Cyberangriffe mutieren zur wachsenden Bedrohung für deutsche Firmen – vor allem aus dem Ausland. Auch von Anja Bauer haben Hacker Lösegeld gefordert. Doch die Autohaus-Chefin aus Flensburg hat sich gewehrt.

Samstag, 11. Juni 2022, 9 Uhr morgens. Die Sonne strahlt durch das Fenster der Küche von Anja Bauer. Beschwingt holt die Flensburgerin die frischgebackenen Brötchen aus dem Ofen. Da klingelt das Telefon. Bauer schaut auf das Display. Es ist die Nummer ihres IT-Dienstleisters. Der ruft sie normalerweise nie an. Sie hebt ab und lauscht fassungslos den Worten am anderen Ende der Leitung: »Wir sind gehackt worden. Könnt ihr kommen?« Bauer fährt mit ihrem Mann in die Firmenzentrale und landet mitten in der Katastrophe.

An allen fünf Standorten waren die Alarmanlagen ausgeschaltet. Sämtliche Server waren verschlüsselt. Nur eine Textnachricht der Gruppe »Black Basta« leuchtete auf dem Monitor: »Geht ins Darknet, auf unsere Homepage. Dort findet ihr eine Textdatei mit einer Telefonnummer. Unter dieser erfahrt ihr unsere Lösegeldforderung.« Die 57-Jährige erinnert sich: »Ich war total überfordert und musste den Schock erst einmal verdauen.« Dann reifte in ihr schnell der Entschluss: Erpressen lasse ich mich nicht!  

Bauers Albtraum ist kein Einzelfall. Er ist die neue Realität für deutsche Unternehmen. Zahlen des Digitalverbands Bitkom für 2024 bestätigen das eindrücklich. 81 Prozent aller Unternehmen waren bereits von Datendiebstahl, dem Raub von IT-Geräten sowie von digitaler und analoger Industriespionage oder Sabotage betroffen. 2023 lag dieser Anteil noch bei 72 Prozent. Zugleich ist der Schaden, der durch diese Angriffe entstand, von 205,9 Milliarden Euro (2023) auf nun 266,6 Milliarden Euro gestiegen.

Die Strategie der Cyber-Gangs

Besonders kleine und mittelständische Unternehmen (KMU) geraten immer mehr ins Fadenkreuz der Angreifer. Denn Kriminelle gehen oft den Weg des geringsten Widerstandes. Sie scannen Tausende Systeme automatisiert auf bekannte Lücken und schlagen dort zu, wo die Abwehr am schwächsten ist. Und das sind oft die IT-Systeme der KMU. »Gerade kleinere Betriebe geben nicht so viel Geld für Cybersicherheit aus«, weiß Volker Tosch, Principal Advisor and Operational Resilience Manager bei der Allianz. Ein Grund: Man wiegt sich in falscher Sicherheit. »Wir sind doch zu unwichtig. Wen interessieren schon unsere Bilanzen oder Kontakte?« Solche Sprüche hört der Cyberschutz-Experte ständig.

»Das sind meistens hochprofessionelle Banden«

Volker Tosch, Allianz-Cyberschutz-Experte

Ein fataler Trugschluss. Denn sogenannte Ransomware-Angriffe werden unter Hackern immer beliebter. Laut einer aktuellen Studie sind Ransomware-Attacken mittlerweile an 88 Prozent der Datenverstöße bei KMU beteiligt, verglichen mit nur 39 Prozent bei großen Unternehmen. Dabei geht es nicht um den Klau »interessanter« Informationen für den Weiterverkauf, sondern um Lösegeldforderungen. Daten zurück gegen Geld.  

Passé ist auch das Klischee vom einzelnen Nerd, der mit Kapuzenpulli im heimischen Keller seine Angriffe plant. »Das sind meistens hochprofessionelle Banden«, weiß Tosch. Die meisten agieren aus dem Ausland.

