Keine Knete für Black Basta

Es ist der perfekte Zeitpunkt für einen Cyberangriff. Ein Freitagabend im Juni 2022, Ferienzeit, und vor allem: Beim Autohaus Albert Bauer in Flensburg findet ein Sommerfest statt. Alle feiern ausgelassen, ein Zauberer tritt auf, es wird getanzt. „Wir hatten es geschafft“, erzählt die Geschäftsführerin Anja Bauer heute. Soll heißen: wirtschaftlich überlebt trotz geschlossener Autohäuser in der Pandemie. Sie hatte nicht nur die Zentrale in Flensburg, sondern auch die Filialen in Husum, Schleswig, Heide und Stralsund durch eine der größten Krisen des Unternehmens gebracht.

An diesem Abend im Juni schaut Anja Bauer wieder nach vorne: Ihr Betrieb, den ihr Großvater 1930 gegründet hat und den sie seit 2004 leitet, wird in wenigen Jahren 100 Jahre alt. Sie kann noch nicht ahnen, dass er dieses Jubiläum nie erreichen wird. „Wäre es ein normaler Freitag gewesen, wäre vielleicht irgendjemandem aufgefallen, dass der Mailserver nicht mehr lief“, sagt die 54-Jährige heute. „Aber wir waren mit Tanzen und Lachen beschäftigt.“ Gleichzeitig fahren erst in Husum und dann in Heide die Server herunter, nachts folgen die Server an den anderen Standorten.

Als bei Anja Bauer am Tag nach dem Fest um 9.05 Uhr gleichzeitig mit der Eieruhr das Telefon klingelt, ist ihr klar, dass aus einem entspannten Frühstück nichts wird. Auf dem Display erscheint die Nummer des IT-Mitarbeiters. Bauer wundert sich: „Tim würde niemals samstagmorgens anrufen – außer es ist etwas Schlimmes passiert.“ Anja Bauer ist endgültig hellwach. „Wir sind gehackt worden“, sagt Tim. Dieser Samstagmorgen wird für die folgenden Wochen ihr ausgeschlafenster bleiben.

Was in dieser Nacht auf den Rechnern von Anja Bauer passiert, kann heute jede Firma treffen. Von 3500 Fällen von Computer- und Datensabotage hat das Bundeskriminalamt 2022 erfahren – das sind zehn pro Tag. Der wirtschaftliche Schaden durch „Ausfall, Diebstahl oder Schädigung von Informations- und Produktionssystemen oder Betriebsabläufen“ dürfte nach Berechnungen des Digitalverbands Bitkom dieses Jahr bei 35 Milliarden Euro liegen. Und laut der Förderbank KfW wurden allein zwischen 2018 und 2020 drei von zehn Mittelständlern Opfer von Cyberangriffen.

Die Geschäftsführerin eilt an jenem Morgen zu dem Backsteinbau ihres Autohauses in Flensburg. „Die Vögel zwitscherten, alles war so friedlich“, erinnert sie sich. Der Eindruck täuscht. Das wird ihr klar, als sie die einzige Datei liest, die sich auf dem Server noch öffnen lässt. Sie heißt „Readme“ und enthält diesen Text: „Ihre Daten sind gestohlen und verschlüsselt.“ Die Angreifer bieten an, die Daten wieder zu entschlüsseln, wollen dafür aber ein Lösegeld. Bauer möge dazu bitte eine Webseite im Darknet aufrufen, es folgt eine kryptische URL.

Ransomware-Attacke nennt man diese Art von Cyberangriff, bei der Hacker die Daten mit einer Software verschlüsseln und ein Lösegeld (ransom) fordern, oft Zehntausende Euro. Vor allem größere mittelständische Unternehmen sind ein lukratives Ziel für Hacker: Sie sind umsatzstark, während sie ihre Systeme oft unzureichend gegen Cyberattacken schützen.

Wie viel Geld die Erpresser von ihr wollten, habe sie gar nicht erst nachgeschaut und die Internetadresse nicht geöffnet, sagt Anja Bauer. Wenn sie an die Erpresser-Mail denkt, wird sie heute noch laut: „Ich lasse mich doch nicht erpressen!“ Mit Kriminellen verhandeln? Auf keinen Fall.

