Lösegeldforderung Cyberkriminelle gehen leer aus: Bad Säckinger Zahnfabrik Vita bot Online-Erpressern erfolgreich die Stirn Computerhacker hatten den Familienbetrieb mit mehr als 600 Mitarbeitenden lahmgelegt und forderten ein Millionen-Lösegeld, um die blockierten Daten wieder freizugeben. Doch die Geschäftsleitung blieb unnachgiebig und konnte in einem Kraftakt den Schaden auf eigene Faust wieder in Ordnung bringen. Reinhard Herbrig Jetzt kommentieren 14.10.2022, 14.00 Uhr

Die Zahnfabrik Vita in Bad Säckingen wurde Opfer einer Erpressung. Bild: zvg

Wovor sich im digitalen Zeitalter alle Unternehmen und Behörden fürchten, das geschah am 4. Oktober 2020, einem Sonntag, der Bad Säckinger Zahnfabrik Vita: Die Vita wurde Opfer eines Cyberangriffs. Abends hatte plötzlich Outlook nicht mehr funktioniert.

Die sofortige Überprüfung des Servers ergab, dass dieser gerade von Dritten verschlüsselt wurde. Eine verbrecherische Organisation hatte die komplette digitale Kommunikation des international tätigen mittelständischen Familienunternehmens blockiert.

Von einem Moment auf den anderen konnten die Vita-Mitarbeitenden keine E-Mails mehr verschicken, nicht mehr telefonieren, hatten keinen Zugriff mehr auf elektronisch gespeicherte Daten. Auch die Firmenniederlassung in den USA war offline.

Auf einem Server hatten die Cyberkriminellen ein englischsprachiges Text-File hinterlegt: «Your files are encrypted, and currently unavailable.» Auf Deutsch: «Ihre Dateien sind verschlüsselt und derzeit nicht verfügbar.» In ihrem elektronischen Erpresserbrief forderten die Täter ein Lösegeld in Höhe eines siebenstelligen Betrages.

Emanuel Rauter, geschäftsführender Gesellschafter der Vita, gab den Erpressern nicht nach. Bild: zvg

Den Erpressern nachzugeben, war keine Option

«Für mich war klar: nie sich erpressen lassen», erklärte Emanuel Rauter, geschäftsführender Gesellschafter der Vita. Zusammen mit dem kaufmännischen Leiter Thomas Fuchs referierte er jüngst in den Räumen der Firma vor 27 Unternehmerinnen und Unternehmern aus Südbaden über den Vorfall. Eingeladen zu dem Unternehmergespräch hatte die Arbeitsgruppe Schwarzwald des Wirtschaftsverbands Industrieller Unternehmen Baden.

Für den Fall eines Cyberangriffs hatte die Vita eine Versicherung abgeschlossen. Auch der Versicherungsgeber bestärkte die Unternehmensleitung darin, keinesfalls der Erpressung nachzugeben und das Geld zu zahlen, um möglichst schnell wieder Zugriff auf die eigenen elektronischen Kommunikationssysteme und Daten zu haben.

Der kaufmännische Leiter Thomas Fuchs berichtete über den Fall. Bild: zvg

Doch wie sollte der Familienbetrieb mit mehr als 600 Mitarbeitenden wieder zum Laufen gebracht werden? Bereits am ersten Tag nach der Attacke seien erste Massnahmen ergriffen worden, erzählte Fuchs. Die Firma nahm Kontakt mit einem IT-Dienstleister auf, informierte ihre Mitarbeitenden, dass diese am Montagmorgen keine Computer oder Laptops mehr starten dürften – und sie schickte ab Montag einen Grossteil der Beschäftigten in Kurzarbeit.

Der bei der Vita eingerichtete Krisenstab war sich schnell einig, dass ein kompletter Neuaufbau und keine Wiederherstellung des angegriffenen Datenverarbeitungssystems erfolgen solle.

Daten vom Server in die Cloud verlagern

Dies geschah Schlag auf Schlag: Die gesamte alte Hardware wurde ausser Dienst genommen. Stattdessen wurden neue Geräte gekauft oder geleast. Alle elektronischen Datenverarbeitungssysteme wurden komplett auf die jeweils aktuelle Softwareversion umgestellt und alle Endgeräte neu aufgesetzt. Eine neue elektronische Firewall wurde eingerichtet. Statt wie bisher auf Servern wurden die Daten auf Cloud-Services gespeichert.

Da bei Vita Produktion und Lager über SAP gesteuert werden, war dieser Bereich nur durch den Ausfall einer Schicht betroffen. Was aufgrund ausgefallener Endgeräte nicht eingegeben werden konnte, wurde in Papierform festgehalten und später eingegeben. Beim Interimsbetrieb nutzten die Vita-Mitarbeiterinnen und -Mitarbeiter ihre privaten Laptops. Nach einer Woche arbeiteten die Systeme wieder.

Cyber-Sicherheitstrainings jetzt Pflicht bei Vita

Welche Lehren zog Vita aus dem Cyberangriff? Rauter und Fuchs hatten eine ganze Reihe Ratschläge parat: Pläne zum Notfallmanagement müssen regelmässig aktualisiert und validiert werden. IT-Sicherheitskonzepte müssten ebenfalls regelmässig geprüft. Investitionen in entsprechende Hardware dürften nicht aufgeschoben werden. Seit dem Vorfall muss das Vita-Personal regelmässig Cyber-Sicherheitstrainings absolvieren, hiess es.