Auch Autohaus-Chefin Bauer musste diese Erfahrung machen. Bei »Black Basta« handelt es sich um eine der berüchtigtsten Hackergruppen. Das BKA bewertet sie als »schwerwiegende Bedrohung für die Cybersicherheit der Bundesrepublik Deutschland«. Weltweit geht man von mehr als 700 erpressten Unternehmen und einer Schadenssumme allein durch Lösegelder in dreistelliger Millionenhöhe aus. 

Erpresser mit Charme und Service-Denke

Wie hoch Bauers Lösegeldforderung gewesen wäre, weiß sie bis heute nicht. »Wir wollten uns ja nicht erpressen lassen. Deswegen haben wir die Nummer nie angerufen«, sagt die studierte Betriebswirtin, »obwohl ich schon ein bisschen neugierig war, wen ich da gesprochen hätte.« Denn nachdem sie die Polizei über den Vorfall informiert hatte, erfuhr sie, dass Leute in den Callcentern der Hacker oft kompetent und erstaunlich nett seien. Sie beherrschen mehrere Sprachen und beraten ihre Opfer, wie sie das Lösegeld am besten zahlen können. Weil sie alle Firmendaten kennen, wissen sie über die finanziellen Möglichkeiten der Gehackten oft besser Bescheid als die eigene Steuerberatung.  

Die dreifache Mutter nahm also für ihr »ältestes Adoptivkind« den Kampf auf – immerhin hatte sie den fast hundert Jahre alten Familienbetrieb 2004 mit fünf Filialen von ihrem Vater übernommen. »Ich wollte diese mühsam aufgebaute Existenz nicht einfach aufgeben«, betont Bauer, »und für mich war das auch eine Herausforderung. Wie ein riesiges Escape-Room-Spiel, das wir gewinnen wollten.« 

Wenn der Computer versagt, hilft nur noch Pappe

Dass das Spiel über ein Jahr dauern würde, hätte sie damals nie gedacht. »Wir mussten von vorne anfangen«, erklärt Bauer, »bei laufendem Betrieb.« Zum Beispiel habe man nebenbei Inventur gemacht, um von der Schraube bis zum Auto zu prüfen, was alles in den Beständen war. Alle Daten darüber waren ja weg. Und Versuche, über professionelle Forensik-Firmen wieder an den Datenschatz zu kommen, scheiterten. »Black Basta« hatte ganze Arbeit geleistet. 

Als Renner unter der Belegschaft erwiesen sich alte Papp-Arbeitskarten von 1970, die ein Mitarbeiter noch im Firmenkeller gefunden hatte. Damit erstellte man Zeitpläne für die Werkstatt. Außerdem musste die IT vollständig erneuert werden. »Eine Million Euro kostete uns das«, sagt Bauer. Die Forderungsausfälle schlugen mit einer weiteren Million zu Buche.

90 Prozent der Angriffe passieren über Phishing-Mails

Auch Tosch weiß aus seiner Arbeit mit gehackten Firmen, dass der eigentliche Schaden oft nicht das Lösegeld ist, sondern der Betriebsstillstand. »Aufträge gehen verloren und die Wiederherstellung der Systeme kostet Unsummen.« Laut des Allianz Risk Barometers 2025 liegt der durchschnittliche Schaden pro Cybervorfall in Deutschland bei 105.000 Euro. Bei acht Prozent der Unternehmen war der Angriff sogar existenzbedrohend. 

Das mit Abstand beliebteste Einfallstor für die Kriminellen ist nach wie vor der digitale Postkasten. »Über 90 Prozent der Angriffe passieren über eine Phishing-Mail«, weiß Tosch. Denn die Täter brauchen oft nur den Klick eines unachtsamen Mitarbeitenden, um das ganze System lahmzulegen. Dabei komme immer mehr künstliche Intelligenz zum Einsatz. »Die Hacker nutzen sie, um solche Mails perfekt zu fälschen oder Angriffe zu skalieren«, warnt der Allianz-Experte.

