Newsroom Artikel - Westfalen AG
Wählen Sie ein Land, um Inhalte und Produkte zu sehen,
Land
Deutschland
 
Niederlande
 
Frankreich
 
Belgien
 
Schweiz
 
Österreich
 
Verfügbare Sprachen
DE
NL
FR
OK
 
  1. Über uns
  2. Newsroom
Menschen | 19.12.2022

Cyber-Kriminalität: „Ein Katz-und-Maus-Spiel zwischen Angreifern und Unternehmen.“

Der Westfalen IT-Leiter und “CIO des Jahres“-Preisträger Dr. Matthias Voigt im Interview rund um Cyber-Security, Krisenbewältigung und wie man vom Opfer zum Ratgeber wird.

Im Januar 2021 hatte die Westfalen Gruppe mit einem großangelegten Hackerangriff zu kämpfen. Eine riesige Herausforderung - auch wenn die Kundenversorgung jederzeit sichergestellt war. Nun, fast 2 Jahre später, wurde Westfalen für den Umgang mit der Krise öffentlich ausgezeichnet. IT-Leiter Dr. Matthias Voigt erhielt stellvertretend für das Unternehmen Deutschlands wichtigsten IT-Preis: die Auszeichnung „CIO des Jahres“ im Bereich „Cyber Resilience“. Im Interview erklärt der Preisträger wie es dazu kam und warum ein Hackerangriff sogar die Digitalisierung voranbringen kann.

 

Herr Dr. Voigt, zunächst einmal eine persönliche Frage: Wenn Sie an den Tag des Hackerangriffs im Januar 2021 zurückdenken, was kommt Ihnen dann als erstes in den Sinn?

(Lacht) Auch wenn das jetzt sehr komisch klingt: Apfelkuchen. Es war einen Tag vor meinem 40. Geburtstag. Ich habe gerade mit meiner Frau Apfelkuchen gebacken. So gegen 19 Uhr klingelte das Diensthandy und unser Infrastrukturleiter war dran. Er sagte: „Wir haben ein komisches Verhalten der Systeme auf unseren Laptops“. Da war ich sofort alarmiert, denn ein „komisches Verhalten von Laptops“ klingt aus dem Mund eines IT-Spezialisten nicht gut. Ich habe ihn gebeten, das genauer zu prüfen. Als er dann kurz danach nochmal anrief, war seine erste Frage an mich „Sitzt du?“ DIe erschütternde Nachricht: “Wir wurden verschlüsselt“. Ich habe sofort unser IT-Vorständin Dr. Meike Schäffler informiert, mich ins Auto gesetzt und wir haben uns dann alle in der Unternehmenszentrale getroffen, um erste Maßnahmen einzuleiten. 

 

Wie haben Sie die Zeit danach erlebt?

Es war zwar zuerst ein Schock, aber paralysiert oder gar handlungsunfähig waren wir nicht.  Wir haben sofort entschieden, alle Systeme runterzufahren und externe Hilfe in Anspruch zu nehmen. Wir haben einen Krisenstab aufgesetzt, und zwar nicht nur bestehend aus Vertretern der IT sondern aus allen wesentlichen Unternehmensbereichen.  Schon die ersten zwei Wochen waren sehr konstruktiv. Das Wichtigste war für uns, dass wir unser Unternehmensversprechen, die Kundenversorgung jederzeit sicherzustellen, unbedingt halten wollten. Und das haben wir auch geschafft. 