Bauer tritt die Flucht nach vorn an. Noch am Wochenende informiert sie alle 250 Mitarbeitenden. Dafür nutzt sie jene WhatsApp-Gruppen, die sie in Pandemiezeiten gegründet hat. „Keine Panik“, schreibt sie, „es geht nur um Geld.“

Sie kauft neue E-Mail-Adressen und leitet Nachrichten an die alten Adressen dorthin um. Ein Kollege hat einen alten Server zu Hause, damit bauen sie ein provisorisches Netzwerk auf, sodass das Unternehmen am Montag wieder erreichbar ist. Per Google-Suche findet Bauer heraus, dass ihre Firma mutmaßlich ein Opfer der russischen Erpressergruppe „Black Basta“ geworden ist, die schon viele deutsche Firmen attackiert hat – die verschlüsselten Dateien haben die Endung „basta“.

Der Angriff auf Bauers Unternehmen sorgt für lange und hektische Tage in ihrem Leben. An deren Ende steht stets das gleiche Ergebnis: Die Daten sind und bleiben verschlüsselt. Alle. Selbst eine auf Datenrettung spezialisierte Firma kann nicht helfen. Ihr Unternehmen ist wie gelähmt. „Wir machen weiter“, verkündet sie zwar. Doch ohne Daten kann ihr Team weder Autos verkaufen noch reparieren. „Wir wussten ja nicht einmal mehr, welche der Autos auf dem Hof uns gehörten“, erinnert sie sich.

Als am Montag nach dem Angriff die ersten Kunden kommen, wird die ausweglose Lage klar. Ein Dialog, an den sich Bauer erinnert, geht so:

Kunde: „Ich soll das Auto vorbeibringen.“

Bauer: „Was muss denn getan werden?“

Kunde: „Ich weiß es nicht, Sie hatten doch angerufen.“

Normalerweise würde der Schlüssel nun digital eingelesen: Auf ihm ist der aktuelle Zustand des Autos protokolliert, er enthält Informationen über Wartungszyklen und Fehlermeldungen. Die digitalen Prozesse der Autohäuser der Bauergruppe waren vor dem Angriff so aufeinander abgestimmt, dass die Software sowohl die nächsten Schritte vorgeschlagen als auch die dafür benötigten Teile aufgelistet hat. Sie kannte den Ort, an dem diese Teile zu finden waren – Regalreihe, Regalnummer, Fach – sowie deren Preis. Anja Bauer hatte fortschrittlich auf Digitalisierung gesetzt – aber jetzt waren alle digitalen Back-ups verschlüsselt, und analoge Back-ups wie Ausdrucke gab es nicht.

Laut dem Mittelstandspanel der KfW sind kleine und mittelständische Firmen mit Digitalisierungsstrategie öfter Cyberangriffen ausgesetzt als jene ohne eine solche. So überraschend ist das eigentlich nicht, aber die Firmen sehen die Gefahr selten: Sie halten sich für zu klein, zu unbedeutend für Hacker. Zudem sind umfassende Security-Lösungen oder eigenes IT-Personal teuer. Die Folge: Systeme werden digitalisiert, aber nicht ausreichend geschützt.

Der Digitalverband Bitkom empfiehlt dagegen, nicht weniger als 20 Prozent des IT-Budgets für IT-Sicherheit auszugeben. Das scheint aber alles andere als Realität zu sein: Obwohl laut einer repräsentativen Umfrage des Bitkom zwei Drittel der Firmen mit einer Cyberattacke in den nächsten zwölf Monaten rechnen, sieht sich nicht einmal die Hälfte gut gerüstet, eine solche Attacke auch abzuwehren. Vier von zehn Befragten antworten in der Bitkom-Umfrage sogar: „Wir haben das Thema Cyberkriminalität bisher verschlafen.“

Für sie sollte die Geschichte von Anja Bauer ein Weckruf sein. Wer IT-Systeme gut auf ungewöhnliche Vorgänge hin überwacht, Angreifer schnell bemerkt und Back-ups auf separaten, vom Netz getrennten Servern hat, hat gute Chancen, einen Angriff zu überstehen. Und auch für die Reaktion im Notfall und den Neustart nach einem Cyberangriff sollte es in jedem Unternehmen bereits Pläne in der Schublade geben, raten Fachleute: Denn das spart wertvolle Zeit. Und die ist teuer.