Was nach dem Angriff mysteriös bleibt

Bei Bauer vermutete die Polizei, dass es »Black Basta« über die Alarmanlage schaffte, die IT zu kompromittieren. »Dort hatten wir nach ein paar Wochen festgestellt, dass das Ding permanent versuchte, einen Kontakt ins Ausland herzustellen«, erklärt Bauer, »und unsere Firewall das blockierte.« Eindeutige Beweise für die Schwachstelle fand man jedoch nie. 

Ebenso mysteriös bleibt das Warum. »Wir vermuten, dass es kein Zufall war«, so Bauer, »es ging denen wohl um unsere Verbindung zum Militär.« Denn in einem ihrer Betriebe wartet und repariert ein Spezial-Team für die Bundeswehr Tankwagen und Vorfeldfahrzeuge – als einzige Werkstatt in der Region. »Ohne uns hätte die Bundeswehr einen immensen Aufwand betreiben müssen, um eine neue Firma zu finden.« 

»Wir vermuten, dass es kein Zufall war. Es ging denen wohl um unsere Verbindung zum Militär.«

Anja Bauer, Autohaus-Chefin

Heute macht Bauer einiges anders in puncto Sicherheit. Neben einem automatisierten Update-Management lautet das Cyberschutz-Zauberwort für die Unternehmerin Segmentierung. »Wir haben unsere IT-Struktur viel kleinteiliger aufgestellt«, sagt sie, »damit machen wir es den bösen Buben zwar nicht unmöglich, aber deutlich schwerer.« Alarmanlagen, IP-Telefonanlagen und Kameraüberwachung sind jetzt getrennt vom produktiven Netzwerk. 

»Außerdem haben wir aus unseren Erfahrungen einen IT-Notfallplan erstellt. Damit können wir viel schneller agieren, wenn uns noch mal jemand angreift«, erklärt Bauer. Ein Punkt im Plan, an den wohl die wenigsten im Ernstfall denken: Man sollte nicht nur die Polizei informieren, sondern binnen 72 Stunden auch die zuständige Datenschutzbehörde – zumindest wenn personenbezogene Daten betroffen sein könnten. Sonst macht man sich strafbar.

Mangelhafter Cyberschutz bei den meisten Mittelständlern 

So einen Plan haben leider die wenigsten Mittelständler. Nur 37 Prozent verfügen laut Bitkom über ein umfassendes IT-Notfallkonzept. Ganz zu schweigen von einer passenden Versicherung. Lediglich 21 Prozent haben eine Cyberschutzpolice abgeschlossen. »Dabei deckt eine gute Police nicht nur den finanziellen Schaden, sondern stellt sofort ein Krisenteam bereit«, erklärt Tosch. Die Allianz bietet ihren Kundinnen und Kunden eine rund um die Uhr erreichbare Hotline. Dort berät ein Service-Team zum Beispiel bei der Suche nach geeigneten Dienstleistern, zum Beispiel für IT-Forensik. Aber auch PR-Beraterinnen oder Berater, die die Kommunikation mit dem Kundenkreis oder der Belegschaft der Firma steuern, sind im Schadenfall von der Versicherung gedeckt. Denn leider ist ein Cyberhack immer noch für viele Firmen etwas, das man lieber unter den Teppich kehrt.

Bauer kann über solche Gedanken nur schmunzelnd den Kopf schütteln: »Unser Teppich ist festgeklebt, da kann ich nichts drunter schieben.« Alle Kundinnen, Kunden und Mitarbeitenden wurden sofort über den Vorfall informiert. Diese Offenheit war für Bauer der Schlüssel, um am Ende nicht nur mit einem blauen Auge davonzukommen, sondern erhobenen Hauptes. Noch heute reist sie für Vorträge durch ganz Deutschland –  andere Firmen wollen aus ihrer Erfahrung lernen. Dann wird sie oft gefragt, ob sie auch etwas Positives aus dem Fall ziehen konnte. Bauers Antwort: »Durch meine Ehrlichkeit stieß ich bei meinem Team und vielen Kunden auf enorme Hilfsbereitschaft und Treue. Niemand hat uns gekündigt. Dafür bin ich allen bis heute sehr dankbar.«

Text Sonja Hogendoorn
Fotos Gemini/InANutshell; privat