„Eine Cyberpolice ist dringend notwendig“
Druckerei-Geschäftsführer Gerhard Klein über einen mutigen Schritt und seine langfristigen Lehren aus einer Cyberattacke auf sein Unternehmen.
Gerhard Klein führt eine Druckerei in Saarbrücken. Im Herbst 2018 wird sein Unternehmen zum Ziel einer Ransomware-Attacke. Er zahlt 3.500 Euro an die Erpresser – als diese mehr Geld wollen, ändern Klein und sein Team die Taktik. Statt zu zahlen, versuchen Spezialisten gesperrte Daten wiederherzustellen. Wochenlang haben die Beschäftigten damit zu tun, verlorene Kundendaten, Rechnungen und auch die Lohnbuchhaltung wieder in den Griff zu bekommen.
Klein schaltet die Polizei ein und macht den Hackerangriff auf sein Unternehmen öffentlich. Zahlreiche Medien berichteten vom Schadensfall bei dem Mittelständler. Gerade dieser offene Umgang ist ungewöhnlich – viele Betroffene scheuen aus Sorge um den Ruf ihrer Firma davor zurück. Für Klein und sein Team ist der Schritt an die Öffentlichkeit bis heute richtig. Denn statt Häme erfuhren sie Verständnis. Statt Kritik an mangelhafter Cybersicherheit gab es aufmunternden Zuspruch.
Nach dem Schock und dem Schaden von rund 70.000 Euro rüstete Klein bei der Computersicherheit systematisch auf. Ein wichtiger Aspekt für ihn dabei: Das Team muss mitmachen. Denn alle technische Finesse nützt nichts, wenn die Beschäftigten sie im Alltag nicht zu nutzen wissen.
Und heute? Lässt die Wachsamkeit nach? Schleichen sich Nachlässigkeiten ein?
Herr Klein, inzwischen ist der Hackerangriff auf Ihr Unternehmen zwei Jahre her. Was ist von dem Schreck damals geblieben?
Wir sind heute natürlich wieder deutlich entspannter als in den ersten Monaten nach dem Angriff. Aber die Mitarbeiter sind dennoch sehr, sehr aufmerksam. Ein Beispiel: Ich habe immer noch sehr engen Kontakt zur Kriminalpolizei, die sich mit Cyberattacken beschäftigen. Da bekommen wir auch regelmäßig Warnungen über neue Bedrohungen, die ich an meine Mitarbeiter weiterleite. Und genauso regelmäßig fragen einige extra bei mir nach, ob diese Mail tatsächlich von mir kommt und ob sie das darin enthaltene Dokument wirklich öffnen dürfen.
Das ist ja vorbildlich. Führen Sie das auf den Schock damals zurück oder schulen Sie Ihre Beschäftigten einfach häufiger?
Wer einen solchen Angriff und die Folgen einmal miterlebt hat, ob nun als Mitarbeiter oder als Firmenchef, verfällt danach nicht wieder in Routine. Das ist, um es noch mal ganz deutlich zu sagen, ein dramatisches Ereignis. Insofern resultiert das beschriebene Verhalten sicher zu 80 Prozent aus dem heilsamen Schock von damals. Und ansonsten schulen wir stetig im Berufsalltag: Wie gehe ich mit Mails um? Wenn ich mir nicht sicher bin, wo eine Mail herkommt, wenn der Betreff seltsam aussieht, wenn mich irgendetwas stört, wird gelöscht. Das ist die Vorgabe.
Finden Sie das nicht übervorsichtig?
Nein, das ist nicht übervorsichtig. Vor kurzem habe ich selbst eine Mail gelöscht, die mir verdächtig vorkam, weil sie keinen Betreff hatte. Hinterher stellte sich heraus, sie war von einem Kunden. Gut, dann muss man eben telefonieren und der Kunde muss die Mail nochmal schicken. Aber es ist kein Grund für uns, unser Verhalten zu ändern. Sicherheit geht hier ganz klar vor.
Wie reagieren Kunden in einem solchen Fall?
Ich habe bisher noch keinen Kunden erlebt, der das nicht verstanden hat.