Anja Bauer macht fehlende Notfallpläne in diesen Tagen im Juni durch eine ihr innewohnende Entschlossenheit wett: Sie fackelt nicht lange, sondern wird im Zweifel lieber schnell aktiv. Sie ruft ihre Mitarbeiter zusammen ins Labyrinth aus Regalen, Schubladen und Schachteln und bittet alle, Gedächtnisprotokolle zu schreiben: Welche Arbeiten habt ihr in den vergangenen Tagen erledigt? Welche Termine vereinbart? Wo sind noch Rechnungen zu stellen? Was ist an den Autos zu tun, die sich in den Werkstätten der Niederlassungen befinden?

Alles wird auf Zettel geschrieben, sie kleben überall, auf Bildschirmen, an Regalen, an der Wand. Anja Bauer zeigt der Reporterin Fotos von damals. „Zum Glück habe ich einige erfahrene Mitarbeiter, die noch wussten, wie wir das alles vor der Digitalisierung gemacht haben“, sagt Bauer. Sogar alte Rechnungsformulare tauchen auf, sie tragen noch die „Fernschreiber“-Nummer des Unternehmens. All das hilft nur übergangsweise. Eine langfristige Lösung muss her. Und die sieht ganz anders aus, als man vielleicht denkt.

Trifft man die Unternehmerin heute in Flensburg, läuft sie durch eine weitgehend leer geräumte Halle neben der Werkstatt, sie findet hier noch eine Schraube, dort noch einen Ölfilter: „Das muss alles raus“, sagt sie. Mit ihrem damaligen Prokuristen und heutigen Mit-Geschäftsführer Hauke Brodersen hat Anja Bauer nämlich im Juni 2022 eine ungewöhnliche Entscheidung getroffen: Sie liquidierten die bestehenden Firmen – die Bauergruppe bestand zu diesem Zeitpunkt historisch gewachsen aus sieben eigenständigen GmbHs – und gründeten zwei neue. So radikal dieser Schritt klingt: Womöglich war das die einzige Möglichkeit, den Angriff zu überleben.

Denn eines wurde immer klarer: Ohne Daten sind ihre Unternehmen quasi wertlos. Sie sei handlungsunfähig gewesen, erinnert sich Anja Bauer, und jeder Versuch, das Chaos zu sortieren, brauchte nicht nur viel Zeit, sondern endete in einer Sackgasse, weil dafür nötige Daten fehlten. „Andere melden Insolvenz an“, sagt Bauer. „Wir sind aber Macher, den Kopf in den Sand zu stecken ist nicht unsere Art.“

Nach der Neugründung schickt die Industrie- und Handelskammer ein Glückwunschschreiben, wie es an jedes Start-up geht. Dann geht es darum, die alte Firma abzuwickeln. Die zentrale Frage: Wie lassen sich Einnahmen und Ausgaben erfassen, wenn alle Daten verschlüsselt sind? Zunächst habe sie das in Absprache mit dem Finanzamt anhand der Kontoauszüge versucht, berichtet Bauer. Aber was bedeutet eine Überweisung, wenn die zugehörige Rechnungsnummer ins Nichts führt?

Also einigt Bauer sich mit dem Amt so: Alles, was an Wert noch vorhanden ist, wird von den alten an die neuen Firmen verkauft und entsprechend verbucht. Immerhin: Die beiden neuen Firmen können alle Mitarbeitenden übernehmen.

Zunächst ist vieles für Bauer einfacher als gedacht: Benachbarte Firmen hätten Hilfe und Kredite angeboten und die Zuständigen beim Amtsgericht die Neugründung unterstützt. Die Gewerbeämter an den einzelnen Orten seien umsichtig und das Finanzamt sei erstaunlich pragmatisch gewesen.

Schwierigkeiten gibt es laut Bauer bis heute mit der Datenschutzbehörde, auch wenn sie sich direkt nach dem Angriff dort meldete: Datenschutzrechtlich muss ein Datenverlust umgehend bei den Behörden gemeldet werden. Nur habe sie einen Fragebogen bis heute nicht im Detail ausfüllen können: Denn sie habe genau angeben sollen, wie viele und welche Art von Daten betroffen seien. „Das weiß ich nicht, denn die sind verschlüsselt“, sagt Bauer. Zudem wisse sie nicht, ob tatsächlich Daten abgeflossen seien; bisher gebe es dafür keine Belege.

