Lehrreiche Attacke

Das Familienunternehmen Pilz verkauft Sicherheit für Maschinen – und wurde dann Opfer eines Cyberangriffs. Seitdem ist nichts mehr, wie es war.




• Bei der Firma Pilz wird der 13. Oktober 2019 vermutlich als jener Tag in die Unternehmensgeschichte eingehen, der mehr veränderte als jeder Tag zuvor: das Sicherheitsempfinden, den kollegialen Umgang, die Arbeit selbst. Man erfährt das bereits an der Pforte am Hauptsitz in Ostfildern bei Stuttgart, wo – anders als früher – der Ausweis und die Seriennummer des Laptops vorgelegt werden müssen: „Wegen des Cyberangriffs“, sagt die Frau am Empfang.

An jenem 13. Oktober, einem Sonntag, stellen Überwachungsprogramme und Mitarbeiter fest, dass Kriminelle alle Server und Kommunikationssysteme von Pilz weltweit mit einem datenverschlüsselnden Virus, einer Erpresser-Software namens Bitpaymer, infiziert haben. Die Unternehmens-Homepage funktioniert nur noch teilweise, das Festnetztelefon ist tot, E-Mail-Kommunikation sowie der Zugriff auf Dateien auf den Rechnern von 2500 Mitarbeitern nicht möglich. Keine Kundenkontakte, keine technischen Zeichnungen, keine Gehaltsabrechnungen und Einkaufslisten, keine Adressbücher, Patentlizenzen, Terminkalender …

Stattdessen an jeder blockierten Datei die immergleiche Botschaft des Angreifers. Die macht der geschäftsführende Gesellschafter Thomas Pilz drei Tage später publik: „Wir werden erpresst, es geht um nichts anderes als Geld“, zahlbar in Bitcoins, wie das bei derlei Angriffen üblich ist. Und weil der Firmenchef auf den Deal nicht eingeht, bleiben die Daten blockiert. Auch aus seiner Gemütslage macht Pilz kein Geheimnis: „Ich vermute hinter jedem Busch einen Cybereinbrecher.“ Später verwendet er für das, was seiner Firma widerfahren ist, das Bild vom Großbrand, dessen Folgen erst sichtbar werden, wenn die Flammen erloschen sind.

Dass Pilz – anders als viele Opfer von Cyberattacken – in die Öffentlichkeit geht, ist umso erstaunlicher, als das Familienunternehmen (Umsatz 2018: 345 Millionen Euro) einen Ruf als Sicherheitsexperte zu verlieren hat. Mit dem Claim „The Spirit of Safety“ produziert und vertreibt Pilz mit weltweit 42 Tochtergesellschaften und Niederlassungen elektronische Sicherheits- und Steuerungstechnik. Das bekannteste Produkt ist der rote Not-Aus-Knopf an Millionen Fertigungsanlagen, Robotern, Flug- hafenrollbändern, Windrädern, Achterbahnen oder Skiliften (siehe auch „Ende der Käfighaltung“, brand eins 03/2018).

„Wir wollten nicht in die Lage kommen, unseren Kunden ein X für ein U vormachen zu müssen, wenn sie fragen, warum sie uns nicht erreichen, warum sich Lieferungen verzögern“, sagt der Firmensprecher Horst-Dieter Kraus. „Und wir möchten Öffentlichkeit und Politik darauf aufmerksam machen, dass organisierte Cyberkriminalität eine ernsthafte Bedrohung für unsere Wirtschaft und unser Land ist.“

Gut drei Monate nach der Attacke sei die Talsohle durchschritten, der größte Frust überwunden, heißt es in der Firma. Thomas Pilz, der das Unternehmen mit seiner Schwester Susanne Kunschert führt, ist sogar der Ansicht, man könne gestärkt aus der Krise hervorgehen. „Die Technik mag ausfallen, doch der Zusammenhalt und der Wille, die Probleme gemeinsam zu lösen, tragen uns. Wir sehen wieder positiv in die Zukunft.“

Die Mitarbeiter können jetzt wieder telefonieren und E-Mails verschicken, bargeldlos in der Kantine bezahlen, und die Fabriktore lassen sich wieder ohne Muskelkraft öffnen. Etwa zwei Wochen nach dem Angriff lief die Fertigung Schritt für Schritt wieder an; dort gleichen die Beschäftigten ihre Zeitkonten, die während der wochenlangen Zwangspausen ins Minus rutschten, mit Überstunden und Zusatzschichten aus.

