Hacker-Angriff im Autohaus Bauer: "Jeder unserer Rechner war schwarz"

Fast täglich machen Hackerangriffe auf Unternehmen oder Staaten Schlagzeilen. Meist geben sich die Betroffenen schweigsam. Viele zahlen Lösegeld für ihre Daten. Nicht so Anja Bauer. Die Chefin der gleichnamigen Autohausgruppe nahm den Kampf an und schildert ihre Erlebnisse in ihrem Buch "Hackerangriff im Autohaus".

Wer von Hackern attackiert wurde, redet meist nicht gerne darüber. Sie hingegen gehen offen damit um. Was bewegt Sie dazu, Frau Bauer?

Ich habe nie verstanden, warum man darüber nicht sprechen sollte – vor allem wenn man nichts falsch gemacht hat. Es lässt sich ohnehin nicht vertuschen, weil man alle Mitarbeiter, Kunden und Geschäftspartner informieren muss.

Die Hacker haben Ihr Unternehmen über Monate hinweg ausgespäht und am 11. Juni 2022, einem Samstag, schließlich zugeschlagen. Wo hat Sie die Nachricht erreicht?

Am Frühstückstisch. Wir hatten am 10. Juni ein Betriebsfest, bei dem wir das Ende der Coronazeit gefeiert haben. Das wussten die Hacker natürlich und sie konnten die ganze Nacht ungestört "arbeiten". Am nächsten Morgen stellte unser IT-Chef Tim Krämer dann fest, dass die Server heruntergefahren waren und niemand mehr Zugriff hatte. Es gab lediglich auf einem Server eine Textdatei der russischen Hackergruppe Black Basta. Darin teilten uns die Erpresser mit, dass unsere IT verschlüsselt sei. Wir sollten einem Link ins Darknet folgen, wo uns das weitere Vorgehen und die Erpressersumme mitgeteilt würden. Mit dieser Info rief Tim uns dann an.

"IT verschlüsselt" klingt abstrakt. Was bedeutet das in der Praxis?

Ausnahmslos jeder unserer Rechner und alle Server waren schwarz. Keiner konnte mehr irgendetwas am Rechner machen. Damit gab es im ganzen Unternehmen plötzlich keinerlei Daten oder Prozesse mehr. Viele denken bei einem Hackerangriff nur an den Verlust der Daten, viel schlimmer sind aber eigentlich die Prozesse.

Inwiefern?

Kommt beispielsweise ein Kunde in die Werkstatt, lesen wir den Schlüssel aus und wissen genau, um welchen Kunden und Auto es sich handelt und was zu tun ist. Wenn nun ein Kunde kam, wussten wir weder seinen Namen noch kannten wir sein Auto. Wir hatten auch keine Ahnung, ob wir die zur Wartung nötigen Teile auf Lager haben und wo im Lager sie sein könnten. Wir konnten keine neuen Autos mehr bestellen oder ausliefern. Wir wussten nicht einmal mehr, wem die Autos auf unseren Höfen gehören und welche Arbeiten an ihnen auszuführen sind. Wir hatten auch keine Informationen mehr, wer bei uns arbeitet und wie viel er verdient. Wir mussten jeden Mitarbeiter fragen, wie viel Gehalt er oder sie bekommt.

Sie mussten bei Null beginnen.

Richtig. Wir haben am Samstag die Kripo gerufen und dann alle, von denen wir geglaubt haben, sie könnten uns helfen. Am folgenden Montag haben wir in allen Media Märkten der Region LTE-Router aufgekauft und ein mobiles W-Lan eingerichtet. Darüber haben wir unsere Diagnosegeräte in der Werkstatt wieder ans Netz bekommen, sodass wir immerhin wieder Autos auslesen konnten. Die waren das Einzige, was wir wieder zum Laufen bekommen haben.

Alles andere haben wir gemacht wie vor 100 Jahren: Wir haben uns eine Kasse aus Metall gekauft und ein Kassenbuch, in dem wir alles eingetragen haben. Wie viel wir aber für eine Reparatur verlangen mussten, damit es sich rechnet, und wer uns noch Geld schuldet, wussten wir nicht. Schließlich waren auch die Buchhaltung und alle Kalkulationen weg. Da lief zwischen uns und unseren Kunden viel auf Vertrauensbasis.

Wie lang hat es gedauert, bis Sie wieder voll arbeitsfähig waren?

Wir sind noch immer nicht fertig. Die meisten unserer Programme gibt es nicht von der Stange, sondern nur maßgeschneidert. Diese neu zu programmieren, dauert. Neben Standardsoftware wie Microsoft Office ging es mit den Arbeitsprogrammen von BMW am schnellsten. Die hatten wir binnen weniger Wochen wieder. Im Februar 2023 hatten wir dann wieder eine funktionierende Buchhaltung. Das war einer der wichtigsten Meilensteine.