Skurril sind die Verhandlungen mit dem Bundesanzeiger, in dem Unternehmen ihre Bilanz veröffentlichen müssen. Wer das nicht tut, riskiert eine Strafe. Nur kommt Bauer damals ja nicht mehr an ihre Zahlen heran. Was also tun? „Sie müssen warten, bis wir Sie verklagen“, habe die Antwort gelautet – denn es brauche erst ein Aktenzeichen. Anfang Juni 2023 trifft endlich der ersehnte gelbe Brief des Bundesjustizministeriums bei Bauer ein, mit dem ein Ordnungsgeldverfahren eröffnet wird. Mit Aktenzeichen. „Jetzt können wir endlich etwas tun“, sagt Anja Bauer – und muss selbst lachen. Dass sich jemand über ein solches Verfahren freut, das kommt sonst wohl kaum vor.

Den Brief des Ministeriums wie auch diverse andere Schriftwechsel mit Behörden hat Anja Bauer ZEIT für Unternehmer gezeigt. So ein Hackerangriff kann viel Bürokratie nach sich ziehen. Dazu kommt der Ärger mit den Fahrzeugherstellern, denn auch deren Regularien sind streng: So dürfe ein Händler einen bestehenden Vertrag nur dann übernehmen, wenn das Unternehmen „im Ganzen“ übernommen werde, teilt eine Marke ihr mit. Allerdings kann Bauer das mangels Daten kaum nachweisen. Sie bestellt also Fahrzeuge auf den Vertrag und Namen der alten Firma und verkauft sie im Namen der neuen – es geht ja nicht anders.

Außerdem braucht Bauer eine neue Handelsregisternummer, eine neue Steuernummer und eine neue Umsatzsteuernummer. Letztere brauche drei Monate, erfährt Bauer. Also macht sie erst einmal ohne weiter. Bis ein Lieferant an der Grenze zu Polen aufgehalten wird, weil genau diese Nummer fehlt. Einmal habe sich eine Finanzamtsmitarbeiterin aus einer kleinen norddeutschen Stadt für eine Lohnsteuerprüfung angemeldet, erzählt Bauer. Doch als sie der Frau gesagt habe, dass sie zwar kommen, aber nichts prüfen könne, habe diese zunächst vermutet, das sei eine Ausrede und die Geschäftsführerin wolle ihr etwas verheimlichen. „Ich habe dann immer angerufen und alles erklärt“, sagt Bauer – und das habe meist geholfen. Meist. Der Schriftverkehr mit dem Transparenzregister füllt inzwischen einen ganzen Ordner, weil auch von dort immer wieder Beschwerden über widersprüchliche Angaben ins Haus flattern.

„Wir haben damals wichtige Entscheidungen im Minutentakt getroffen“, verteidigt sich Anja Bauer. Mehr als ein halbes Jahr lang hat sie ihre Unternehmen im Blindflug gesteuert, das Buchhaltungsprogramm musste neu geschrieben und angepasst werden. „Wir wussten nicht, ob wir Geld verdienen, wir haben einfach die Rechnungen bezahlt, die reinkamen.“ Erst in diesen Tagen im Sommer 2023 werden die letzten Teile der Software freigeschaltet, unter anderem ein Ablagemanagement und ein Workflow für Eingangsrechnungen. Da die Software passgenau für das Unternehmen entwickelt werde, sei das aufwendig gewesen und habe so lange gedauert, erklärt Bauer.

Bauer sagt, die Kripo habe ihren Schaden in den ersten Tagen auf rund 2,5 Millionen Euro geschätzt – eine Million Euro Forderungsausfall, eine Million für neue Server, Programme, Systeme und 500.000 Euro durch Imageverlust. „Die haben wirklich gute Erfahrungswerte“, sagt Bauer. Nach fast einem Jahr bezifferte ihr Steuerbüro den Forderungsausfall tatsächlich auf 977.461 Euro.

Anja Bauer führt über den Hof, durch Werkstätten, es riecht nach einer Mischung aus Öl und dem sterilen Geruch von Neuwagen. Jeden, den sie trifft, begrüßt sie mit einem energisch-freundlichen „Moin“. Man merkt: Bauer ist eine zupackende, eine optimistische Frau. Und so versteht man, wenn sie sagt, dass sie nie an ihrer Entscheidung gezweifelt habe: „Wir haben die Entscheidungsgewalt über unsere Firma nicht abgegeben, das ist das Wichtigste.“ Hätte sie das Lösegeld bezahlt, wären die Angreifer vielleicht früher oder später wiedergekommen. Und die Schadsoftware würde womöglich immer noch in ihren IT-Systemen stecken. „Ich bin froh, dass wir alles plattgemacht haben“, sagt die Unternehmerin.

Plattgemacht, damit es weitergehen kann.