Aber die Folgen des Angriffs sind noch unübersehbar und machen viel Arbeit. Noch immer sind Pilz-Mitarbeiter und externe Fachleute in einer eigens eingerichteten Etage – mit Absperrbändern wie auf einer Baustelle: „kein Zutritt“ – damit beschäftigt, Rechner und Datenspeicher auf Viren zu scannen. Abgeschlossen ist dagegen die Wiederinbetriebnahme der neu aufgesetzten PCs. „Das dauerte mehrere Wochen, weil zu den rund tausend Rechnern noch Hunderte Festplatten und andere Datenträger aus den Tochtergesellschaften in aller Welt hinzukamen“, erklärt der IT-Chef Jörg Stubbe. Allein die Ausgabe der runderneuerten Arbeitsmittel – notgedrungen händisch dokumentiert auf Formularen aus Papier – nahm drei Tage in Anspruch.

Noch immer müssen Mitarbeiter den Zugriff auf bestimmte Websites beantragen, aber sie können wieder weitgehend ungehindert im Internet surfen. Vor Konferenzräumen sind die digitalen Displays ausgebaut und durch Zettel ersetzt: Wer einen Raum belegen will, macht das nicht mehr elektronisch vom Schreibtisch aus, sondern muss mit dem Stift vorbeikommen. Und noch immer gibt es in der Entwicklungsabteilung Arbeitsplätze, die durch rote Klebebänder am Boden als isolierte Zonen gekennzeichnet sind, weil die Rechner dort noch nicht den neuen Sicherheitsrichtlinien entsprechen und vom Netz getrennt bleiben müssen. „Für manche Mitarbeiter bedeutete der Angriff eine mehrwöchige Zwangspause“, sagt Matthias Holzäpfel, Leiter der Vorausentwicklung, „alle waren froh, zumindest wieder in der isolierten Zone arbeiten zu können.“


Glücklicherweise gibt’s Post-its: Gerät, mit dem Dokumente von einem virenverseuchten USB-Stick ausgedruckt werden können; Dirk Sonder (links und auf der vorigen Seite) sowie Matthias Holzäpfel

Am auffälligsten bei Pilz sind die vielen farbigen Klebezettel – englisch: Post-its, schwäbisch: Bäbber – auf Flurwänden, Flipcharts, Whiteboards, gläsernen Bürowänden. Schon seit ein paar Jahren ist das Unternehmen dabei, mit Methoden wie Scrum, einem Verfahren zur Projekt- und Produktentwicklung, agiler zu arbeiten. Jetzt setzen noch mehr Abteilungen als zuvor darauf – die durch den Ausfall der Rechner erzwungenen Arbeitspausen wurden kurzerhand für Scrum-Schulungen für mehr als hundert Mitarbeiter genutzt. Matthias Holzäpfel sagt: „Wenn das Werkzeug E-Mail ausfällt, muss man eben durchs Haus laufen und mit den Kollegen sprechen. Und merkt dann oft, wie viel verbindlicher es ist, mit anderen regelmäßig an einem Board zu stehen, zu diskutieren, gemeinsam Aufgaben zu priorisieren. Vor aller Augen einen Zettel zu beschriften und sich damit zu etwas zu verpflichten oder einen Zettel von ,to do‘ zu ,erledigt‘ zu bewegen, das fühlt sich besser an, als am PC einen Haken in eine Liste zu setzen.“ Die bunten „Bäbber“ an den Wänden sorgten für Transparenz und schafften gemeinsame Erlebnisse. „Wir wenden die agilen Methoden nicht an, weil sie gerade schick sind, sondern weil sie mehr Transparenz herstellen und das Verantwortungsgefühl des Einzelnen und die Teamorientierung stärken“, sagt Holzäpfel. Er habe die Hoffnung, „dass uns der Angriff einen Schub bei der agilen Transition von Pilz gegeben hat“.

Und das nicht nur bei den Entwicklern, Marketingleuten und IT-lern in den Büros, sondern auch in der Fertigung. Dirk Sonder, Leiter der weltweiten Produktion, berichtet, wie in der längst durchdigitalisierten Fabrik Kärtchen über viele Stufen hinweg hin- und hergereicht werden, um Informationen zur Schichtübergabe oder bei Problemen auszutauschen. Es sei für alle eine wertvolle Erfahrung, „dass es kein Highend-Software-tool braucht, um ein Projekt zu organisieren, sondern dass das auch gelingen kann, wenn man morgens gemeinsam den Tag bespricht und am Schichtende gemeinsam Bilanz zieht“.

Das Motto laute: aus dem Cyberangriff lernen, das Momentum nutzen. So hat Dirk Sonder seine Mitarbeiter gerade erst aufgefordert, sich neue Projekte zu überlegen. „Wir wollen wegkommen vom klassischen Top-down-Projektmanagement. Und wir wollen Projekte weniger nach fachlichen Silos sortieren, sondern eher teamübergreifend organisieren.“ Auch würde der Fortschritt von Projekten jetzt in kürzeren Abständen gemeinsam an der Zettelwand überprüft. „Wir schauen früher, ob wir es weitertreiben oder abbrechen. Das bringt Dynamik.“ Außerdem sei es bei den Sonderschichten in der Fabrik erstmals dazu gekommen, dass Entwickler – oft jüngere Männer – gemeinsam am Band standen mit den Montagemitarbeitern – fast nur Frauen –, um die Produktionsrückstände aufzuholen. „Da entsteht ein Spirit, wie man sich ihn wünscht“, sagt Sonder.