Ich bin in diesem Zusammenhang brutal stolz auf das gesamte Westfalen Team, auf die IT, den Vorstand und die Unternehmerfamilie, auf jeden einzelnen in unserem Unternehmen. Alle Westfalen haben an einem Strang gezogen. Es herrschte fast so etwas wie eine persönliche Betroffenheit und ein unglaublicher Zusammenhalt nach dem Motto „Die Hacker wollen unsere Firma kaputt machen? Nicht mit uns!“

 

Kürzlich sind Sie stellvertretend für die Westfalen Gruppe mit einem der deutschlandweit wichtigsten IT-Preise ausgezeichnet worden: CIO des Jahres in der Kategorie Cyber Resilience. Dabei geht es um Widerstandsfähigkeit rund um Cyberangriffe. Das klingt nach einem Hackerangriff, der Westfalen alles in allem rund 18 Monate beschäftigt hat, erstmal widersprüchlich…

(Lacht) Als ich meinem Bruder das erzählt habe, hat er gesagt: „Ihr werdet von Hackern platt gemacht und bekommt dann noch einen Preis?“ Aber so widersprüchlich ist das gar nicht. Resilience bedeutet ja Widerstandsfähigkeit, also die Fähigkeit, Krisen zu meistern und als Anlass für Entwicklungen zu nutzen. Es geht quasi ums „Wieder aufstehen, nachdem man umgeworfen wird und am Schluss sogar besser dazustehen als zuvor.“

Wir hatten natürlich auch vor dem Hackerangriff viele Sicherheitsvorkehrungen getroffen. Das hat uns in der akuten Krise geholfen.  SAP, Salesforce und auch die Office-Kommunikation waren zum Beispiel immer nutzbar. Dass wir in der Cloud waren und nicht alle Systeme selbst verwaltet haben, hat das Geschäft weiter am Leben gehalten. Wäre das nicht der Fall gewesen, würden wir uns vielleicht heute hier nicht so unterhalten können. Aber wir haben zusätzlich den Hackerangriff dafür genutzt, nicht nur als Stehaufmännchen die Krise zu bewältigen, sondern wir haben das als Chance gesehen, unsere IT in vielen Bereichen noch besser aufzustellen als zuvor. 

 

Also haben wir den Preis fürs Aufstehen und gestärkt weiter machen bekommen?

Genau. Zum einen geht es bei dem Preis sicherlich auch darum, wie wir mit dem Hackerangriff umgegangen sind. Wir haben keinen Hehl daraus gemacht und unsere Kunden, Geschäftspartner und natürlich die Behörden sehr schnell transparent informiert. Im Laufe der Aufarbeitung des Angriffs haben dann auch einige Unternehmen neugierig den Austausch gesucht und uns gefragt „Wie habt ihr das alles hingekriegt“? Wir sind quasi vom Opfer zum Ratgeber geworden. 

Hackerangriffe sind oft immer noch ein Tabu-Thema, auch wenn es immer mehr Firmen betrifft. Offenheit in der Kommunikation ist da eher selten. Auch bei uns hat im Verlauf der Krise da ein Umdenken stattgefunden. Was sicherlich bei der Offenheit geholfen hat, war, dass Schuld intern nie ein Thema bei uns war. Dafür sind ich und mein Team extrem dankbar. Es ging darum, das Ganze zu bewältigen und nicht zu fragen „wer ist der Schuldige?“ Schlussendlich ist auch niemand vor einem Angriff gefeit, sonst wären nicht so viele Organisationen weltweit immer wieder betroffen.

Zum anderen hat die Jury wohl beeindruckt, dass wir die Krise als riesige Chance für eine Beschleunigung der Digitalisierung bei uns genutzt haben. Bildlich gesprochen: Wir haben nicht gesagt: Das ist ein Unfall und haben dann bei dem kaputten Auto einen neuen Kotflügel angeschraubt, sondern wir haben eine komplette Erneuerung unserer IT-Landschaft durchgeführt, um beim Bild zu bleiben, ein fast neues, viel besseres Auto gebaut. Das hat die Jury überzeugt, auch in punkto Digitalisierung.

 

In der Begründung der Jury heißt es wörtlich „aus dem Ransomware-Angriff wurde bei Westfalen eine Erfolgsstory gemacht“. Welche Erfolge haben wir konkret zu verbuchen?

