Interview mit Christian Riethmüller über die Folgen des Hackerangriffs

Cyber-Gefahren

11. Juli 2019
von Börsenblatt
Die Buchhandlung Osiander kämpft immer noch mit den Folgen eines Hackerangriffs im Mai. Der gesamte Schaden wird erst nach und nach sichtbar. Osiander-Chef Christian Riethmüller über Umsatzverluste, veraltete Software und die Lehren aus der Krise.

Osiander ist im Mai gehackt worden. Wie fällt Ihre Schadensbilanz aus?
Wir haben natürlich erhebliche Umsatzausfälle gehabt, weil der Webshop eine Zeit lang nicht erreichbar war. Die Ausfälle sind so hoch, wie wir das sonst nicht kennen. Das ist aber auch logisch, wenn die Erreichbarkeit nicht gegeben ist. Diesen Effekt spüren wir auf jeden Fall stationär und online im Mai und Juni – und vielleicht auch noch darüber hinaus. Wir waren telefonisch nicht zu erreichen, und in den Läden haben die Geräte nicht funktioniert. Bis heute haben wir in den Buchhandlungen noch nicht alle Info-PCs wieder hochfahren können. Die Kassen liefen glücklicherweise.

Können Sie Ihren Schaden beziffern?
Nicht genau. Wir müssen erst noch sehen, welche Auswirkungen nur temporär waren und was mittel- bis langfristig passiert. Das heißt: Wo haben die Kunden deswegen nicht bestellt, weil sie uns nicht erreichen konnten? Und: Wie viele von ihnen sind jetzt möglicherweise so verärgert, dass sie komplett wegbleiben? Das werden wir erst in den nächsten Monaten feststellen können. Wir hoffen sehr, dass einige Effekte nur temporär waren. Die Umsatzausfälle sind das eine. Zum anderen haben wir uns Unterstützung von den Syss-Sicherheitsexperten geholt, jeden Rechner, jedes Programm auf Viren untersucht. Das hat natürlich sehr viel Zeit gekostet und alles in allem hohe Kosten verursacht. Unter dem Strich wird uns das in diesem Jahr einen gehörigen sechsstelligen Betrag kosten.

Müssen Sie jetzt Ihre ehrgeizigen Expansionspläne zurückschrauben?
Wir haben die vergangenen Jahre wirtschaftlich erfolgreich gearbeitet und vernünftige Gewinne erwirtschaftet. Unsere Eigenkapitalbasis ist gut. Da kann man so eine außergewöhnliche Belastung schon einmal verkraften. Was wir uns sicherlich nicht leisten können, wären drei oder vier Jahre in Folge mit solchen Einbrüchen. Generell schauen wir immer sehr genau hin, wo wir expandieren. Das sind sinnvolle Investitionen in die Zukunft, für die begründete Erfolgsaussichten bestehen. Deshalb haben wir weiterhin die volle Unterstützung unserer Hausbanken.

Sie dachten, dass die Schadensbehebung viel schneller gehen würde. Woran liegt es, dass es so lange dauert, bis alles wieder rund läuft?
Wir sind vollauf damit beschäftigt, unsere verschiedenen Systeme und Softwareprogramme wieder hochzufahren, um im Normalbetrieb arbeiten zu können. Unser System ist sehr alt, wir haben immer wieder angebaut. Deshalb haben wir uns Ende 2016 für die Einführung von SAP entschieden und im Januar 2018 Rechnungswesen und Personalwesen auf SAP umgestellt – mit dem Ergebnis, dass diese Bereiche vom Angriff nicht betroffen waren und unsere Mitarbeiter eine Woche nach dem Crash wie immer ihre Gehälter überwiesen bekamen. Leider ist der Go-live der ERP-Software erst für Anfang 2020 geplant. Wenn man aber bei einem alten System den Stecker zieht und völlig neu konfigurieren muss, ist das eine komplexe und schwierige Angelegenheit.

Warum ist das so problematisch, die Systeme wieder in Gang zu bringen?
Wir haben ein eigenes Warenwirtschaftssystem, das wir im Jahr 2000 für vier Buchhandlungen angeschafft haben. Heute kommt es in fast 70 Läden zum Einsatz. Im Laufe der Zeit kamen zahlreiche Schnittstellen hinzu, etwa zu Tolino oder zu unserem Zeiterfassungssystem. Das ist wie bei einem alten Auto, das Sie reparieren möchten. Da gibt es kaum mehr die richtigen Ersatzteile.

Welchen Schaden haben die Hacker angerichtet?
Die Hacker selbst haben keinen großen Schaden verursacht. Es wurden glücklicherweise keine Daten abgezogen, weil wir den Angriff schnell bemerkt haben und quasi sofort den Stecker gezogen haben. Die Kriminalpolizei kennt den Virus, sie weiß auch, wo er herkommt, aus Russland, ohne zu wissen, wer dahintersteckt. Zum Glück konnten wir nicht erpresst werden, weil eben keine Daten gestohlen
wurden.

Wer kommt für Ihren Schaden auf?
Den Schaden müssen wir leider selbst tragen, denn wir sind nicht versichert gegen solche Fälle. Die Versicherungen für Cyberkriminalität kosten extrem viel. Kollegen von anderen mittelständischen Filialisten, mit denen ich gesprochen habe, sind ebenfalls nicht versichert.

