem Unternehmen Hilfe angeboten.

Zur Kommunikation gehört auch, in Kontakt mit der Belegschaft zu bleiben. Dabei hätten sich Messengerdienste und soziale Medien als hilfreich erwiesen. Über diese eigentlich privaten Kanäle habe man die Mitarbeitenden auf dem Laufenden halten können.

Ganz wichtig waren für Bader die Meetingstrukturen. Alle drei Stunden habe man sich getroffen, Prioritäten und nächste Schritte festgelegt und in Projektgruppen abgearbeitet. Wie wird was, in welcher Reihenfolge wiederhergestellt und was geht parallel? Arbeit nach Checkliste.

Bader sieht die Rolle des Chefs in einer solchen Unternehmenskrise so: „Man muss Zuhörer, Gatekeeper, Ansprechpartner für alles und alle, Ideensammler und Kommunikationsentscheider sein.“ Nach vier Tagen lief die Produktion im Notbetrieb wieder an. Die Aufräumarbeiten dauerten über ein Jahr. Der Vorfall hat bei allen nachgewirkt. Und hatte Auswirkungen beispielsweise auf die Meetingkultur. „Manchmal schleift sich wieder der frühere Trott ein und wir müssen uns daran erinnern, wie erfolgreich diese Art der Arbeit war“, sagt Bader heute. (tl)

Share This