Ich sehe unsere Erfolge in drei Bereichen. Zum ersten haben wir einen riesigen technischen Digitalisierungserfolg bzw. -fortschritt gemacht. Konkret: Das gesamte Westfalennetz mit über 1.800 Mitarbeitenden an über 30 Standorten im In- und Ausland wurde mit einer komplett neue IT-Struktur ausgestattet, samt neuer Client-Hardware, also Laptops und PCs. Wir haben unser Archivsystem ganz neu aufgebaut. Wir haben digitale Großprojekte deutlich schneller umgesetzt als geplant, ganz nach dem Motto „neu und besser machen, statt altes schlecht zu reparieren.“ Damit sind wir sowohl auf Security- als auch auf Geschäftsseite riesige Schritte bei der Digitalisierung gegangen. Und wir sind alle generell nun noch selbstverständlicher digital unterwegs, zum Beispiel in der Kommunikation über Microsoft Teams.

Zum zweiten haben wir nach meiner Einschätzung bei unseren Kunden und Partnern noch mehr an Glaubwürdigkeit gewonnen. Wir waren offen und ehrlich, haben informiert und den Austausch mit unseren Kunden gesucht. Zudem haben wir Verlässlichkeit bewiesen, in dem wir trotz der Krise mit dem Ausfall zahlreicher Logistikprogramme, Flaschenscanner usw. unsere Kunden weiterhin beliefern konnten. Mit einigen Partnern haben sich unsere Beziehungen intensiviert und wir haben nun regelmäßige Calls zum Erfahrungsaustausch zu unseren Cyber Security Initiativen.

Und der dritte Erfolg ist eher ein psychologischer. Das Selbstvertrauen im Unternehmen ist durch die Bewältigung dieser sehr herausfordernden Zeit gestiegen. Wir wissen jetzt umso mehr, dass wir alles schaffen können als Westfalen Gruppe, wenn wir zusammenhalten. Vom Werksmitarbeiter, der am Anfang ohne Scanner Flaschen trotzdem verarbeiten konnte, bis zu den Kollegen in der Logistik, die plötzlich wieder zu Zettel und Stift gegriffen haben, um Touren zu planen – jeder hat in seinem Bereich gezeigt, dass es auch in Ausnahmesituationen funktionieren kann.

 

Generell hört man ja immer öfter von Cyberangriffen. Von Globalplayern über Mittelständler bis hin zu Unis und Behörden scheinen die Hacker vor nichts Halt zu machen. Hat sich die Bedrohungslage gegenüber früher verändert?

Die Situation hat sich fundamental verändert. Die Digitalisierung ist in den vergangenen Jahren sehr nach vorne gegangen, weil es uns allen so viele Vorteile bringt. Alles ist online und damit im potenziellen Zugriff von Hackern. Du kannst ehrlicherweise, trotz hochmodernster Technik, das alles gar nicht mehr zu 100% beschützen. Der "Wirtschaftszweig Cybercrime“ ist mittlerweile hoch professionell aufgestellt. 

 

Gibt es ein eigentlich klassisches Profil eines Cyberkriminellen? 

(Schmunzelt) Man stellt sich ja immer eine Person im Kapuzenpulli vor, männlich, unrasiert, alleine in seinem mit Technik hochgerüsteten Keller, der zum Beispiel uns als Westfalen Gruppe schaden will. Genauso ist es nicht! Ein Hackerangriff ist meist kein persönlicher Battle. Es geht nur ums Geld, dahinter steckt ein riesiger Markt, der immer professioneller wird, mit einem riesigen Netzwerk, bestens aufgestellt im Darknet. Man kann das teilweise vielleicht ein bisschen mit dem Drogenhandel vergleichen. Es gibt Kleinkriminelle, sogenannte Scriptkids, die mit einem Tool ausgestattet werden, das Lücken und Einfallstore in den Systemen findet. Die liefern dann die gefundenen Lücken weiter an größere Hackerverbände, die dann den Zugang weiterverkaufen und dann nutzt man die Lücke für einen Angriff. 
Während wir hier sprechen, wehren wir wahrscheinlich gleichzeitig dank unserer neuen IT-Sicherheitssysteme mehrere Angriffe ab. 

 

Welche Rolle spielen Mitarbeitende beim Thema Cybersicherheit?

