Diese Frau lässt sich nicht erpressen

Fragt man Anja Bauer, ob sie sauer auf die Hacker ist, dann guckt sie erstaunt. „Darüber habe ich noch nie nachgedacht“, sagt die Unternehmerin zuerst. Dann überlegt sie und verneint: „Für mich ist das zu abstrakt. Die Hacker sind für mich keine ­greifbaren Menschen, für die ich etwas fühlen kann.“ Dabei haben die Kriminellen ihr einen der schlimmsten Albträume beschert, den eine Unternehmerin erleben kann. Es war am 11. Juni 2022, ein Samstag. Im Hause Bauer sind die selbst gebackenen Brötchen fast fertig und die Eier auch. Anja Bauer und ihr Mann Michael wollen frühstücken, als Tim Krämer, der IT-Dienstleister ihrer Firma, anruft: „Könnt ihr kommen? Wir sind gehackt worden.“ Die Worte sind der Unternehmerin gut in Erinnerung geblieben. Für sie beginnt mit dem Telefonat die schwerste Zeit, durch die sie ihre Firma bisher führen musste. Anja Bauer ist seit 2004 Geschäftsführerin des Familienunternehmens. Die Bauer Gruppe verkauft und repariert in fünf Autohäusern in Norddeutschland Fahrzeuge von Fiat, BMW und Mini. Rund 200 Menschen arbeiten für Bauer. Ihr Großvater hatte das Unternehmen 1930 als Reifenhandel in Flensburg gegründet. Ihr Vater baute die Firma aus. Anja Bauer wird wenige Wochen nach der Cyberattacke die GmbHs liquidieren, aus denen die Firmengruppe besteht, und das 90 Jahre alte Fami­lienunternehmen neu gründen – ein Rettungsmanöver, wie es kühner kaum sein kann. Als Erstes gilt: Ruhe bewahren Was da noch auf sie zukommt, ahnt Bauer natürlich nicht, als sie an jenem Junimorgen von dem Hackerangriff erfährt. „Mir gingen so viele Gedanken auf einmal durch den Kopf: Was bedeutet das, wir sind gehackt worden? Was wird aus dem Unternehmen? Haben wir schon alles verloren?“ Während es in Anja Bauer brodelt, machen sie und ihr Mann Michael ganz normale Dinge: Sie räumen den Frühstückstisch ab, führen den Hund Gassi, kümmern sich um die Betreuung ihrer Kinder, und sie packen eine Flasche Rum ein, für die Nerven. Anja Bauer trägt zu kurzen grauen Haaren die meiste Zeit des Tages ein Lachen im ­Gesicht. Make-up habe sie noch nie benutzt, erzählt sie. Im Büro trägt sie abwechselnd ­einen grauen und einen blauen Hosenanzug. Eine, die nicht hadert und schnell erkennt, was ­gerade praktisch wäre. In der Firma erklärt ihr der IT-Dienstleister Tim Krämer, was geschehen ist: Die Bauer Gruppe betreibt 25 Server. Alle sind heruntergefahren und alle Dateien verschlüsselt, die Backups zerstört. Nur eine Textdatei lässt sich noch öffnen. Darin steht eine Anleitung, wie das Unternehmen Kontakt zu der Hacker­gruppe aufnehmen und die Höhe der Lösegeldforderung erfahren kann. Die Forderung der Hacker: Geld her oder Daten weg Die Bauer Gruppe ist Opfer einer sogenannten Ransomware-Attacke geworden. Die Hacker verschlüsseln Firmendaten und verlangen ­Lösegeld. Im Gegenzug versprechen sie eine Entschlüsselungssoftware. „Ransomware verursacht von allen Cyberdelikten mit Abstand die größten wirtschaftlichen Schäden“, sagt ­Alexander Härtel, Experte für Ransomware-Attacken beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Wie viele Betriebe jedes Jahr Opfer solcher Angriffe werden, ist schwer zu erfassen. Und nicht alle Unter­nehmen melden Angriffe bei der Polizei. Bauer ruft noch am selben Tag die ­Polizei. In den ersten Stunden werden ihr Mann, der IT-Dienstleister und ihr Co-Geschäftsführer Hauke Brodersen zu einer kleinen Taskforce. Sie lassen Konten sperren und versuchen, die Herstellerfirmen zu erreichen, mit denen die Bauer Gruppe zusammenarbeitet. Kein leichtes Unterfangen. Die vier können weder E-Mails schreiben noch Telefonnummern aus dem Firmenadressbuch abrufen. Stattdessen müssen sie Kontaktdaten googeln und versuchen, sich durchzufragen – aus­gerechnet an einem Samstag. © ShortSolutions Anja Bauer (hier mit einem Mitarbeiter) ist seit 2004 Geschäftsführerin des Familienunternehmens