Zu den Lehren, die Pilz aus der Cyberattacke zieht, gehört es, die Firewalls zu erhöhen, „bildlich gesprochen von zwei auf zehn Meter“, sagt der Produktionschef. Weil aber irgendjemand irgendwann mit der richtigen Leiter auch über diese Schutzmauer steigen kann, gelte es jetzt, die Auswirkungen eines möglichen neuen Angriffs zu minimieren durch eine komplexere und kleinteiligere Netzarchitektur. Dann wären nur ein paar Rechner betroffen, es gäbe nur ein lokales Feuer statt eines Flächenbrands. Auch ist geplant, die Mitarbeiter noch intensiver für die Abwehr äußerer Bedrohungen zu schulen.

Im Inneren sollen die agilen Methoden und mehr persönliche Kommunikation das Unternehmen widerstandsfähig halten. So wie durch die jetzt häufiger verbreiteten Videobotschaften der Geschäftsführung an die Mitarbeiter weltweit. Der Inhaberfamilie sei es dadurch gelungen, so der Produktionschef Sonder, „dass sich die anfänglich großen Ängste in der Belegschaft in das Gefühl verwandelt haben: Jetzt erst recht, wir lassen uns nicht unterkriegen.“

Klar sei aber auch, dass die erzwungene Rückkehr in die analoge Welt kein Patentrezept für die Zukunft sei. „Eine Weile lang ist es spannend und lehrreich, im Lager eine Bestellung mit einem Stift und einem Blatt Papier zusammenzustellen statt mit automatisierten Kommissionierlisten und Scannern“, sagt Dirk Sonder. Dennoch gebe es gerade für ein Unternehmen wie Pilz, das mit Digitalisierung und Industrie 4.0 Geld verdient, keine Alternative zur Vernetzung. „Die ist unverändert sinnvoll und zukunftsträchtig, auch wenn sie verwundbar macht. Wir müssen deshalb Risiken neu bewerten und passende Gegenmaßnahmen entwickeln. Aber ein Zurück wird es nicht geben.“ ---

„Bedrohungslage anhaltend hoch“

Nach Einschätzung des Bundeskriminalamts stellen Schadprogramme, mit denen wie bei der Firma Pilz Lösegeld erpresst werden soll, „eines der bedeutendsten Kriminalitätsphänomene im Bereich Cybercrime dar“. Und das Bundesamt für Sicherheit in der Informationstechnik warnt, dass die Cyberangriffe in Deutschland raffinierter würden und die Bedrohungslage anhaltend hoch sei. Man beobachte einen Anstieg der Fallzahlen bei Firmen, mit teilweise existenzbedrohenden Datenverlusten. Auch in Kliniken und öffentlichen Verwaltungen komme es zu erheblichen Beeinträchtigungen. Eine der größten bislang beobachteten Attacken machte 2017 Schlagzeilen: Innerhalb von drei Tagen verschlüsselte das Schadprogramm Wannacry in mehr als 150 Ländern Daten auf mehr als 200 000 Windows-Rechnern. Insgesamt befiel das Programm vermutlich mehrere Millionen Computer.

Wie teuer eine solche Attacke werden kann, zeigt das Beispiel eines norwegischen Aluminiumkonzerns, der Anfang 2019 zum Opfer wurde und wie Pilz kein Lösegeld zahlte. Nach eigenen Angaben betrug der Schaden etwa 30 Millionen Euro, obwohl das Unternehmen versuchte, alle Daten aus den Back-ups zu rekonstruieren. Der Digitalverband Bitkom beziffert den Schaden bei deutschen Unternehmen auf gut 100 Milliarden Euro pro Jahr, Umfang und Qualität der Angriffe hätten dramatisch zugenommen: „Die Freizeit-Hacker von früher haben sich zu gut ausgerüsteten und technologisch oft sehr versierten Cyberbanden weiterentwickelt – zuweilen mit staatlicher Unterstützung.“

Zu ihren Verlusten macht die Firma Pilz keine Angaben. Über die Hintergründe des Angriffs wollen Polizei und Staatsanwaltschaft aus ermittlungstaktischen Gründen keine weitere Auskunft geben.

Laut einer Studie von KPMG („e-Crime in der deutschen Wirtschaft 2019“) wurde knapp ein Drittel der rund eintausend befragten Unternehmen in den vergangenen zwei Jahren Opfer eines Angriffs mit Schadprogrammen, weitere 28 Prozent konnten Versuche abwehren. Entsprechend wachse der Markt für Versicherungen gegen Cybercrime: 27 Prozent der befragten Unternehmen verfügten über solche Policen, weitere 28 Prozent zögen es in Erwägung, eine abzuschließen.