Am 20. Mai 2020 um 16:45 erhält die K.A. Schmersal GmbH & Co. KG durch das LKA den Hinweis, dass eine Cyber-Attacke auf ihr System kurz bevorsteht. Das Unternehmen reagiert unverzüglich und trennt innerhalb von zehn Minuten die Verbindung zum Internet. 80 Minuten später ist die gesamte IT herunterfahren – „Rien ne va plus.“ Dank der Hilfe von IT-Forensikern, dem großen Engagement der Mitarbeiter und einem beachtenswerten Krisenmanagement kann die Ausführung des Angriffs schließlich vereitelt werden. Und nur zwei Wochen nach dem folgenreichen Anruf, läuft die Produktion an den deutschen Standorten wieder.
GIT SICHERHEIT: Herr Schmersal, in den letzten Jahren häuft sich die Zahl der Cyber-Attacken insbesondere auf den deutschen Mittelstand mit seinen zahlreichen „Hidden-Champions“. Dabei sind die Ziele der Angreifer durchaus unterschiedlicher Natur. Worauf hatten es die Angreifer in ihrem Fall abgesehen und wie tief waren diese bereits in ihr System eingedrungen?
Philip Schmersal: Da der Angriff letztlich abgewehrt werden konnte, lässt sich das nur vermuten. Aber die Erfahrungen aus Cyber-Angriffen auf andere Unternehmen zeigen: Die Cyber-Kriminellen fordern meistens hohe Lösegelder, um wieder den Zugriff auf die Daten zu ermöglichen. Alle Anzeichen deuten darauf hin, dass dies auch in unserem Fall das Ziel war.
Jede Cyber-Attacke benötigt ein Einfallstor, um in das System des potentiellen Opfers einzudringen. Über welche Wege gelangte die Schadsoftware in Ihr Firmennetzwerk?
Schmersal: Wo genau das Einfallstor bei uns lag können wir nur vermuten. Wahrscheinlich war eine E-Mail mit anhängender Office Datei infiziert oder auch ein in eine E-Mail eingebetteter Link.
Obwohl man sicher zunächst alle Kräfte auf die Bewältigung einer solchen Krise richtet, möchte man im Nachhinein wohl wissen, durch wen der Angriff erfolgte. Welche Erkenntnisse gibt es bezüglich Herkunft und Identität der Angreifer?
Schmersal: Dazu möchte ich nur so viel sagen, dass der Angriff aus Osteuropa erfolgte und von professionellen Kriminellen ausgeführt wurde. Der Server, von dem die Attacke ausging, ließ sich identifizieren, nicht aber die Personen, die dahinterstehen. So ist es leider meistens.
In der Zeit des „Offline-“Zustands ist es Ihnen nach eigener Aussage gelungen, die interne Kommunikation sowie den Kontakt zu Ihren Kunden und Zulieferern aufrecht zu erhalten. Auf welche Kommunikationsmittel wurde in dieser Zeit zurückgegriffen?
Schmersal: Wir haben – auch mit Hilfe benachbarter Unternehmen – schnell ein Ersatznetzwerk mit neuen Servern aufbauen können, das zumindest die Basiskommunikation, d.h. vor allem die Benachrichtigung der Kunden und Partner, übernehmen und die eingehende Kommunikation verarbeiten konnte. Um eine Vorstellung von der Arbeit zu geben: Wir haben über diese Ersatzserver sämtliche weltweit eingehenden Bestellungen ausgedruckt und manuell bearbeitet. Daran haben sich zahlreiche Mitarbeiter aus unterschiedlichen Abteilungen beteiligt – auch abends und am Wochenende.
Obwohl in Ihrem Fall das Schlimmste verhindert werden konnte, stellt sich natürlich die Frage, welche Schutz-und Sicherungsmaßnahmen Schmersal zukünftig ergreift, um weitere Cyberattacken zu verhindern?
Schmersal: Wir haben uns natürlich auch im Vorfeld Gedanken zu unserer IT-Sicherheit gemacht. Heute kann ich sagen, dass wir Investitionen in neue Konzepte, Technologien, Sicherheit und die Ausbildung unserer Kolleginnen und Kollegen noch einmal deutlich verstärkt bzw. intensiviert haben. Der Mittelstand muss hier umdenken. Aber die wirklich heftige Attacke hat uns gezeigt, dass wir die Thematik ganz neu definieren und unsere Sicherheitsmaßnahmen noch verstärken müssen. Damit haben wir bereits begonnen und das ganze Themenfeld zur Chefsache erklärt.
Herr Schmersal, trotz der schnellen Reaktion Ihres Unternehmens stand die Produktion weltweit für zwei Wochen still. Welche wirtschaftlichen Folgen erwarten Sie durch diesen mehrtägigen „Offline“-Zustand?
Schmersal: Der zweiwöchige „Shutdown“ hat auch finanziell wehgetan, keine Frage. Die meisten Kosten entstehen gerade im Bereich der IT durch notwendige Berater, Wochenend- und Feiertagsarbeit, Überstunden und neue Hard- und Software. Aber wir sind ein durch und durch gesundes Unternehmen und werden das verkraften. Da die Kapazitäten aufgrund der Pandemie nicht voll ausgelastet sind, lässt sich auch einiges aufholen und nacharbeiten. Wir sind also auch auf der Kostenseite mit einem blauen Auge davongekommen – weil wir das Glück hatten, dem Angreifer letztlich zuvorzukommen und weil die IT-Verantwortlichen sehr reaktionsschnell das einzig Richtige getan haben.
In Ihrer Presseinformation vom 17. Juni 2020 beziehen Sie sich auch auf einige von Cyber-Attacken bereits betroffene Unternehmen aus der Automatisierungsbranche, die Sie uneigennützig in dieser Zeit unterstützt haben. Wie gestaltete sich diese Unterstützung?
Schmersal: Die Unternehmen, mit denen wir teilweise im Wettbewerb stehen, haben Kontakt zu uns aufgenommen und uns ihre Erfahrungen im Umgang mit der Attacke und deren Folgen mitgeteilt. Das hat uns wirklich geholfen – ebenso wie die Unterstützung durch benachbarte Unternehmen. Es ist schön zu sehen, dass der Mittelstand zusammenhält, wenn es darauf ankommt. Man kann sich kaum vorstellen, welche „Kleinarbeit“ in diesen 14 Tagen ohne IT-Unterstützung zu bewältigen war und welche Organisationsaufgaben erledigt wurden. Da ist jede Hilfe wertvoll, und wir sind dankbar dafür.
Cyber-Attacke und Corona-Pandemie werden hoffentlich bald gut überstanden sein, so dass Schmersal sich dann wieder voll und ganz der Entwicklung von Produkten widmen kann. Was kann der Markt dann von Ihnen erwarten?
Schmersal: Vermutlich wurde die Entwicklung noch am wenigsten vom „Shutdown“ unserer IT beeinträchtigt. Die „Pipeline“ unserer Innovationen ist gut gefüllt. Das gilt für die steuerungstechnische Ebene der Maschinensicherheit ebenso wie für die übergeordnete Vernetzung – Stichwort OPC UA. Und auch in unserer jahrzehntelangen Kernkompetenz, den Sicherheitsschaltgeräten und -sensoren, gibt es interessante Neuheiten, die kurz vor der Marktreife stehen. Spätestens auf der SPS in Nürnberg – von der wir sehr hoffen, dass sie stattfinden wird – werden Sie und Ihre Leser Näheres erfahren.