mit 200 Beschäftigten. Nach einem Hackerangriff im Jahr 2022 musste sie die Firma neu gründen. „Es war wahrscheinlich kein Zufall, dass es ein Samstag war. Das gehört zum typischen Vorgehen der Hackergruppen. Das erhöht den Druck“, sagt Alexander Härtel vom BSI. Bauer erreicht ihren Bankberater zum Beispiel beim Familienausflug. Obwohl ihr schon dieser erste Tag klarmacht, dass hammerharte Wochen vor ihr liegen, denkt Bauer keinen Moment daran, Kontakt zu den Hackern aufzunehmen. „Ich wollte kein Erpresseropfer sein“, sagt die Unternehmerin. Lösegeld zu zahlen, kommt für sie nicht infrage. Die Unternehmerin will das Spiel der Erpresser nicht mitspielen. Für sie ist das eine Haltung. Sie wird nie erfahren, wie hoch die Lösegeldforderung ist. „Dass wir unsere ganze Firma plattmachen müssen, weil wir nichts mehr hatten, war mir in dem Moment, als ich diese Entscheidung ­gefällt habe, gar nicht klar“, sagt sie. Bereut ­habe sie die Entscheidung trotzdem nie. Anja Bauer entscheidet, kein Lösegeld zu zahlen Kein Lösegeld zu zahlen, ist die erste folgenschwere Entscheidung, die Bauer in dieser ­Krise aus dem Bauch heraus trifft. Die zweite wird neun Tage nach dem Angriff folgen und die Zukunft der Bauer Gruppe sichern. Noch am Wochenende versucht die Taskforce, die kommende Arbeitswoche vorzubereiten. Der Betrieb in den Werkstätten und Autohäusern soll weiterlaufen. „Wir hätten unseren Kunden ja nicht sagen können: ‚Sorry Leute, wir sind gehackt worden und deswegen bleiben eure Autos eben stehen.‘ Die wenigsten haben ihre Autos ja nur zum Spaß, sondern sie brauchen sie“, findet die Chefin. Sie besorgen Datenkarten und Router, bauen ein proviso­risches neues Netzwerk auf und legen neue ­E-Mail-Konten an. Am Sonntagabend schreibt Bauer allen ­Beschäftigten eine Whatsapp-Nachricht. Darin gibt sie ein paar einfache Verhaltensanwei­sungen: Kunden gegenüber erst mal von einem Serverproblem sprechen. Ruhig bleiben. Wo es möglich ist, analog arbeiten. Bauer versucht auch, ihrem Team Mut zu machen: „Wir haben zwar eine doofe Situation, aber es laufen nur die Server nicht, niemand ist krank, es ist kein Geld oder Auto geklaut, wir brauchen etwas Zeit, um alles wiederherzustellen. Aber es ist kein Beinbruch und kein Hexenwerk. Lächeln Sie und seien Sie besonders nett zu Kollegen und Kunden, weil sich Probleme mit einer ­positiven Gesamtstimmung leichter lösen lassen. Und mit einem Lächeln sieht das Leben gleich viel besser aus“, schreibt Anja Bauer ­ihrem Team über Whatsapp. Mehr zum Thema KI in der Cyber Security Achtung, Hackerangriff! So schützen Sie Ihre IT mit künstlicher Intelligenz IT-Notfallkarte Dank dieser Vorlage weiß jeder, was bei IT-Notfällen zu tun ist Cyberversicherung abschließen Woran Sie eine gute Cyberversicherung erkennen Eine digitalisierte Firma muss auf einmal analog laufen An Werktag eins nach dem Angriff öffnen die Werkstätten und Autohäuser. Normal ist freilich nichts. „Mitarbeiter haben ihre eigenen Laptops und iPads von zu Hause mitgebracht. Jeder hat versucht, dafür zu sorgen, dass wir irgendwie weiterarbeiten können“, erzählt Bauer. Das digitale Bezahlsystem ersetzen ­analoge Geldkassetten und Kassenbücher. „Wir ­haben alle Kunden gefragt, wie sie heißen, und das irgendwo aufgenommen“, sagt Bauer. Das Team denkt sich Systeme aus, wie sie händisch Rechnungsnummern vergeben kann. Einer hat sogar noch alte Auftragskarten aufgehoben, die nun wieder genutzt werden können. „So haben wir die Woche über ganz viele kleine Lösungen gefunden“, erinnert sich Anja Bauer. Die Programmierung der Autos in der Werkstatt läuft über ein Online-Tool, das bei den Herstellern und nicht in Bauers IT liegt. Sobald sie Internet und ein Tablet oder einen Computer haben, können die Mitarbeiter in der Werkstatt wieder anfangen, Autos zu reparieren. Am Montag gegen zehn Uhr vormittags steht ein neues provisorisches WLAN. So ganz ohne