Wie hoch ist der wirtschaftliche Schaden, der Ihnen durch den Angriff entstanden ist?

Etwa zwei Millionen Euro. Rund eine Million sind Forderungsausfälle, etwa weil Kunden ihre Rechnungen nach dem Angriff nicht bezahlt haben oder weil wir ein Auto repariert haben aber keine korrekte Rechnung mehr schreiben konnten. Die andere Million haben wir für neue Programme und Lizenzen ausgegeben. Weil wir keine Zahlen hatten, wussten wir bis vor einem halben Jahr nicht genau, ob wir den Angriff wirtschaftlich überlebt haben.

Sind Sie über den Berg?

Ja, der Angriff ist "zum Glück" in eine Zeit gefallen, in der der Autohandel gut verdient hat. Ein paar Jahre zuvor hätten wir das vermutlich nicht überlebt.

Hätte sich der Angriff verhindern lassen?

Die Angreifer sind nach Aussage der Kripo eine der besten Hackergruppen der Welt. Wir waren chancenlos. Es hat niemand auf einen verseuchten Anhang geklickt oder dergleichen. Die Polizei vermutet, dass die Hacker mit immensem Aufwand einen angreifbaren Kommunikationschip in unserer Hardware gesucht und irgendwann gefunden haben.

Sie wurden also nicht zufällig ausgewählt?

Davon bin ich überzeugt. Wir stellen bei uns im Unternehmen Tankwagen her und reparieren sie. Weil das sehr komplex ist, sind wir nur schwer zu ersetzen. Das macht uns systemrelevant, vor allem im Hinblick auf die Versorgung der Ukraine mit Kerosin.

Sie haben noch am ersten Tag nach dem Angriff beschlossen, nicht auf die Forderungen der Angreifer einzugehen und nicht einmal nachzuschauen, wie viel Geld diese eigentlich wollen. Warum?

Ich lasse mich nicht erpressen und will mit Kriminellen nichts zu tun haben. Ich fühle mich nicht als Opfer und werde mich nicht dazu machen lassen. Daher war die Entscheidung für mich von vornherein klar.

Haben sich die Erpresser noch einmal bei Ihnen gemeldet?

Diese Angriffe laufen zweistufig. Erst werden die Daten verschlüsselt und Geld gefordert. Wenn dann nichts passiert, veröffentlichen die Hacker in der Regel Daten auf ihren Seiten. Das war auch bei uns so. Irgendwann hat die Kripo angerufen und uns informiert, dass unter unserem Namen Daten aufgetaucht sind. Die haben wir uns dann angeschaut und festgestellt, dass sie nicht von uns waren. Da wussten wir, dass die keine Daten von uns gestohlen haben. Seitdem haben wir nichts mehr gehört.

Wäre zahlen nicht womöglich die einfachere Lösung gewesen?

Könnte sein. Aber ich hätte nie sicher sein können, ob die nicht doch noch irgendwo im System stecken und wieder zuschlagen. Das Risiko ist überaus real. Viele Unternehmen werden laut Kripo nach dem ersten Angriff noch einmal gehackt. Hinzu kommt: Es ist nicht so, dass man da das Geld auf den Tisch legt und am nächsten Tag funktioniert wieder alles. Man bekommt mal hier mal da einen Server zurück, aber fast nie alles und schon gar nicht auf einmal.

Haben Sie es bereut, dass Sie nicht versichert waren?

Überhaupt nicht. Wir haben uns einige Zeit vor dem Angriff einmal ein Angebot machen lassen und uns aufgrund der hohen Kosten sowie der vielen Auflagen und unzähligen Ausschlusskriterien dagegen entschieden. Und selbst wenn wir versichert gewesen wären, hätte die Versicherung erst einmal unsere ganzen Server mitgenommen, um zu prüfen, ob sie überhaupt zahlen müssen. Das hätte uns noch länger lahmgelegt. So konnten wir einfach unsere Server neu aufsetzen und wieder loslegen. Ich bin auch jetzt nicht versichert.

Um wieder Herrin der Lage zu werden, haben Sie ihr komplettes Unternehmen liquidiert, um es danach neu zu gründen. Was haben Sie sich davon versprochen?

Nachdem klar war, dass nichts mehr zu retten ist, haben wir versucht, unsere Buchhaltung anhand unserer Kontoauszüge zu rekonstruieren. Wir haben aber schnell gemerkt, dass wir dafür mit unseren sieben GmbHs zu groß und komplex strukturiert sind. So entstand die Idee, alles zu liquidieren und den kompletten Bestand vom Luftfilter bis zum Bürostuhl in einem Asset Deal an die neue Firma zu verkaufen und so einen sauberen Neustart zu bekommen. Das hatte den Vorteil, dass wir alles genau so strukturieren und aufbauen konnten, wie wir es immer schon wollten.

