Abgeschafft!* – Marita Opwis über ihre Erfahrung mit einer Cyberattacke

Auch Schaffrath war 2021 von einer Cyberattacke betroffen. Dabei spielte ein Ransomware-Angriff mit Lösegeldbetrag eine Rolle. Es geschah an einem Donnerstag im Dezember 2021. Teile unserer Infrastruktur Server und Clients wurden mit einem Verschlüsselungstrojanischen Pferd angegriffen. Für das Schaffrath-IT-Team war klar, es muss sofort – aber methodisch und fachlich richtig – gehandelt werden. Wir entdeckten in kürzester Zeit die Problematik, die Ausweitung konnte durch schnelles Handeln eingedämmt werden. Mithilfe von IT-Forensikern, Security-Spezialisten und dem Schaffrath-IT-Team wurden die richtigen Reaktionsmaßnahmen eingeleitet, die Ursachenanalyse begann und im Hintergrund konnte mit der Wiederherstellung des Betriebs begonnen werden. 

Wenn man von einem Ransomware-Angriff betroffen ist, zählt jede Sekunde. Zeit ist der stärkste Verbündete des Angreifers. Je mehr Zeit verstreicht, desto mehr Daten und Dateien werden verschlüsselt und desto mehr Geräte werden infiziert, was die Schadenssumme in die Höhe treibt. Bei Schaffrath mussten zwar einige Mitarbeitende ihre Arbeit unterbrechen, ein Produktionsstillstand fand jedoch nicht statt. 

Wir sollten Lösegeld in Bitcoin zahlen, um die verschlüsselten Daten wieder entschlüsselt zu bekommen. Zahlen oder nicht zahlen – das ist in so einem Fall die Frage. Die übliche Empfehlung ist, es nicht zu tun. Schließlich könnten die Täter oder Nachahmer daraus schließen: Wer einmal zahlt, zahlt auch wieder. 

Schaffrath hat nicht gezahlt und stattdessen über die Polizeiinspektion ein Ermittlungsverfahren wegen Computersabotage gegen einen oder mehrere unbekannte Täter einleiten lassen. Zudem haben wir unsere Kund*innen und Partner*innen informiert, um von Beginn an für volle Transparenz zu sorgen. Auch dies schreckt Täter*innen ab. 

Was hat das bewirkt? Ein gestärktes Bewusstsein für die hohe Relevanz des Themas Sicherheit. Wir müssen innerhalb des Unternehmens mehr kommunizieren, dass Sicherheit wichtig und eine Voraussetzung für unsere geschäftliche Tätigkeit ist – und auch die bisherigen Verfahren, Dokumentationen und den Umgang mit Ereignissen und Notfallplänen untersuchen. Wichtig ist auch, dass die Mitarbeitenden über mögliche zusätzliche Sicherheitsmaßnahmen informiert werden, ein tiefes Bewusstsein für IT- und Datensicherheit weiter ausgebaut und in der Unternehmenskultur verankert wird. Wir sollten immer wachsam sein, und technischen Maßnahmen gegen Cyberattacken wirkungsvoll einsetzen. 

Was hat der Vorfall mit uns gemacht? Der Vorfall hat eins sehr deutlich gezeigt: dass wir auch aus solchen Extremsituationen gestärkt hervorgehen können. Dabei ist es wichtig, dass wir als Team agieren. Wir müssen die notwendigen Schritte gemeinsam gehen. Einzelaktionen können in einer solchen Situation kontraproduktiv sein. Und noch etwas hat die Bewältigung der Krise ganz besonders verdeutlicht: dass wir alle – damit ist nicht nur die IT, sondern das gesamte Unternehmen gemeint – zusammenhalten und an einem Strang ziehen. Die Unterstützung aus anderen Abteilungen hat uns sehr geholfen. Wir hatten dadurch das Gefühl, nicht allein vor der Bewältigung der Situation zu stehen. Durch die Cyberattacke ist klar, dass das Unternehmen eine solch extreme Herausforderung nur meistern kann durch ein starkes »Wir-Gefühl«.