IT-Infrastruktur wird allen in der Bauer Gruppe schnell klar, wie essenziell Software und Computer selbst in einem ­vermeintlich analogen Geschäft wie dem Reparieren von Autos sind. Neuwagen stecken voller digitaler Technik. Die Wagen melden, wann sie zum Ölwechsel müssen. Das passende Schmiermittel merkt das System automatisiert in den Werkstätten vor. Superpraktisch für die Autobesitzer und für die Werkstatt – solange das IT-System funktioniert. Die Einsatzplanung wird zum Glücksspiel © ShortSolutions In den Werkstätten wurde auch während des Hackerangriffs weitergearbeitet; mit improvisierten Listen und viel gutem Willen vom Team. Bis alles wieder ganz normal lief, ist gut ein halbes Jahr vergangen. Nach dem Hackerangriff fahren Kunden auf den Hof, die selbst nicht wissen, warum das Auto in die Werkstatt wollte. Die Einsatz­planung der Werkstattplaner vergleicht Bauer mit einem Glücksspiel: Weil nirgendwo mehr festgehalten ist, welche Reparaturen anstehen, kann das Team die nötigen Ressourcen nicht einschätzen. Reifen im Lager zu suchen, gleicht einem Memory-Spiel. Im Normalbetrieb verraten Barcodes, zu welchem Auto ein Reifensatz gehört. Nun durchsuchen Bauers Mitarbeiter das Lager nach dem richtigen Reifensatz. Computer kommen mit 13-stelligen Seriennummern gut klar. Für die Leute ist es eine Qual, Zahl für Zahl abzugleichen. Bauer weiß in dieser Zeit nicht, ob die Firma rentabel arbeitet oder nicht. Normalerweise ­arbeitet die Bauer Gruppe mit einer Vollkostenrechnung. Nun kann niemand irgendwas ­buchen. Die Unternehmerin weiß nicht, was ein Teil im Einkauf gekostet hat und wie viel sie veranschlagen müsste, damit ausreichend ­Marge bei ihrem Unternehmen hängen bleibt. Ihre Mitarbeiter recherchieren online Vergleichspreise, um wenigstens einen groben Überblick zu haben. 7000 Papierkontoauszüge werden gescannt Nebenher starten Bauer und ihr Team ­Rettungsversuche. Sie scannen zum Beispiel rund 7000 Papierkontoauszüge in eine Excel-Tabelle und versuchen daraus, die Umsätze der Firma zu rekonstruieren. Erfolglos. „Wir wussten dann so Sachen, wie: Jemand hat uns 1300 Euro überwiesen – aber wir konnten nicht nachvollziehen: Hat er ein Auto gekauft oder eine Reparatur bezahlt?“ Bauer schläft in diesen Tagen kaum. Ihre Leute schieben Überstunden. In der Krise entwickelt die Belegschaft einen enormen Kampfgeist. Sie wollen, dass die Bauer Gruppe es schafft. „In der ersten Woche haben wir kaum über die Zukunft nachgedacht. Wir waren so beschäftigt damit, die Autohäuser am Laufen zu halten.“ Erst neun Tage nachdem sie vom Angriff erfahren hat, kann sich Anja Bauer über die Zukunft ihrer Firma Gedanken machen. Gemeinsam mit Rechtsanwälten und Steuerberatern schmiedet sie Pläne, wie es für die Bauer Gruppe weitergehen kann. Man schlägt ihr vor, die Firma abzuwickeln. Anja Bauer, zu dem Zeitpunkt 54 Jahre alt, könne sich dann doch zur Ruhe setzen. Bei dem Gedanken, einfach aufzuhören, lacht die Unternehmerin auch drei Jahre später noch ungläubig auf. Sie will nicht aufhören. Sie will die Familienfirma weiterführen. Was macht ein Unternehmen aus? Anja Bauers Unternehmen macht jährlich rund 85 Millionen Euro Umsatz. Rund 2000 ver­kaufte Autos pro Jahr. 200 Mitarbeitende. Aber was davon ist nun die Firma? Sind es die ­Menschen? Sind es die Gebäude? Oder sind es die Umsätze? Bauer hat durch den Hackerangriff gelernt: Für den Fiskus ist eine Firma etwas anderes als für sie als Unternehmerin. „Für mich sind das Unternehmen die Menschen, die für uns arbeiten. Und die waren ja noch da.