Die Text-Datei, die IT-Spezialisten von Marc O’Polo am 13. September 2019 auf den Servern des Modekonzerns entdeckten, trug den Titel „Marc O’Polo read me“.  Der Inhalt war höflich, aber direkt formuliert: „Hello Marc O’Polo, Your network was hacked and encrypted. (…) Email us at (…) to get the ransom amount. Keep our contacts safe. Please use your company name as the email subject.” – Auf Deutsch: Sie teilen mit, dass das Firmennetzwerk gehackt und verschlüsselt wurde. Um die Höhe des Lösegeldes zu erfahren, soll das Unternehmen eine von zwei angegebenen Mail-Adressen kontaktieren. Als Betreff wird der Firmenname erbeten.

Marc O’Polo war Opfer eines Hackerangriffs geworden. Nichts funktionierte mehr: „Wir hatten keine Software mehr“, erzählt Vorstandsmitglied Patric Spethmann auf einer Onlineveranstaltung des Handelsforschungsinstituts EHI zum Thema Cybersicherheit. Keine Software, das bedeutet: keine Kassensysteme, kein Finanzcontrolling, kein bisschen Kommunikation. Alle Back-ups waren professionell gelöscht worden.

Anzahl der Cyberangriffe nimmt zu

„Wir konnten nicht telefonieren, wir konnten nicht e-mailen, wir konnten nichts mehr“, so Spethmann weiter. „ Wir waren mitten in der wichtigsten Zeit der Saison, in der Ausführung unseres Herbst- und Wintergeschäfts. Über 2000 Kunden, die auf ihre Waren warteten, aber uns war klar, dass wir so nicht würden liefern können.“

Die bayerische Modemarke ist nur eines von vielen Unternehmen, das im Netz angegriffen wurde – auch wenn die meisten ungern darüber sprechen. Laut einer repräsentativen Studie des Digitalverbands Bitkom waren 2022 rund 84 Prozent der aller deutschen Unternehmen Opfer von Cyber-Attacken. Der hiesigen Wirtschaft sei dadurch zuletzt ein jährlicher Schaden von 203 Milliarden Euro entstanden. Noch 2018 und 2019 war er mit 103 Milliarden Euro nur etwa halb so groß. In einer aktuellen Umfrage des EHI beobachten 78 Prozent der Handelsunternehmen einen teils signifikanten Anstieg der Attacken. 19 Prozent berichten, dass sich die Situation nicht verändert habe – wobei es zu berücksichtigen gilt, dass die meisten Angriffe unerkannt durch hausinterne Systeme geblockt werden.

Angreifer warten auf ungünstigsten Zeitpunkt

Marc O’Polo hatte dieses Glück nicht. Der Angriff kam für das Unternehmen mit Sitz in Stephanskirchen zum denkbar schlechtesten Zeitpunkt – und das, wie Spethmann erklärt, offenbar mit Absicht. Cyberkriminelle guckten sich die Zeitfenster, in denen sie zuschlügen, sehr konkret aus. Im Fall von Marc O’Polo war es der Tag nach einer großen Firmenfeier – und ein Freitag, was bedeutete, dass all die Personen, die an den Tisch geholt werden mussten, sich bereits mit einem Fuß im Wochenende befanden.

Spethmann schildert auf der EHI-Veranstaltung genau, wie erfinderisch das Unternehmen bei der Krisenbewältigung werden musste. Wie der Krisenstab in den Büros akribisch mit Einkaufswagen Hardware einsammelte, weil jedes Wiederhochfahren der Geräte zur neuen Gefahr werden könnte. Wie man sich in den Geschäften zunächst mit Quittungsblöcken behelfen musste, um wieder kassieren zu können.

Schadsoftware aufs Mobiltelefon geladen

Als Auslöser der Cyberangriffs entpuppte sich ein Mitarbeiter, der in einem öffentlichen WLan auf einen Phishing-Link klickte, der vorgab, eine Browseraktualisierung zu sein. Nach der Installation der Schadsoftware auf dem Firmenhandy bewegten sich die Kriminellen über Monate vorsichtig durch die Marc O’Polo-Systeme: Sie verschafften sich immer mehr Administratoren-Rechte und schließlich die vollständige Kontrolle.

Eine individuelle Schuld des Mitarbeiters sieht Spethmann nicht: „Wenn das Wohlergehen des Unternehmens von der täglichen Leistung eines einzelnen Mitarbeiters abhängt, dann ist das System falsch.“ Man habe viele Lektionen durch den Angriff gelernt. Das Thema Cybersicherheit sei zuvor systematisch unterschätzt worden. Nach der Attacke hat Marc O’Polo die Systeme vollständig erneuert. Ob das Unternehmen Lösegeld gezahlt hat, lässt es offen – laut der Website „Computerwoche“ soll das jedoch der Fall gewesen sein.