Language:
DE |

Login 

Bitte auswählen: 

E-Finance

Weitere Online-Tools
Menü Menü
Suchen

Kontakt

Übersicht

Zentrale
  • Deutsche Leasing AG
    Frölingstraße 15 - 31
    61352 Bad Homburg v. d. Höhe
  • +49 6172 88-00
Angebotsanfragen
  • Ob PKW, Maschinen oder IT - wir erstellen Ihnen gerne ein unverbindliches gewerbliches Leasing- oder Finanzierungsangebot.
  • +49 6172 88-3200
  • Mo - Do 8:00 - 18:00 Uhr
    Fr 8:00 - 16:30 Uhr
Services des Geschäftsfeldes Mobility
  • Sie sind bereits Kunde des Geschäftsfeldes Mobility und haben Fragen rund um Ihre Mobilität? Wir stehen Ihnen gerne zur Seite.
  • Unfallschaden: +49 6172-88-2460
  • Fahrzeug: +49 6172-88-2488
  • Vertrag: +49 6172-88-2499

E-Mail

Sie erreichen unsere Zentrale unter +49 6172 88-00 oder füllen Sie das folgende Formular aus: 

Für eine gezielte und schnellere Bearbeitung wählen Sie im Feld "Thema" bitte ein spezifisches Anliegen aus.

Captcha aktualisieren captcha
Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage, zum Beispiel per E-Mail, genutzt. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.

Rückruf

Sie erreichen unsere Zentrale unter +49 6172 88-00 oder füllen Sie das folgende Formular aus:

Für eine gezielte und schnellere Bearbeitung wählen Sie im Feld "Thema" unbedingt ein spezifisches Anliegen aus.

Captcha aktualisieren captcha
Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage, zum Beispiel per E-Mail, genutzt. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.

Finanzierungsanfrage

Sie erreichen unsere Zentrale unter +49 6172 88-00 oder füllen Sie das folgende Formular aus:

Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage, zum Beispiel per E-Mail, genutzt. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.

Vertrag

Sie erreichen unsere Zentrale unter +49 6172 88-00 oder füllen Sie das folgende Formular aus:

Mit dem Absenden dieses Formulars erklären Sie sich einverstanden, dass die von Ihnen angegebenen Daten elektronisch erhoben und gespeichert werden. Ihre Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung Ihrer Anfrage, zum Beispiel per E-Mail, genutzt. Weitere Informationen entnehmen Sie bitte der Datenschutzerklärung.

Menü
Startseite / Themen / Gehackt: Was tun, wenn nichts mehr geht?
Gehackt: Was tun, wenn nichts mehr geht?

Gehackt: Was tun, wenn nichts mehr geht?

Diese Lehren sollten Unternehmen aus vergangenen Angriffen ziehen

Mehr als 134.000 Cyberangriffe wurden 2023 auf deutsche Unternehmen verübt. Die Schäden summieren sich auf mehr als 200 Milliarden Euro – und das ist nur die offizielle Statistik. Die Dunkelziffer dürfte laut Experten noch deutlich höher liegen. Cyberangriffe gelten inzwischen als das größte Geschäftsrisiko für Unternehmen – und werden dennoch oft unterschätzt.

Erfahren Sie in unserem Artikel:

  • Warum es keinen hundertprozentigen Schutz vor Cyberangriffen gibt
  • Wie Betroffene besonnen und richtig auf einen Angriff reagieren
  • Warum es wichtig ist, Cyberrisiken zu verstehen und das Bewusstsein für IT-Sicherheit zu stärken

Der Angriff

Diesen Freitag im September 2019 hatte sich Patric Spethmann anders vorgestellt: Er hatte gerade erst als Geschäftsführer und Chief Operations Officer beim bayerischen Modeunternehmen Marc O'Polo angefangen. Nach dem Sommerfest am Vortag, bei dem er lange mitgefeiert und Kontakte geknüpft hatte, wollte er im Büro die Feier Revue passieren lassen und in Ruhe sein Tagesgeschäft erledigen. Doch es kommt anders. Schon bevor sich Spethmann auf den Weg zum Unternehmenssitz in Stephanskirchen macht, explodiert sein Handy vor lauter Nachrichten. Nichts geht mehr in der Zentrale: Alle Bildschirme bleiben schwarz, kein Server fährt hoch, Kassensysteme in den Geschäften streiken – und alle Backups wurden professionell gelöscht. Das operative Geschäft steht still. „Wir konnten weder E-Mails schreiben noch telefonieren oder auf Bestände und Finanzdaten zugreifen“, sagt Spethmann, der sofort erkennt, was passiert war. Marc O'Polo wurde gehackt. „Schon auf dem Weg in die Firma habe ich ein paar Kontakte angerufen, weil ich wusste: Das kann ich nicht alleine lösen.“