“ Für den Fiskus aber zählt die Bilanz. Die ­erstellt Bauers Unternehmen inhouse und übermittelt nur die fast fertige Datei zur Prüfung an das Steuerbüro – wie es sich für ein modernes Unternehmen gehört, so papierlos wie möglich. Für 2021 war der Abschluss fast fertig. Dann kamen die Hacker und verschlüsselten alles. Eine vollständige Bilanz aufzustellen, wurde für das Unternehmen unmöglich. Die GmbHs sollen liquidiert werden Bauer entwickelt darum einen neuen Plan mit den Experten: Sie will die GmbHs liqui­dieren, aus der die Firmengruppe besteht, und ihr Unternehmen neu gründen. Wie beim ­Beschluss, keinesfalls Lösegeld zu zahlen, folgt sie auch bei dieser Entscheidung ihrem Bauchgefühl. In über 90 Jahren Firmengeschichte ist die Bauer Gruppe zu einer komplizierten Struktur aus sieben Gesellschaften herangewachsen. Selbst Mitarbeitende taten sich schwer, die „Autohaus Bauer GmbH“ und die „Autohaus A. Bauer GmbH“ nicht zu verwechseln. Anja ­Bauer möchte die Geschäftstätigkeiten in zwei neue GmbHs sortieren. Doch es gibt einen Haken: Die neuen GmbHs müssen einen Asset Deal mit den alten GmbHs eingehen. Jedes Auto auf dem Hof, jede Schraube in den Werkstätten muss die Firma sich selbst verkaufen. Die Mitarbeitenden müssen in die neuen Gesellschaften wechseln. Und das Finanzamt muss zustimmen. Über die Behörde kann Bauer aus dieser Zeit berichten, was Unternehmerinnen und Unternehmer selten sagen: Sie ist sehr zufrieden mit der Arbeit ihres Finanzamts und lobt den Menschenverstand. „Für alle war klar, wo ­keine Zahlen sind, können auch keine Zahlen angefordert werden. Kurzfristig ging es hier um die Umsatzsteuer, langfristig um Bilanzen und die Steuererklärung“, schreibt Bauer in ­ihrem Buch, das sie über den Vorfall ge­schrieben hat. „Hackerangriff im Autohaus. Die abenteuer­liche Rettung unseres Unter­nehmens“ (BoD, 133 Seiten, 9,90 Euro) Für den Asset Deal muss eine Bewertung des Bestandes her. Für alles, was die Firma besitzt, ein Preis festgelegt werden. Bei den Gebrauchtwagen auf dem Hof ist das noch relativ leicht. Dafür gibt es feste Kriterien und Listen. Bei den Teilen in den Werkstätten wird es schon schwieriger. Denn durch den Angriff auf die Ukraine, den Russland wenige Monate zuvor begonnen hat, sind Autoteile viel teurer ge­worden. Bauer hält ihr Team dazu an, strikt aus­zusortieren. „Aber es gibt immer diesen einen Mitarbeiter, der denkt: ‚Mensch, das ­haben wir doch alles bezahlt und das ist doch noch alles gut‘ und der hat das noch gehortet. Also, wir haben noch ­einen Haufen von alten Teilen, die wir für ganz viel Geld uns noch mal neu verkauft haben“, ­erzählt Bauer. Sie kann darüber lachen. Der ­Asset Deal gelingt. 2 Millionen Euro Schaden, aber niemand wird entlassen Wie genau die Hacker in die IT-Systeme ihres Unternehmens eingedrungen sind, konnte Bauer nie ganz klar herausfinden. Vermutlich hätten sie den Chip einer Alarmanlage als ­Einfallstor genutzt und sich schon Monate vor der Attacke im System umgeschaut, erzählt sie. „Dagegen kann man sich nicht wehren. Ich ­finde, das ist eigentlich ein gutes Gefühl. Man weiß, dass niemand Schuld hat.“ Wäre es ein Klick auf einen Link in einer ­E-Mail gewesen oder ein anderer menschlicher Fehler, hätte Bauer nicht erfahren wollen, wem dieser unterlaufen ist. Und sie hätte dafür ­gesorgt, dass es auch sonst niemand in der ­Firma erfährt. „Wer soll denn so eine Schuld tragen? Ich finde, das kann ich keinem Mit­arbeiter zumuten.“ Es dauert rund ein halbes Jahr, bis das Unternehmen wieder vernünftig Umsätze buchen kann und bis alle Computerprogramme wieder laufen. Aber Bauer muss niemanden entlassen, und niemand kündigt in dieser Zeit. Der Hackerangriff kostet die Firma rund 2 Millionen Euro, schätzt die Unternehmerin. Sie habe erwartet, dass die Melancholie sie noch einmal treffen könnte, wenn sie die finale Unterschrift auf den Löschantrag für die früheren GmbHs setzt, sagt Bauer. „Im Endeffekt war das nur ein bürokratischer Akt. Also jeder macht den Job wie vorher. Im Herzen haben wir keine Firma liquidiert, sondern wir haben einfach alle weitergemacht.“ Die Autohaus-Chefin aus Flensburg ist einfach keine, die mit Vergangenem hadert.

The post Diese Frau lässt sich nicht erpressen appeared first on impulse.