Werden Sie sich jetzt versichern?
Mit diesem Thema werden wir uns in den nächsten Monaten auseinandersetzen. Bisher ist noch keine Entscheidung gefallen.

Wie geht es Ihren Mitarbeitern, die in den letzten Wochen so sehr gefordert wurden?
Auf der einen Seite sind die Kolleginnen und Kollegen natürlich geschafft, weil sie wochenlang in den Läden nicht so arbeiten konnten, wie es für sie und die Kunden gut gewesen wäre. Wenn die Technik nicht funktioniert, die Kunden lange warten müssen, ungeduldig werden, ist das schon schwierig. Auf der anderen Seite haben uns die Mitarbeiter riesig unterstützt und der Zusammenhalt untereinander ist gewachsen. Wir haben mehr untereinander und mehr mit den Kunden kommuniziert.

Wie wollen Sie diesen Spirit aufrechterhalten?
Wir haben uns darauf geeinigt, intern viel weniger zu mailen und wieder mehr persönlich miteinander zu sprechen. Das passiert entweder am Telefon, oder wir setzen uns kurz zusammen. Dann stimmen wir uns ab und haben sofort eine Entscheidung, statt Vorgänge per Mail hin- und herzuschieben. Ich habe meine Mitarbeiter darum gebeten, mir keine Mails mehr zu schicken, ich selbst werde auch keine mehr verschicken. Die Ausnahme sind Mails zur Information an einen größeren Verteilerkreis oder wichtige Dokumentationen.

Welche Lerneffekte nehmen Sie noch mit?
Die Kolleginnen und Kollegen in den Läden waren wochenlang auf sich allein gestellt und haben das hervorragend gemeistert. Deswegen werden wir wieder mehr Verantwortung und Entscheidungsfreiheit an die einzelnen Buchhandlungen abgeben. Die Zentrale soll nur noch das erledigen, was aus Effizienzgründen Sinn macht. Alles, was dezentral gemanagt werden kann, soll dezentral gemanagt werden.

Es heißt immer so schön, dass man aus Krisen ge­stärkt hervorgeht. Gilt das auch für Osiander?
Auf jeden Fall. Aus einer solchen Krise können wir sehr viel lernen – wobei wir sicherlich auch viele Fehler gemacht haben. Das wappnet uns natürlich für andere Schwierigkeiten, weil wir wissen, worauf wir achten müssen. Wir werden Osiander jetzt noch besser und zukunftsfähiger aufstellen. Wenn wir dann die SAP-Einführung noch gut hinbekommen, werden wir die nächsten Jahre viel Spaß und Erfolg haben.

Wie wäre das Jahr ohne Hackerangriff gelaufen?
Wir haben dieses Jahr bis Mitte Mai ein richtig gutes Jahr gehabt: die Umsätze gesteigert, die Kosten und die Remissionsquote gesenkt, einen niedrigen Krankenstand gehabt, die Effizienz erhöht. Wir waren auf einem guten Weg. Wir hatten richtig viel vor, um die wirtschaftliche Situation weiter zu verbessern, dann kam dieser Angriff und wir konnten erst einmal sechs bis acht Wochen gar nichts mehr machen, was nicht damit zu tun hat. In der heutigen Zeit ist das gravierend, um ein bis zwei Monate zurückgeworfen zu werden. Zudem haben wir noch 15 Top-Leute, die im SAP-Projekt arbeiten. Das müssen wir jetzt alles nachholen und dafür werden wir Vollgas geben.

So stärken sie ihre digitale Sicherheit

Das können Sie prophylaktisch tun:

  1. Stetes Aktualisieren der Software inklusive des Betriebssystems (Sicherheitsupdates) – Implementieren eines Patch- und Updatemanagements
  2. Technisches Forcieren einer strengen Passwortrichtlinie
  3. Wo möglich: Zwei-Faktor-Authentifizierung
  4. Vergabe von Benutzerrechten nach dem Least-­Privilege-Prinzip (zum Beispiel keine Admin-Rechte für normale Benutzer, Rechtevergabe nach Arbeitsbedarf)
  5. Netzwerkseparierung (Kommunikation zwischen kritischen Systemen und Clients unterbinden, Minimieren der Erreichbarkeit von Diensten)
  6. Sensibilisieren der Mitarbeiterinnen und Mitarbeiter für IT-Sicherheit durch Awareness-Schulungen
  7. Logging und Monitoring (Überwachen des Netzwerkverkehrs und der Systemlast)
  8. Plausibilisieren eingehender E-Mails durch den Mailserver
  9. Benötigte Software vorinstallieren (nicht den Anwendern überlassen)


Das können Sie tun, wenn Sie Opfer eines Cyber-Angriffs geworden sind:
So vielfältig die Angriffsmöglichkeiten, so unterschiedlich sind die Reaktionsmöglichkeiten. Die eine Empfehlung gibt es nicht. Dennoch:

  1. Verdacht auf einen Angriff dem / der Vorgesetzten und der IT-Administration melden
  2. Angriff dem IT-Support und einem Notfalldienstleister melden
  3. Mithilfe des Notfalldienstleisters / IT-Sicherheitsdienstleisters den Angriff aufklären
  4. Notfallhandbuch erstellen und Ernstfall regelmäßig proben

Quelle: Syss GmbH

Auch die Verlagsgruppe W1-Media wurde Opfer eines Hackerangriffs. Mehr dazu lesen Sie hier.