Eine ganz zentrale; Stichwort Phishing-E-Mails. Es ist für Mitarbeitende oft schwierig, Phishing-Mails zu erkennen, weil die inzwischen so professionell gemacht werden. Deshalb schulen und sensibilisieren wir unsere Mitarbeitenden verstärkt: Welche Passwörter speichere ich wo? Wann soll ich auf keinen Fall Login-Daten eingeben? Wie sehen Phishing-Mails der neusten Generation aus? Hacker gehen auch psychologisch vor und setzen auf bestimmte Schwachpunkte beim Menschen. Zum Beispiel funktioniert die Hierarchie-Masche sehr gut. Wenn ich im Stress bin, und eine angebliche E-Mail vom Chef bekomme, mit der Bitte sofort die angehängte Datei zu bearbeiten, dann klicken auch bei uns – trotz der schlechten Erfahrung und zahlreicher Schulungen – immer wieder Kollegen zu schnell. Und dieser Klick kann schon verheerend sein. 

 

Sind wir denn dank unserer neuen Technik jetzt in der Lage, jeden Hackerversuch zu erkennen und abzuwehren?

Wir erkennen mittlerweile sehr viel. Ich kann hier natürlich aus Sicherheitsgründen nicht ins Detail gehen, aber so viel: Wir haben ein sogenanntes „Grünes Template“, das stetig ausgebaut wird. Das kann man sich wie ein Zwiebelschalen-Modell vorstellen. Die äußere Schale filtert den Internetverkehr, schaut, ob bestimmte Seiten unsicher sind, und blockt diese. Wir haben zahlreiche E-Mail-Filter, mit denen Phishing-Mails erkannt werden und verschieben generell E-Mails erstmal in eine Quarantäne, wo sie überprüft werden. Wir haben sehr gute Firewalls mit künstlicher Intelligenz, die Angriffsmuster von außen erkennen. Und wir sind dabei ein Security Information and Event Management einzuführen. Dieses erkennt Angriffe, die erstmal nicht verdächtig aussehen, aber in den Zusammenhängen ungewöhnlich erscheinen. Zum Beispiel: Ein angeblicher Anwender hat ein neues Laptop, beantragt im Anschluss weitreichende Berechtigungen in unseren Systemen, die eigentlich nicht zu seinem Job passen und loggt sich wiederholt außerhalb von Regelarbeitszeiten ins System ein. Diese Einzelereignisse werden dann vom System verknüpft und gegebenenfalls wird der Anwender automatisch gesperrt. Aber lassen Sie mich nochmal eines betonen: Eine hundertprozentige Sicherheit gibt es nicht und wird es auch nie geben. Dafür ist die „Angriffsfläche“ einfach viel zu groß.

 

Mal ehrlich: Ist das Thema IT-Sicherheit überhaupt irgendwann abgeschlossen?

Nein. Es ist wie ein Katz-und-Maus-Spiel zwischen uns Unternehmen und den Angreifern. Ein Wettrennen. Wir sind einfach alle hungrig nach Digitalisierung, auch privat. Wir wollen nicht mehr ins Bürgerbüro gehen müssen, sondern Behördengänge online erledigen. Wir wollen Produktionsanlagen digital steuern und nicht mehr per Hand. Und das ist auch gut und richtig so. Aber das hat leider auch seinen Preis… Es entstehen im Rahmen des digitalen Fortschritts eben auch immer neue Lücken, die wir schließen müssen, d.h. man muss sich fortlaufend um die IT-Sicherheit kümmern.
Es gibt immer noch Menschen, die die IT-Sicherheit nicht auf dem Schirm haben und es Angreifern leicht machen. Ich kann nur empfehlen, dort zu investieren, auch im privaten Bereich bei sich zu Hause. Mein Appell: Lassen Sie es uns den Hackern so schwer wie möglich machen! Wir bei Westfalen sind da jedenfalls als gebranntes Kind auf dem richtigen Weg.

 

Danke für das Interview.

 

Teilen Sie diese News gerne:

x