Nur eine einzige Datei können Spethmann und sein Team noch öffnen. „Die hieß ‚Marc O'Polo read me‘ und darin stand: Ihr Firmennetzwerk ist gehackt und verschlüsselt worden“, erinnert er sich. Um die Daten und die Kontrolle zurückzubekommen, sollen sie eine von zwei angegebenen E-Mail-Adressen kontaktieren, um die Höhe des geforderten Lösegelds zu erfahren.

Es ist ein Ransomware-Angriff, wie er in Deutschland täglich passiert. Im Jahr 2023 wurden bei der Polizei mehr als 134.000 Fälle von Cyberkriminalität zur Anzeige gebracht. Doch anders als Marc O'Polo sprechen die wenigsten Unternehmen so offen darüber. „Die Gefahr wird immer noch komplett unterschätzt“, sagt Spethmann. Um das zu ändern, steht er seit fünf Jahren Rede und Antwort zu dem Fall, spricht in Podcasts darüber und berichtet in Vorträgen, welche Lehren sein Unternehmen daraus gezogen hat.

Das Notfall-Netzwerk

Häufig steht bei diesen Anlässen Thomas Lang mit auf der Bühne. Er ist Partner bei der IT- und Managementberatung valantic – und ist einer der ersten, die Spethmann direkt nach dem Angriff anruft. „Es war genau richtig, dass Patric nicht einfach seine IT hat arbeiten lassen, sondern einen Krisenstab mit externen Beratern und Experten aus seinem Netzwerk zusammengestellt hat“, sagt Lang. Neben ihm komplettieren IT-Forensiker, Netzwerkspezialisten und Incident Response Manager sowie die PR- und Rechtsabteilung von Marc O'Polo das Team, das noch am selben Wochenende damit beginnt, an einer Lösung zu arbeiten. „Das Erste, was wir gemacht haben, war die Frage zu stellen: Was braucht das Unternehmen, um möglichst schnell wieder handlungsfähig zu sein?“, sagt Lang.

Denn der Zeitpunkt des Angriffs war kein Zufall. Hacker schlagen oft an Freitagen oder vor Feiertagen zu, weil sie davon ausgehen, dass ihr Angriff dann länger unbemerkt bleibt. Bei Marc O'Polo fiel die Attacke zudem auf den Beginn der Herbst- und Wintersaison im Modehandel. Mehr als 2.000 Händler warteten auf ihre Ware, was den Druck zusätzlich erhöhte.

„Die meisten Unternehmer und Geschäftsführer sind nicht darauf vorbereitet wenn sie zum ersten Mal gehackt werden – selbst wenn sie sich dazu Wissen angelesen haben“, sagt Lang. Sie wissen nicht, wie es sich tatsächlich anfühlt. Er rät ihnen deshalb, sich externe Hilfe zu holen, die IT-Sicherheit regelmäßig überprüfen zu lassen und für den Notfall vorzusorgen. Neben technischen Vorkehrungen sind es rechtliche Aspekte und gesetzliche Anforderungen, die vielen unklar sind, bis hin zur Frage, welche Behörden informiert werden müssen.

valantic bietet Kunden der Deutschen Leasing als Kooperationspartner umfangreiche Services und Beratung im Bereich Cybersicherheit – vom Darknet-Monitoring potenzieller Gefahren über den schnellen Einsatz im Krisenfall bis hin zum systematischen Wiederaufbau gehackter Systeme.