Klingt leichter gesagt als getan…

Am wichtigsten war, das Finanzamt mitzunehmen. Ohne dessen Zustimmung wäre es nicht gegangen. Wir haben daher einen Termin ausgemacht und ausführlich erklärt, was uns passiert ist und wie unser Plan aussieht. Nach langen sehr konstruktiven Beratungen hat das Finanzamt zugestimmt. Ich war überrascht, wie pragmatisch die Menschen dort mit uns nach Lösungen für die vielen Probleme gesucht haben. Ich möchte aber auch betonen: Uns wird nichts geschenkt. Unsere Steuer für die Zeit ohne Daten wird aus der Differenz zwischen der Bilanz des Geschäftsjahrs 2021 und dem Bestand an Geld, Waren und Immobilen berechnet, den wir 2022 erfasst haben.

Wie ging es nach dem OK der Finanzbehörden weiter?

Im nächsten Schritt haben wir dann die alten Firmen umbenannt, die neuen Firmen gegründet und in einer Summe alles aus den alten Firmen herausgekauft. Dieser Vorgang ist hoffentlich demnächst offiziell abgeschlossen. Auch dabei sind wir in den Behörden überall auf viel Verständnis und Hilfe gestoßen.

War Ihnen die Polizei ebenfalls eine Hilfe?

Ich hatte erst Angst, dass die kommen, mit Flatterband alles absperren und die Server mitnehmen. Das war überhaupt nicht so. Die Polizisten waren sehr kompetent und haben auch nur in Absprache Server zur Untersuchung in der Forensik mitgenommen. Die haben uns auch moralisch enorm unterstützt. Ich kann jedem, der von Hackern attackiert wird, nur raten, sich an die Polizei zu wenden. Die können die Hacker nur schnappen, wenn sie nachvollziehen können, wie diese vorgehen

Wie haben die Mitarbeiter auf den Angriff reagiert?

Die waren unglaublich! Alle standen hinter uns und haben sofort Ideen und Strategien entwickelt, wie man trotz des Totalausfalls weiterarbeiten kann. Viele haben dafür am Anfang ihre eigene Hardware von zu Hause mitgebracht. Ohne diesen Zusammenhalt hätten wir es vermutlich nicht geschafft.

Sah es bei den Herstellern ähnlich aus?

Da hätte ich mir deutlich mehr erwartet. Die Leute hatten zwar Verständnis, aber kein Hersteller war bereit, angesichts der Sondersituation aus den selbst auferlegten Prozessen auszubrechen, wie es das Finanzamt getan hat. Da wurden strikt die Vorgaben eingehalten. Damit das neue Unternehmen den Händlervertrag des alten übernehmen konnte, musste beispielsweise der Übergang vom einen zum anderen Unternehmen im Ganzen stattfinden. Wir konnten aber nicht im Detail nachweisen, dass wir auch noch die letzte Schraube aus dem alten ins neue Unternehmen übernommen haben, weil ja die Daten weg waren. Deshalb hatten wir monatelang keinen Händlervertrag. Erst als wir uns dann komplett neu für einen Händlervertrag bewerben wollten, gab es ein Einsehen.

Ein Einzelfall?

Leider nicht. Auch die Banken waren wenig partnerschaftlich. Dort haben wir jetzt das schlechtestmögliche Ranking, weil wir keine Bilanzen abgegeben haben. Dass wir das gar nicht konnten, weil die Daten weg sind, spielt keine Rolle. Auch dass die Banken uns seit Jahrzehnten kennen, ändert nichts. Das Finanzamt hat hingegen sofort eingesehen, dass wir keine Bilanz abgeben können.

Was machen Sie bei Ihrer IT jetzt besser als früher?

Wir organisieren unsere IT kleinteiliger, damit ein Angriff nicht mehr das ganze Unternehmen lahmlegen kann. Unsere Standorte sind jetzt beispielsweise einzeln abgesichert und bestimmte Systeme wie die Telefonie laufen jetzt abgeschottet in separaten Systemen. Man muss sich das wie einen großen Keller vorstellen. Früher konnte man da hineingehen, das Licht anmachen und hat alles gesehen. Jetzt ist der Keller verschachtelt und hat eine Vielzahl an Räumen, die einzeln abgeschlossen sind. Wirklich verhindern werden sich Angriffe nicht lassen. Es wird jeden einmal treffen.

Vielen Dank für das Gespräch!