Inter­view mit Hacker-Opfer Ger­hard Klein

„Dann ist die Firma platt“

Im Herbst 2018 legt ein Hackerangriff die Druckerei Braun und Klein wochenlang lahm. Wie er und seine Kunden reagierten und was das mit Reiten zu tun hat, verrät Firmenchef Gerhard Klein im Interview.

Wie fühlen Sie sich, wenn Sie morgens Ihren Rechner anschalten?
Gerhard Klein: Die Konsequenz eines Hackerangriffs: Man wird ein wenig paranoid. Dauert ein Update besonders lange? Taucht ein neues Icon auf dem Desktop auf? Dann stocke ich. Richtig unbeschwert bin ich jedenfalls nicht mehr.

Wenn Sie den Angriff und seine Folgen mit einem Wort beschreiben sollen…
Klein:
Da fällt mir nur ein Wort ein: Desaster. Es ist wohl so wie bei einem Reitunfall. Entweder man steigt sofort wieder aufs Pferd oder man reitet nie mehr. Wir sind – im übertragenen Sinne – zwar sofort wieder aufgestiegen. Aber der Unfall – in unserem Fall der Angriff – bleibt im Hinterkopf.

Waren Sie vor einem halben Jahr zu unbedarft?
Klein:
Hinterher kann man immer sagen, dass man manches im Vorfeld hätte besser machen können. Aber: Ich glaube nicht, dass wir zu unbedarft waren. Wir haben sehr genau gewusst, welche Gefahren existieren, und hatten Maßnahmen ergriffen, um einen Angriff zu verhindern. 

Als er trotzdem kam, war mir schnell klar: Das ist ein Wettlauf gegen die Zeit. Wenn der völlige Stillstand nicht wenige Tage, sondern zwei bis drei Wochen andauert, dann ist die Firma platt.

Sie sind mit Ihrer Geschichte an die Öffentlichkeit gegangen. Warum?
Klein:
Wir sind ein Familienunternehmen und pflegen mit unseren Kunden einen offenen Umgang. Aus meiner Sicht sollten Unternehmen klar kommunizieren, wenn sie angegriffen werden. Ein Schaden durch einen erfolgreichen Cyberangriff darf kein Tabu sein.

Hinzu kommt, dass man bestimmte Ereignisse gar nicht unter dem Deckel halten kann, selbst wenn man wollte. Wir produzieren Drucksachen und erhalten die Daten dafür von unseren Kunden auf elektronischem Wege. Wenn wir plötzlich nicht mehr telefonisch zu erreichen sind, wenn Kunden keine Antwort mehr auf ihre E-Mails erhalten, wenn kein Datenaustausch mehr stattfindet – das fällt schon auf. In dieser Situation meine Kunden zu belügen, hielte ich für sehr unklug.

Wie haben Ihre Kunden auf Ihren offenen Umgang reagiert?
Klein: Wir haben gute Erfahrung gemacht. Unsere Kunden sind nicht davongelaufen, sie haben uns unterstützt: Jeder weiß, dass so ein Angriff passieren kann. Bei uns hat keiner einen Fehler gemacht, sondern wir sind von Verbrechern attackiert worden.

Sind auch andere Unternehmen auf Sie zugekommen?
Klein: Ja, wir haben sehr viele Reaktionen bekommen, die meisten waren sehr positiv. Wir haben ja sehr deutlich gemacht, dass die Angreifer es nicht speziell auf unser Unternehmen abgesehen hatten. Sie haben eine Sicherheitslücke entdeckt und wahllos attackiert. Jeder Handwerker weiß, Facebook wird attackiert, die Telekom wird attackiert. Aber dass er selbst den gleichen Gefahren ausgesetzt ist wie Weltunternehmen, erfährt er nur durch Fälle wie unseren.

Die meisten Mittelständler kennen das Risiko einer Hackerattacke – schützen sich aber nur unzureichend. Warum?

Klein: Das verwundert mich gar nicht. Zum einen ist eine Hackerattacke schon etwas sehr Abstraktes. Warum sollten Freaks, die in Nordkorea, Rumänien oder Russland sitzen, meine Firma angreifen? Zum zweiten sind vor allem in kleineren Firmen die Ressourcen – auch in Sachen Prävention – endlich. Anders gesagt: Jeder weiß, dass Häuser brennen können, und hofft dennoch, dass es im Zweifel das Haus eines anderen trifft. 

Es liegt aber nicht allein an den Unternehmen. Wir – und viele andere Betriebe – wissen, dass es sichere Cloud-Lösungen zur Datenspeicherung gibt. Dafür brauche ich allerdings auch schnelle Datenleitungen mit ausreichend Kapazitäten. Die sind in Deutschland leider nicht überall verfügbar.

Wie ließe sich das ändern?
Klein:
Wir brauchen ein Digitalministerium, damit das Thema Digitalisierung und Cybersicherheit endlich aus einer Hand kommt.

Die Datenschutzgrundverordnung (DSGVO) oder das geplante IT-Sicherheitsgesetz 2.0 – verändern solche Faktoren das Bewusstsein im Mittelstand?
Klein: Ganz eindeutig, ja. Die DSGVO hat ja große Auswirkungen auf die Sicherheit. Ich muss als Unternehmen gewährleisten, dass ich Kundendaten vorschriftsmäßig verarbeite und vor Zugriff von außen schütze. Uns hat allerdings die DSGVO im vergangenen Jahr so viel Zeit gekostet, dass wir das Thema Datensicherung nach hinten geschoben haben.

Für Sie kam der Angriff zu früh – wenn man das so sagen kann: Sie waren gerade dabei, eine Cyberpolice abzuschließen.  
Klein: In der Tat waren wir damals gerade in Verhandlungen mit einer Versicherung. Die Schäden eines Ausfalls sind viel höher, als es im ersten Moment aussieht. In unserem Fall waren es rund 70.000 Euro. Eine Cyberversicherung ist in meinen Augen deshalb absolut notwendig. Auch wenn die Dokumentation sehr aufwendig ist. Wir starten gerade einen neuen Anlauf. Wahrscheinlich wird es nach der Attacke etwas teurer werden.

Was hat sich nach der Attacke verändert?
Klein: Die Datensicherheit hat einen wesentlich höheren Stellenwert als vorher. Die Erfahrung, dass nichts mehr geht – über Tage, Wochen hinweg –, macht jedem Mitarbeiter klar, dass es ein „Weiter so“ nicht geben kann. Wenn ein Update nötig und terminiert ist, gibt es keine Ausnahmen. Es wird genau dann durchgeführt.

Wo es technisch möglich war, haben wir uns von veralteten Systemen getrennt. Allerdings mussten wir auch erfahren, dass das nicht in jedem Fall möglich ist. Ein Mittelständler kann nicht eine millionenteure Maschine austauschen, weil das Betriebssystem nicht auf dem neuesten Stand ist.  

Hat sich Ihr Unternehmen von den Folgen erholt?
Klein: Wir haben das Jahr überstanden. Und wir haben uns erholt – gedanklich, finanziell – und schauen positiv nach vorne. Wir wissen aber auch: Der nächste Angriff kommt bestimmt.   

Zur Startseite
Auch inter­essant