Ein Unternehmen berichtet exklusiv über seine dunkelsten Stunden nach einer massiven Cyber-Attacke

Der große deutsche Logistikanbieter Hellmann wurde von Cyberkriminellen angegriffen und war eine knappe Woche komplett offline. Nun stehen interne Daten im Darknet. Wie geht das Unternehmen damit um? Was können andere daraus lernen?

13 Minuten
Blick durch ein Autofenster voller Regentropfen auf eine dunkle Autobahn

Von einem einzigen Pferdefuhrwerk im Jahr 1871 zum globalen Logistikdienstleister mit knapp 11.000 Beschäftigten in aller Welt und einem Jahresumsatz von 2, 5 Milliarden Euro: Zum 150. Jubiläum im Oktober 2021 gibt es bei der Firma Hellmann in Osnabrück viel zu feiern. Demonstrativ posieren Jost und Klaus Hellmann zusammen mit CEO Reiner Heiken zum Jubiläum auf dem riesigen Firmengelände in Osnabrück in einer Kutsche. Die Sonne scheint, alle lächeln in die Kameras. Das Familienunternehmen in der vierten Generation feiert eine riesige Erfolgsgeschichte. Keiner ahnt, dass eine bekannte Ransomware-Gruppe auf das Unternehmen aufmerksam geworden ist, die sich vermutlich zu diesem Zeitpunkt schon in den internen Netzen Hellmanns umsieht.

Am siebten Dezember wendet sich das Blatt. Sami Awad-Hartmann, Chief IT Officer, ist gerade auf Dienstreise in Dubai, als sein Telefon klingelt. Die Alarm-Systeme seien angesprungen, erklärt ein IT-Mitarbeiter am Telefon, es gibt verdächtige Vorgänge im internen Netzwerk. Solche Systeme überwachen die Vorgänge in Firmennetzwerken automatisiert, sie melden beispielsweise, wenn bestimmte Programme benutzt werden, oder auch wenn auffällig viele Daten heruntergeladen werden. Manche dieser Systeme arbeiten mit maschinellem Lernen und geben Alarm, wenn etwas auffällig anders ist als normal.

Oft gibt es eine Erklärung für die Vorgänge, die eine Maschine für verdächtig hält. Ein Mitarbeiter etwa, der sich nicht an die Sicherheitsstandards hält und eine Anwendung nutzt, die nicht zugelassen ist. Ein neues Projekt, das dazu führt, dass verstärkt Daten heruntergeladen werden. Ein solcher Alarm bedeutet in den seltensten Fällen, dass tatsächlich gerade eine Cyberattacke stattfindet. Awad-Hartmann ist deshalb zunächst nicht sehr besorgt.

Verdacht Cyberangriff bestätigt sich

„Das ist wie bei einem Schnelltest“, erklärt Awad-Hartmann einige Wochen später beim Recherchebesuch in der Firmenzentrale in Osnabrück, „er liefert einen gewissen Hinweis, aber er kann auch falsch positiv sein.“ So wie ein Testergebnis erst dann sicher ist, wenn es von einem PCR-Test bestätigt ist, so muss also auch hier überprüft werden, was wirklich geschehen ist. Awad-Hartmann sitzt in der Zentrale im dritten Stock und schaut auf der einen Seite auf die einen Kanal, auf der anderen Seite auf den riesigen Parkplatz, auf dem die LKW des Unternehmens rangieren. „Thinking ahead“, steht auf ihnen, „moving forward.“ Tatsächlich scheint alles wieder zu laufen, zwei Monate nach der Attacke, business as usual. Aber der Schein trügt. Hinter den Kulissen hat der IT-Chef noch immer mit den Folgen zu kämpfen, noch sind nicht alle Systeme wieder am Start – und nicht bei allen ist er sicher, ob und in welcher Form sie je wieder gestartet werden. Jetzt ist die Zeit, alles sehr genau zu überprüfen. „Wir bauen nichts wieder so auf, nur weil es vorher so war“, sagt er. Selbst Systeme, die einer vorherigen Sicherheitsüberprüfung standgehalten haben, werden nun erneut diskutiert.

Awad-Hartmann macht keinen Hehl daraus, dass er lieber über andere Dinge mit der Presse sprechen würde als ausgerechnet über seine dunkelsten beruflichen Stunden. Dem Interview gingen einige Verhandlungen voraus, bis das Unternehmen schließlich zusagte. Und es ist das erste und letzte Interview zu dem Vorfall, betont die leitende Pressesprecherin Christiane Brüning. Es findet nur in Beisein des Chefjustiziars Andreas Lamping und des Kaufmännischen Direktors Patrick Oestreich statt. Zitate werden vor Veröffentlichung zum Autorisieren vorgelegt.

Nach dem Anruf im Dezember dauert es nur wenige Stunden, bis sich Awad-Hartmanns Zurückhaltung in Dubai zunehmend in Alarmstimmung wandelt. Der „PCR-Test“ der IT-Sicherheit fällt positiv aus: Als die IT-Experten das Firmennetzwerk genauer analysieren, finden sie recht eindeutige Hinweise auf Aktivitäten externer Angreifer. Was für Hinweise das genau sind, darüber wollen die Verantwortlichen nicht sprechen.

Der siebte Dezember ist ein Dienstag, die Nacht zum Mittwoch verbringt Awad-Hartmann schlaflos. Er muss eine folgenschwere Entscheidung treffen.

Sie haben Feedback? Schreiben Sie uns an info@riffreporter.de!