Cyber Security: Hackerangriff im Autohaus

Zwölf Marken, fünf Standorte, ein Hackerangriff: Das Autohaus Bauer wurde 2022 das Ziel Krimineller. Sämtliche Daten, ob vom Server oder Mitarbeiter-PC, wurden verschlüsselt. Zugriff gebe es erst wieder, wenn Lösegeld gezahlte werde, hieß es in einer Botschaft der Hacker. Die verdienen mit diesem "Geschäftsmodell" viel Geld: So soll allein die für den Hackerangriff verantwortliche Gruppe "Black Basta" in den vergangenen zwei Jahren von ihren rund 300 Opfern einen dreistelligen Millionenbetrag ergaunert haben. Für Geschäftsführerin Anja Bauer war jedoch von Anfang an klar: Aufgeben oder das geforderte Lösegeld zahlen kommt nicht in Frage. Die Entscheidung mündete in der Mammutaufgabe, denn es musste nicht nur die gesamte IT neu aufgebaut, sondern zugleich der Betrieb am Laufen gehalten werden - ohne IT. Anfangs, erklärt Bauer, sei man noch optimistisch gewesen, die Daten auf irgendeine Art und Weise wiederherstellen zu können. Auf Anraten der Polizei wurde ein Spezialistenteam aus Bayern mit der Aufgabe betraut. Gleichzeitig musste in den Autohäusern der Bauer-Gruppe improvisiert werden, um den Betrieb am Laufen zu halten. Das Gefühl, von der Hackergruppe erpresst zu werden, hatte die Geschäftsführerin nach eigenem Bekunden dabei zu keinem Zeitpunkt. Sie fühlte vielmehr "ein riesiges Chaosknäuel unendlich vieler Aufgaben ohne einen roten Faden". Fahren auf Sicht In ihrem Buch beschreibt die Unternehmerin diese Situation, im völligen Blindflug einen Handelsbetrieb am Laufen halten zu müssen, mit einem alten Kaufmannsladen, den man auf dem Dachboden gefunden hat und mit dem man jetzt "spielt" - ohne genau zu wissen, über welche und wie viele Produkte man überhaupt genau verfügt. "Niemand wusste, ob wir den Reifen in der gesuchten Größe auf Lager hatten", bringt die Unternehmerin den Alptraum eines jeden Lageristen auf den Punkt. Im Lager wurde daher zunächst einmal Inventur gemacht. "Kassenbestände, Fahrzeuge, Werkzeuge, Reifen und Felgen oder Kfz-Schmierstoffe oder Diesel: Alles, was uns geblieben war, wurde aufgenommen", erklärt die Geschäftsführerin ihre ersten Schritte nach dem Hackerangriff. Zudem war es monatelang unmöglich, Personalkosten gegen Werkstatteinnahmen zu buchen oder den Ertrag eines Reifens zu errechnen. Schließlich war kein System vorhanden, in das man die entsprechenden Zahlen hätte einpflegen können. Es blieb also lediglich die Möglichkeit, Verkaufspreise im Netz zu recherchieren - ob und wie viel Gewinn damit gemacht wurde, konnte zu diesem Zeitpunkt niemand sagen. Workflow: Back to the roots Während auf der einen Seite nicht mehr richtig kalkuliert werden konnte, war man im Hinblick auf Auftragslage und Werkstattauslastung im Blindflug. Arbeitspläne und Termine waren schließlich auch vollständig digitalisiert - und entsprechend nicht mehr vorhanden. An einem Tag stand sich das Werkstattpersonal daher die Füße platt, an einem anderen wiederum gab es viel zu viel zu tun. Weil eine derart komplexe IT-Infrastruktur nicht von heute auf morgen aus dem Boden gestampft werden kann, mussten Behelfslösungen her. Auf großen Papierbögen wurden Zeitpläne gebastelt, Tabellen auf Excel nachzubauen versucht und die im Keller verstauten Auftragskarten aus den 70ern feierten ein Comeback. Während die Unternehmerin und ihre rund 200 Mitarbeiter dabei waren, wieder einen halbwegs praktikablen Workflow auf die Beine zu stellen, kam schließlich die Meldung aus Bayern: Nichts mehr zu machen, die Daten sind weg. Damit war allen Beteiligten klar, dass es keinen Plan B mehr gibt und die jahrelang gesammelten Daten ebenso verloren waren wie die für das Führen eines modernen Autohauses notwendige Software. Gemeinsam mit Tim Krämer, dem IT-Dienstleister des Autohauses, zwei externen IT-Profis sowie computeraffinen Mitarbeitern wurden die gehackten Geräte schließlich neu aufgesetzt. Sämtliche Lizenzen mussten neu erworben werden. Mit den ausrangierten Servern eines Bekannten wurde ein neues Netz aufgebaut. Mit neuen Firmen alten Schrott kaufen Trotz der Tatsache, dass es an allen Ecken und Enden lichterloh brannte, mussten jeden