Apropos Kunden: Sie sind damals sehr offen mit dem Angriff umgegangen, haben Interviews gegeben, Vorträge gehalten. Haben Sie langfristig negative Reaktionen von Kunden erfahren?
Nein, wir haben bis heute keine negativen Erfahrungen gemacht. Die Menschen reagieren positiv, nach dem Motto: Wenn ein Unternehmen offen mit einem solchen Angriff umgeht, wird es diese Situation meistern. Die Kunden haben uns von Anfang an Vertrauen entgegengebracht.
Führen Sie heute regelmäßig Schulungen ihrer Mitarbeiter durch?
Schulungen in Form von Seminaren oder Veranstaltungen führen wir nicht durch. Unser Betrieb hat 27 Leute und nur etwa die Hälfte arbeiten mit dem Internet. Aber: Wir sprechen unsere Mitarbeiter im Arbeitsalltag immer wieder auf das Thema IT-Sicherheit an und sensibilisieren sie dafür, wie wichtig das ist.
Was ist bei Ihnen persönlich vom Angriff geblieben?
In jedem Fall habe ich eine gewisse Stressresistenz entwickelt. Als Unternehmer ist es ja so, dass man eben etwas unternimmt, wenn es ein Problem gibt. Nach der Cyberattacke konnte ich aber nichts tun, sondern musste mich darauf verlassen, dass die Spezialisten das Richtige unternehmen. Ich war also gezwungen, eine größere Gelassenheit zu entwickeln. Und mehr zu kommunizieren.
Die Cyberattacke hat Ihre Art, das Unternehmen zu leiten, verändert?
Ja. Damals haben wir als Geschäftsführung gelernt, mehr mit unseren Mitarbeitern zu reden. Kommunikation mit jeder Mitarbeiterin, mit jedem Mitarbeiter ist gerade in Krisenzeiten ein wichtiges Element. Nur so kann ich dafür sorgen, dass sie das Vertrauen in die Firma und in die Geschäftsführung behalten. Das heißt, ich erkläre meine Entscheidungen heute ausführlicher als früher.
Der Hackerangriff erwischte Sie damals in einer Phase, in der Sie noch keine Cyberversicherung hatten.
Wir hatten damals bereits ein Angebot vorliegen und dann kam der Angriff. Heute muss man sagen: Die Police hätte uns ohnehin nicht viel geholfen, weil dort Schäden bis maximal 50.000 Euro abgedeckt gewesen wären. Mit dem Wissen von heute ist das natürlich viel zu wenig.
Eine Cyberversicherung hilft also nicht?
Doch, natürlich. Nach der Erfahrung, die wir damals mit der Ransomware-Attacke machen mussten, kann ich Unternehmen nur dringend empfehlen, sich mit einer solchen Police zu beschäftigen. Das ist wie eine Elementarschadenversicherung fürs Haus – aus meiner Sicht unbedingt notwendig. Das Thema Cyberversicherung sind wir angegangen, sobald wir nach dem Angriff wieder einen klaren Kopf hatten. Inzwischen haben wir eine passende Versicherung gefunden und abgeschlossen.
Und die Deckungssumme reicht?
Die aktuelle Police deckt Schäden bis hin zur Abwicklung des Unternehmens ab.
Um eine solche Police zu bekommen, müssen Unternehmen ja bestimmten Sicherheitsanforderungen genügen.
Natürlich konnten wir einen Plan für unsere IT-Sicherheit vorlegen, weil wir uns ja gerade ausführlich damit auseinandergesetzt hatten. Unternehmen, die noch nicht so weit sind, bekommen von den Versicherern Hilfe angeboten, um die Kriterien zu erfüllen.
Dieses Interview stammt aus dem Report „Cyberrisiken im produzierenden Gewerbe“. Den vollständigen Bericht können Sie sich als PDF kostenfrei herunterladen.
Zur Person
1959 in einer quasi-analogen Welt geboren, macht er sich früh mit der digitalen vertraut. Erst im Informatik-Studium und später im Beruf: Wohl kaum eine andere Branche hat sich durch die Digitalisierung so früh und nachhaltig verändert wie die Druckindustrie.