Die Rettungsaktion

Patric Spethmann hat ein Netzwerk, das er aktivieren kann. Und das Team reagiert schnell. Nachdem sie alle Mitarbeitenden wieder nach Hause geschickt haben, sammeln sie die Hardware ein. Theoretisch könnte jeder Computer, jeder Drucker, jeder Smart-TV kompromittiert sein. „Wir haben uns von einem benachbarten Supermarkt Einkaufswagen ausgeliehen, um die Geräte von mehr als 400 Kolleginnen und Kollegen abzubauen“, sagt Spethmann. Parallel klappern sie die Elektronikmärkte in der Umgebung ab und kaufen neue Hardware, um provisorisch wieder arbeitsfähig zu werden. Bei all den Herausforderungen hat der neue COO das Glück, dass er von den Eigentümern – Marc O'Polo ist zu 100 Prozent in Familienbesitz – die volle Handlungsfreiheit erhält. „Es ging um die Existenz des Unternehmens. Deshalb haben sie ganz klar gesagt: Wir spielen nicht auf Zeit, brauchen auch keine Abstimmungsgremien.“ Spethmann kann frei über alle Mittel verfügen, die er in der Situation benötigt.  

„Es ging um die Existenz des Unternehmens. Deshalb haben sie ganz klar gesagt: Wir spielen nicht auf Zeit, brauchen auch keine Abstimmungsgremien.“

Patric Spethmann, Geschäftsführer & COO Marc O'Polo

Patric Spethmann

Die Lösegeldforderung

Nach einer ersten Analyse stellt sich heraus: Nicht alle Daten sind verloren. Es gibt noch eine Festplatte mit einer Monatssicherung, die losgelöst vom System im Tresor liegt. Allerdings ist dieses Backup nicht ganz aktuell. „Wir hatten eine Datenlücke von drei Wochen“, sagt Spethmann. „Das ist in unserer Welt zwar viel, wenn drei Wochen Forderungen, Rechnungen, Information über Warenbestände fehlen. Aber mir war damit klar: Wir würden überleben“. Mit diesem Wissen ist er schließlich sogar bereit, Kontakt zu den Angreifern aufzunehmen und über ein mögliches Lösegeld zu verhandeln. Wie aufgefordert schreibt er eine eine kurze Mail an eine der angegebenen Adressen „Hey, this is Marc O'Polo. What are we talking about“ – über welche Größenordnung sprechen wir - und wartet auf eine Antwort.

Währenddessen arbeitet sein Team daran, das Unternehmen aus eigener Kraft wieder handlungsfähig zu machen. Sehr schnell entscheiden sie, dass die alte IT-Infrastruktur nicht mehr verwendet und alles komplett neu aufgebaut werden soll. Das verbliebene Backup wird von Spezialisten auf Schadcodes geprüft und bereinigt, eine neue Domain wird eingerichtet, neue Software aufgespielt. Nach zehn Tagen können die ersten Systeme wieder hochgefahren werden.

Ob Marc O'Polo o am Ende ein Lösegeld bezahlt hat, dazu gibt der COO keine Auskunft. „Ich weiß, dass alle diese Frage interessiert. Aber ich möchte sie nicht beantworten, damit nicht pauschal der Eindruck entsteht: So oder so muss man es machen“, sagt er. Ob man auf die Forderungen der Hacker eingehe oder nicht, müsse jedes Unternehmen individuell entscheiden, abhängig davon wie groß der Schaden und wie schnell es wieder geschäftsfähig ist.

Thomas Lang

„Unternehmen müssen sich bewusst machen, dass sie trotz Firewall, Backups und modernsten Servern immer angreifbar bleiben."

Thomas Lang, Partner bei der IT- und Managementberatung valantic

Die Konsequenzen

Die Forensik-Spezialisten fanden im Nachhinein heraus, dass der Angriff auf Marc O'Polo von langer Hand geplant war. Schon ein halbes Jahr bevor alle Bildschirme schwarz blieben, sind die Hacker in das System eingedrungen. Ein Mitarbeiter von Marc O'Polo ist mit seinem Laptop in einem öffentlichen WLAN auf einer gehackten Website gesurft und hat unbewusst einen bösartigen Link angeklickt, über den sie sich Zugriff aufs Firmennetzwerk verschaffen konnten. Danach haben sie eine sogenannte LOTL-Strategie verfolgt. Die Abkürzung steht für Living-Off-the-Land und bezeichnet ein Vorgehen, bei dem sich Cyberkriminelle zunächst monatelang unbemerkt im System ihres Opfers bewegen, um es kennenzulernen und den eigentlichen Angriff vorzubereiten.