Tag zahlreiche Entscheidungen gefällt werden. Rückblickend, erklärt Bauer, sollte man viel öfter schnell und aus dem Bauch heraus entscheiden. Keine einzige der in diesem Zeitraum getroffenen Entscheidungen habe sie bereut. Auch nicht jene, die neun Tage nach dem Hackerangriff getroffen wurde: die alten Unternehmen zu liquidieren und zwei neue zu gründen, alle Mitarbeiter zu übernehmen, die eigenen Fahrzeuge zu bewerten und aus den liquidierten Firmen herauszukaufen. Als ob das nicht schon schwer genug wäre, hatte die Sache einen weiteren Haken: Die 520 Fahrzeuge, welche vor einigen Monaten in den Bestand aufgenommen wurden, waren durch die Pandemie enorm im Wert gestiegen und mussten mit einem Aufschlag von 30 Prozent in den Bestand aufgenommen werden. Noch schlimmer war die Lage beim Umlaufvermögen. Hier konnte man die Einkaufspreise nicht im Ansatz nachvollziehen und entschied sich dafür, die extrem teuer gewordenen Ersatzteile mit einem pauschalen Abschlag mit aufzunehmen. "Schrott", also sprich alte Ersatzteile, die kaum mehr gebraucht wurden, aber noch im Lager herumlagen, wollte man indes nicht teuer aus den alten Unternehmen herauslösen. Viele Mitarbeiter verstanden allerdings nicht, dass diese Teile für teures Geld aus dem alten Unternehmen herausgekauft werden mussten, und horteten sie zuweilen. Mit Kunden kommunizieren Die Kunden wollte man mit einem Rundschreiben auf den Hackerangriff aufmerksam machen und zugleich für künftige Schwierigkeiten sensibilisieren. Dabei gab es auch den ein oder anderen, der die Situation schamlos für sich ausnutzen wollte, indem Mails gefälscht und vermeintliche Regressansprüche gestellt wurden. Weil man sich hier nicht ein weiteres Problemfeld eröffnen wollte, zahlte man die geforderten Summen meist klaglos, wenn der Betrüger nicht durch einen Tippfehler oder Ähnliches aufflog. Lobende Worte im Zusammenhang mit dem Hackerangriff hat die Geschäftsführerin für eine Einrichtung, die man in diesem Zusammenhang wohl kaum auf dem Schirm hatte: das Finanzamt. Auf einem handgeschriebenen Zettel teilten sie diesem das Problem des Hackerangriffs und den damit verbundenen Datenverlust mit. Eine andere Möglichkeit gab es zu diesem Zeitpunkt schlicht nicht. Weil das Autohaus eine Bilanzbuchhalterin beschäftigte, gab es auch keine externen Dateien bei einer Steuerkanzlei, auf die man hätte zugreifen können. Was folgte, war eine Kommunikation auf Augenhöhe, bei der ein "enormer unternehmerischer Sachverstand" auf Seiten des Finanzamts vorhanden war. Die Behörde gab dem Unternehmen einen Vertrauensvorschuss, den man keinesfalls aufs Spiel setzen wollte. Entsprechend umsichtig agierte man bei der Übernahme der alten Firmen und achtete peinlich genau darauf, nichts zu unterschlagen. Ungleich problematischer war es, einen neuen Händlervertrag zu erhalten. Asset Deal - keine Rechtsnachfolge "Weil die Rechtsabteilung eine Rechtsnachfolge nach den eigenen Vorgaben nicht bestätigen wollte, konnte die nachfolgende Abteilung, die Händlernetzplanung, uns auch unsere Händlerverträge nicht auf die neuen Firmen überschreiben", erklärt Bauer. Erst nach einer monatelangen Zitterpartie lenkte der Hersteller schließlich ein. Damit war auch der Händlervertrag wieder in trockenen Tüchern.

Forum Automotive: Branchenwandel als Chance nutzen

Hyundai Ioniq 9: Dieses große E-SUV kommt nach Europa

Mercedes will Milliarden einsparen: Kosten runter, Effizienz rauf

Fahrzeugschaden in der Waschanlage: BGH-Urteil "richtungsweisend"

ZDK-Krise: Einheit macht stark, Zwietracht schwächt

Alle Schlagzeilen

Cyber Security: Hackerangriff im Autohaus

HASHTAG

#AUTOHAUS next

Forum Automotive: Bestes Retail-Erlebnis im Premium-Bereich

Zielgruppenansprache: Erfolg über Diversifizierung

Prüfingenieure: An vorderster Front

MEISTGELESEN

Sternauto: Größter BYD-Store in Deutschland eröffnet

Dacia: "Wir erobern von anderen Marken"

Mercedes zeigt neuen Benzinmotor: Es wird noch verbrannt

STELLENANGEBOTE

Leiter IT (w/m/d)

Werkstattmeister Karosserie (m/w/d)

Servicetechniker (m/w/d)

Juniorverkäufer (m/w/d)

Finanz- oder Bilanzbuchhalter (m/w/d)

WEITERLESEN

NEWSLETTER