Aus diesem Grund sei es 2019 die genau richtige Entscheidung gewesen, alles von Grund auf neu aufzubauen, sagt Thomas Lang. „Wenn man es mit einem Einbruch vergleicht und nicht weiß, ob der Angreifer einen Schlüssel mitgenommen hat, würde man alle Schlösser austauschen“, erläutert er. Genau das habe Marc O'Polo gemacht. Doch es gibt keine Blaupause. In einem anderen Fall, könnte die Lösung auch eine andere sein, etwa weil es technisch zu aufwändig ist oder die Zeit zu sehr drängt. „Inzwischen gibt es zum Beispiel Software, die wir auf Endgeräten installieren können und die wie ein zusätzliches Schloss funktioniert. Damit kann ich alles, was noch da ist und was noch funktioniert, sofort wieder benutzen.“

Hilfreicher als ein einmal vorgefertigter Masterplan in der Schublade, wie Unternehmen auf einen Cyberangriff reagieren, ist für Lang und Spethmann ohnehin etwas anderes: „IT-Sicherheit ist eine Haltung“, sagt Lang. Unternehmen müssten sich bewusst machen, dass sie trotz Firewall, Backups und modernsten Servern immer angreifbar bleiben. Oder wie Spethmann sagt: „Man kann sich nicht freikaufen.“ Auch Marc O'Polo hat seit dem Angriff viel in Technologie investiert. Mindestens genauso wichtig war es aber, dass Prozesse überarbeitet und die Mitarbeiter geschult wurden. „Die Menschen sind der wichtigste Faktor“, sagt Thomas Lang. „Die Awareness, dass sie Phishing-Mails, Fake-Links und potenziell gefährliche Dateien erkennen, muss immer wieder trainiert werden.“ Und den Anstoß dazu muss die Geschäftsführung geben.

So war es schließlich auch bei Marc O'Polo. Auf die Frage, ob es den einen Schuldigen für den Angriff gibt, hat Patric Spethmann vor dem Aufsichtsrat ein klares Statement gemacht: „Wenn das gesamte Wohl des Unternehmens von der Tagesperformance eines einzelnen Mitarbeiters abhängt, dann hat das System versagt."

Wie Sie Ihr Unternehmen künftig besser schützen können? Unsere Expertinnen und Experten helfen gerne weiter. Jetzt Beratungstermin anfragen.

Weitere Artikel

Wachstumschancen für den Mittelstand
21.11.2024

Wachstumschancen für den Mittelstand

Die jüngste Prognose der führenden Ökonomen Deutschlands ist ernüchternd.  Für Transformation und Investitionen brauchen die Unternehmen mehr Planungssicherheit, sprich: einen gesetzlichen Rahmen, auf den sie sich verlassen können. Mit dem Wachstumschancengesetz wurde eine Reihe von steuerlichen und bürokratischen Erleichterungen, vor allem für Mittelständler, verabschiedet. Die wichtigsten Neuerungen für Sie im Überblick:

Finanzierung im Mittelstand
#Asset Finance Weekly
Beitrag lesen
Auf dem Weg zu neuen Standards: Wie ESG das Risikomanagement verändert
18.11.2024

ESG Risikomanagement

Die wachsenden regulatorischen Vorgaben verändern auch das Risikomanagement der Deutsche Leasing. Nachhaltigkeitsrisiken müssen in das Risikomanagement integriert, erfasst, bewerten und gemanagt werden. Kein leichtes Unterfangen, schließlich gibt es hierfür noch keine einheitlichen Ansätze und Methoden. Wie geht die Deutschen Leasing mit diesem komplexen Thema um? Wir haben nachgefragt bei Vorstandsmitglied Sonja Kardorf:

Nachhaltigkeit
#Asset Finance Weekly #Interview
Beitrag lesen
Effektiv und schnell auf Cyberangriffe reagieren
14.11.2024

Effektiv und schnell auf Cyberangriffe reagieren

Die Digitalisierung und Vernetzung eröffnen neue Chancen – und steigern zugleich das Risiko von Cyberangriffen, die die Stabilität Ihres Unternehmens bedrohen können. Doch viele Attacken lassen sich frühzeitig erkennen und abwehren. Mit einem fundierten Krisenmanagement behalten Sie auch im Ernstfall die Kontrolle. Entdecken Sie, wie Sie Ihr Unternehmen optimal schützen:

Digitalisierung finanzieren
#Asset Finance Weekly
Beitrag lesen
Mehr anzeigen